Adobe hat die Anwender seiner Creative Cloud Desktop Application für Windows-PCs vor einem Fehler gewarnt, der es einem Angreifer ermöglichen könnte, Dateien von ihren Computern zu löschen.
Forscher von Drittanbietern entdeckten, dass Adobes Suite von Design-Anwendungen für Windows anfällig für eine TOCTTOU-Rennbedingung (Time Of Check To Time Of Use) ist, die sich auf die Sicherheitsüberprüfungen auswirkt, die ein Programm bei der Verwendung von Ressourcen wie Dateien, Speicher und Prozessen durchführt.
Wenn sich der Zustand einer Ressource zwischen der Prüfung und der Verwendung ändert, kann ein Angreifer sie auch ändern, in diesem Fall durch Löschen der Projektdateien eines Benutzers auf einem Windows-PC.
Laut Adobe ist der Fehler CVE-2020-3808 ein kritischer Fehler, der die Adobe Creative Cloud Desktop Application für Windows 5.0 und frühere Versionen betrifft.
„Eine erfolgreiche Ausnutzung könnte zu einer willkürlichen Dateilöschung im Kontext des aktuellen Benutzers führen“, sagte Adobe in einem Sicherheitsbulletin am Dienstag. Adobe drängt seine Anwender der Creative Cloud dazu, auf die Version 5.1 für Windows zu aktualisieren.
Adobe scheint diesen Fehler als schwerwiegend zu betrachten, da es sich entschieden hat, eine Sicherheitskorrektur außerhalb seines üblichen Zeitplans zu veröffentlichen, die mit Microsofts Patch Tuesday übereinstimmt.
Adobe sagte, dass ihm keine „Exploits in the wild“ für CVE-2020-3808 bekannt seien, was erklären könnte, warum es für die Installation der aktualisierten Version nur eine Prioritätsbewertung von „2“ vergeben hat.
Diese Bewertung bezieht sich auf Fehler, für die derzeit keine Exploits bekannt sind und bei denen nicht erwartet wird, dass ein Exploit unmittelbar bevorsteht. Die Bewertung legt den Benutzern nahe, das Update „bald“ zu installieren, z.B. innerhalb von 30 Tagen. Wenn es mit „1“ bewertet wurde, empfiehlt es, dass Updates innerhalb von 72 Stunden installiert werden, da das Risiko von Exploits in the wild“ höher ist.
Aber sie hat den Fehler als kritisch eingestuft, weil er, wenn er ausgenutzt würde, „die Ausführung von bösartigem nativem Code ermöglichen würde, möglicherweise ohne dass ein Benutzer davon Kenntnis hat“.
Adobe hat Jiadong Lu von der South China University of Technology und Zhiniang Peng von Qihoo 360 Core Security für die Meldung des Problems gewürdigt.
Der Notfall-Patch für Creative Cloud folgt auf einen Sicherheitsfehler von Adobe im vergangenen Jahr, bei dem 7,5 Millionen Kundenkonten von Adobe Creative Cloud-Anwendern im Internet innerhalb einer Elasticsearch-Datenbank, die nicht durch ein Kennwort geschützt war, offengelegt wurden.