Adoben tietoturvatiedote

Tietoturvapäivityksiä saatavissa Adobe Photoshop CC -ohjelmistoon

Julkaisupäivä: 11. huhtikuuta 2017

Haavoittuvuuden tunniste: APSB17-12

Prioriteetti: 3

CVE-numero: CVE-2017-3004, CVE-2017-3005

Ympäristö: Windows ja Macintosh

Yhteenveto

Adobe on julkaissut Photoshop CC -ohjelmiston päivityksiä Windows- ja Macintosh-käyttöjärjestelmille. Nämä päivitykset korjaavat kriittisen muistin vioittumiseen liittyvän haavoittuvuuden jäsennettäessä PCX-haittatiedostoja, mikä voisi aiheuttaa koodin
suorittamisen (CVE-2017-3004). Nämä päivitykset korjaavat myös viittamattoman hakupolun haavoittuvuuden
Photoshopissa Windows-käyttöjärjestelmässä (CVE-2017-3005).

Ohjelmistoversiot, joita haavoittuvuus koskee

Tuote Versio, jota haavoittuvuus koskee Ympäristö
Adobe Photoshop CC 2017 18.0.1 ja aiemmat versiot Windows ja Macintosh
Adobe Photoshop CC 2015.5 17.0.1 (2015.5.1) ja aiemmat versiot Windows ja Macintosh

Ratkaisu

Adobe suosittele käyttäjiä päivittämään ohjelmistojen asennukset käynnistämällä kukin sovellus ja valitsemalla Help (Ohje) -valikosta Updates (Päivitykset). Lisätietoja on tällä ohjesivulla.

Tuote Päivitetty versio Ympäristö Prioriteettiluokitus
Adobe Photoshop CC 2017 18.1 Windows ja Macintosh 3
Adobe Photoshop CC 2015.5 17.0.2 (2015.5.2) Windows ja Macintosh 3

Hallittujen ympäristöjen IT-järjestelmänvalvojat voivat luoda käyttöönottopaketit Creative Cloud Packagerin avulla. Tällä ohjesivulla on lisätietoja Creative Cloud Packagerista. 

Lisätietoja haavoittuvuuksista

  • Nämä päivitykset korjaavat muistin vioittumiseen liittyvän haavoittuvuuden jäsennettäessä PCX-haittatiedostoja, mikä voisi aiheuttaa koodin suorittamisen (CVE-2017-3004).
  • Nämä päivitykset korjaavat viittamattoman hakupolun haavoittuvuuden Photoshopissa Windows-käyttöjärjestelmässä (CVE-2017-3005).

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä ja organisaatioita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:

  • Kushal Arvind Shah Fortinetin FortiGuard Labsista (CVE-2017-3004)
  • Cyril Vallicari / HTTPCS – Ziwit (CVE-2017-3005)