Разработчики Adobe устранили критический баг в десктопной версии приложения Creative Cloud для Windows. Проблема могла быть использована для удаления произвольных файлов в контексте текущего пользователя.
Уязвимость обнаружили специалисты Qihoo 360 Core Security, и она получила идентификатор CVE-2020-3808. Проблема относится к типу time-of-check time-of-use, то есть, спровоцировав состояние гонки, злоумышленник может воспользоваться им и заставить систему удалить находящиеся в работе файлы и другие данные. Однако чтобы реализовать такую атаку, злоумышленник сначала должен убедить жертву загрузить и открыть вредоносный документ, чтобы добиться эксплуатации бага.
Никакой другой информации об уязвимости опубликовано не было, и представители Adobe утверждают, что не обнаружили никаких доказательств того, что проблема уже используется хакерами. Хотя уязвимости был присвоен статус критической, ее приоритетность равна 2, а это означает, что инженеры Adobe не ожидают, что эту уязвимость скоро будут использовать для реальных атак.
Тем не менее, пользователям рекомендуют как можно скорее обновить Creative Cloud до исправленной версии 5.1.