Data de lançamento: 12 de abril de 2016

Identificador de vulnerabilidade: APSB16-11

Prioridade: 2

Número CVE: CVE-2016-1034

Plataformas: Windows e Macintosh

Resumo

A Adobe lançou uma atualização de segurança para o aplicativo de desktop da Creative Cloud Desktop para Windows e Macintosh.  Esta atualização resolve uma vulnerabilidade importante no processo de sincronização para as bibliotecas da Creative Cloud que podem ser abusadas para ler e gravar remotamente arquivos no sistema de arquivos do cliente.  

Versões afetadas

Produto Versão afetada Plataforma
Aplicativo de desktop da Creative Cloud Creative Cloud 3.5.1.209 ou posterior Windows e Macintosh

Solução

A Adobe classifica essa atualização com a seguinte prioridade e recomenda que os usuários atualizem suas instalações para a versão mais recente:

Produto Versão atualizada Plataforma Classificação de prioridade
Aplicativo de desktop da Creative Cloud Creative Cloud 3.6.0.244 Windows e Macintosh 2

Os usuários da Creative Cloud podem aplicar a atualização usando o mecanismo de atualização do aplicativo. Para obter mais detalhes, acesse https://www.adobe.com/br/creativecloud/desktop-app.html

Para ambientes gerenciados, os administradores de TI podem usar o Creative Cloud Packager para criar pacotes de implantação conforme descrito no fluxo de trabalho documentado aqui.

Consulte esta página de ajuda para obter mais informações sobre o Creative Cloud Packager.

Detalhes da vulnerabilidade

Esta atualização resolve uma vulnerabilidade na API do JavaScript para bibliotecas da Creative Cloud que podem ser abusadas para ler e gravar remotamente arquivos no sistema de arquivos do cliente (CVE-2016-1034).

Agradecimentos

A Adobe gostaria de agradecer às seguintes pessoas e organizações por relatarem o problema relevante e por trabalharem com a Adobe para ajudar a proteger nossos clientes:

  • Revelado independentemente por Roger Chen da University of Califórnia, Berkeley e Lokihardt trabalhando com ZDI de Trend Micro (CVE-2016-1034).