Adobe corrige 14 vulnerabilidades no Substance 3D Painter

Adobe lança correções para 14 vulnerabilidades em seu software Substance 3D Painter, 7 delas consideradas críticas.

A Adobe lançou hoje atualizações para corrigir 14 vulnerabilidades de graves a críticas em seu software Substance 3D Painter.

Sete das vulnerabilidades são classificadas pelo fornecedor como críticas, o que significa que elas podem ser exploradas para permitir a execução remota de código arbitrário. A Adobe também avaliou como graves outras sete vulnerabilidades que podem ser exploradas para obter privilégios elevados.

Substance 3D Painter é um aplicativo de design 3D criado pela Allegorithmic, adquirida pela Adobe no ano passado.

A vulnerabilidade crítica mais grave afeta a biblioteca libtiff e pode ser explorada para executar código arbitrário. O problema foi identificado por pesquisadores da Cisco Talos.

As outras vulnerabilidades críticas afetam o parser de arquivos .gr2 do Substance Designer e podem ser exploradas para obter privilégios elevados. Eles foram descobertos pelos pesquisadores da Kaspersky.

“Uma vulnerabilidade classificada crítica foi descoberta em Substance Designer 6.1.3 e anterior. A violação dessa vulnerabilidade pode levar à execução de código arbitrário. A Adobe recomenda que os clientes atualizem para a última versão”, disse a Adobe.

As outras vulnerabilidades classificadas como graves podem ser exploradas para enganar os usuários em cliques ou acionamentos arbitrários (CVE-2018-12822), encerrar o Substance Painter (CVE-2018-12821) e causar vazamentos de memória (CVE-2018-12820).

Três das vulnerabilidades foram realmente classificadas como de baixo risco. Um deles, CVE-2018-12819, pode ser explorado para obter informações sobre o sistema. O CVE-2018-12823 permite que os invasores sobrescrevam arquivos arbitrários, enquanto a CVE-2018-12824 pode ser aproveitada para criar pastas arbitrárias.

As vulnerabilidades foram corrigidas com a versão 2018.3.3 do Substance Painter. A Adobe não reportou nenhuma exploração em nenhuma das vulnerabilidades.

Os clientes que não podem atualizar imediatamente podem se proteger dos ataques usando as medidas de mitigação apresentadas pelo fornecedor.