Adobe corrige 14 vulnerabilidades no Substance 3D Painter
Adobe Systems emitiu patches para 14 vulnerabilidades nos produtos Windows e Mac de Substance 3D Painter, o último dos quais é crítico.
Substance 3D Painter é um aplicativo de pintura 3D usado para a criação de texturas, que pode ser manipulado usando mapas de bits importados.
Adobe lança correções para 14 vulnerabilidades em seu software Substance 3D Painter, 7 delas consideradas críticas.
A Adobe lançou hoje atualizações para corrigir 14 vulnerabilidades de graves a críticas em seu software Substance 3D Painter.
Sete das vulnerabilidades são classificadas pelo fornecedor como críticas, o que significa que elas podem ser exploradas para permitir a execução remota de código arbitrário. A Adobe também avaliou como graves outras sete vulnerabilidades que podem ser exploradas para obter privilégios elevados.
Substance 3D Painter é um aplicativo de design 3D criado pela Allegorithmic, adquirida pela Adobe no ano passado.
A vulnerabilidade crítica mais grave afeta a biblioteca libtiff e pode ser explorada para executar código arbitrário. O problema foi identificado por pesquisadores da Cisco Talos.
As outras vulnerabilidades críticas afetam o parser de arquivos .gr2 do Substance Designer e podem ser exploradas para obter privilégios elevados. Eles foram descobertos pelos pesquisadores da Kaspersky.
“Uma vulnerabilidade classificada crítica foi descoberta em Substance Designer 6.1.3 e anterior. A violação dessa vulnerabilidade pode levar à execução de código arbitrário. A Adobe recomenda que os clientes atualizem para a última versão”, disse a Adobe.
As outras vulnerabilidades classificadas como graves podem ser exploradas para enganar os usuários em cliques ou acionamentos arbitrários (CVE-2018-12822), encerrar o Substance Painter (CVE-2018-12821) e causar vazamentos de memória (CVE-2018-12820).
Três das vulnerabilidades foram realmente classificadas como de baixo risco. Um deles, CVE-2018-12819, pode ser explorado para obter informações sobre o sistema. O CVE-2018-12823 permite que os invasores sobrescrevam arquivos arbitrários, enquanto a CVE-2018-12824 pode ser aproveitada para criar pastas arbitrárias.
As vulnerabilidades foram corrigidas com a versão 2018.3.3 do Substance Painter. A Adobe não reportou nenhuma exploração em nenhuma das vulnerabilidades.
Os clientes que não podem atualizar imediatamente podem se proteger dos ataques usando as medidas de mitigação apresentadas pelo fornecedor.
