Adobe lança correções para 14 vulnerabilidades em seu software Substance 3D Painter, 7 delas consideradas críticas.
A Adobe lançou hoje atualizações para corrigir 14 vulnerabilidades de graves a críticas em seu software Substance 3D Painter.
Sete das vulnerabilidades são classificadas pelo fornecedor como críticas, o que significa que elas podem ser exploradas para permitir a execução remota de código arbitrário. A Adobe também avaliou como graves outras sete vulnerabilidades que podem ser exploradas para obter privilégios elevados.
Substance 3D Painter é um aplicativo de design 3D criado pela Allegorithmic, adquirida pela Adobe no ano passado.
A vulnerabilidade crítica mais grave afeta a biblioteca libtiff e pode ser explorada para executar código arbitrário. O problema foi identificado por pesquisadores da Cisco Talos.
As outras vulnerabilidades críticas afetam o parser de arquivos .gr2 do Substance Designer e podem ser exploradas para obter privilégios elevados. Eles foram descobertos pelos pesquisadores da Kaspersky.
“Uma vulnerabilidade classificada crítica foi descoberta em Substance Designer 6.1.3 e anterior. A violação dessa vulnerabilidade pode levar à execução de código arbitrário. A Adobe recomenda que os clientes atualizem para a última versão”, disse a Adobe.
As outras vulnerabilidades classificadas como graves podem ser exploradas para enganar os usuários em cliques ou acionamentos arbitrários (CVE-2018-12822), encerrar o Substance Painter (CVE-2018-12821) e causar vazamentos de memória (CVE-2018-12820).
Três das vulnerabilidades foram realmente classificadas como de baixo risco. Um deles, CVE-2018-12819, pode ser explorado para obter informações sobre o sistema. O CVE-2018-12823 permite que os invasores sobrescrevam arquivos arbitrários, enquanto a CVE-2018-12824 pode ser aproveitada para criar pastas arbitrárias.
As vulnerabilidades foram corrigidas com a versão 2018.3.3 do Substance Painter. A Adobe não reportou nenhuma exploração em nenhuma das vulnerabilidades.
Os clientes que não podem atualizar imediatamente podem se proteger dos ataques usando as medidas de mitigação apresentadas pelo fornecedor.
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…
Hackers estão explorando o diretório mu-plugins do WordPress para injetar códigos maliciosos que não aparecem…
O Google implementou uma nova funcionalidade de "Detecção de Golpes" com inteligência artificial no aplicativo…
O grupo APT28, ligado à Rússia, está utilizando técnicas avançadas de ofuscação em seus ataques…