Sikkerhetsoppdatering tilgjengelig for Creative Cloud-skrivebordsprogrammet

Utgivelsesdato: 14. juni 2016

Sikkerhetsbruddidentifikator: APSB16-21

Prioritet: 3

CVE-nummer: CVE-2016-4157, CVE-2016-4158

Plattform: Windows

Sammendrag

Adobe har lansert en sikkerhetsoppdatering for Creative Cloud-skrivebordsprogrammet for Windows. Denne oppdateringen løser et sikkerhetsproblem med en ikke-klarert søkebane i installasjonsprogrammet for Creative Cloud-skrivebordsprogrammet, og et sikkerhetsproblem med opplisting av tjenestebane uten anførselstegn i Creative Cloud-skrivebordsprogrammet.

Berørte versjoner

Produkt Berørte versjoner Plattform
Creative Cloud-skrivebordsprogrammet Creative Cloud 3.6.0.248 og tidligere versjoner Windows

Løsning

Adobe kategoriserer denne oppdateringen med følgende prioritetsklassifisering og anbefaler at brukere oppdaterer installasjonen til den nyeste versjonen:

Produkt Oppdatert versjon Plattform Prioritet klassifisering
Creative Cloud-skrivebordsprogrammet Creative Cloud 3.7.0.272 Windows  3

Installasjonsprogrammet for Creative Cloud 3.7.0.272 vil være tilgjengelig fra og med 13. juni 2016. Hvis du vil ha mer informasjon, kan du gå til https://www.adobe.com/no/creativecloud/desktop-app.html.

I administrerte miljøer kan IT-administratorer bruke Creative Cloud Packager til å opprette distribusjonspakker, som beskrevet i arbeidsflyten som er dokumentert her.

Se denne hjelpesiden for mer informasjon om Creative Cloud Packager.

Mer informasjon om sikkerhetsproblemet

  • Denne oppdateringen løser et sikkerhetsproblem i mappesøkebanen som brukes til å finne ressurser, som kan føre til kjøring av kode (CVE-2016-4157). 
  • Denne oppdateringen løser et sikkerhetsproblem med opplisting av tjenestebane uten anførselstegn i Creative Cloud-skrivebordsprogrammet (CVE-2016-4158).

Takk

Adobe takker følgende personer og firmaer for at de rapporterte disse problemene og samarbeidet med Adobe for å bidra til å beskytte våre kunder:

  • YoKo Kho og Dicky (@dickysOfficial) fra MII - CAS Dept (CVE-2016-4157).
  • Cyril Vallicari / Ug_0 Security og Security team Netservice de Toekomst (CVE-2016-4158).