Creative Cloud 桌面應用程式安全性更新 | APSB18-12
安全性公告 ID 發佈日期 優先順序
APSB18-12 2018 年 5 月 8 日 2

摘要

Adobe 已發佈 Windows 和 Mac 作業系統專用 Creative Cloud 桌面應用程式的安全性更新。此次更新解決了 Creative Cloud 桌面應用程式在認證上的驗證弱點 (CVE-2018-4991) 及不當輸入的驗證弱點 (CVE-2018-4992);若無妥善處理,後者可能進一步導致權限竊取問題。

受影響的版本

產品 受影響的版本 平台
Creative Cloud 桌面應用程式

4.4.1.298 及更早版本

Windows 和 Mac 作業系統

如需查看 Creative Cloud 桌面應用程式的版本,請依下列步驟操作:

  1. 啟動 Creative Cloud 桌面應用程式,使用您的 Adobe ID 登入。
  2. 按一下齒輪按鈕,接著依序選擇「偏好設定 > 一般」。

解決方法

Adobe 將此更新分類為下列優先順序分級,並建議使用者將他們的安裝更新為最新版本:

產品 已更新的版本 平台 優先順序分級 上市情況
Creative Cloud 桌面應用程式 Creative Cloud 4.5.0.331 Windows 和 Mac 作業系統 2 下載中心

若已啟用自動更新功能,系統會自動接收新版本。Creative Cloud 桌面應用程式的最新版本也能從下載中心取得。如需詳細資訊,請參閱此說明頁面

若是受管理的使用環境,IT 管理員可以使用 Creative Cloud Packager 來建立部署套件。如需 Creative Cloud Packager 的詳細資訊,請參閱此說明頁面

弱點詳細資料

弱點類別 弱點影響 嚴重性 CVE 編號
不當輸入驗證 權限竊取 重要 CVE-2018-4992
不當認證驗證 安全性略過 重大 CVE-2018-4991
搜尋路徑未加引號 權限竊取 重要 CVE-2018-4873

注意:Creative Cloud 桌面應用程式 4.3.0.256 版已解決 CVE-2018-4873 所列問題。

鳴謝

Adobe 在此感謝以下個人和組織提報相關問題並與 Adobe 合作協助保護我們的客戶: 

  • 騰訊玄武實驗室的 Wei Wei (@Danny__Wei) (CVE-2018-4992)
  • Talon Voice 的 Ryan Hileman 與 Chi Chou (CVE-2018-4991)
  • Cyril Vallicari/HTTPCS – Ziwit (CVE-2018-4873)