Adobe lança correções para 14 vulnerabilidades em seu software Substance 3D Painter, 7 delas consideradas críticas.
A Adobe lançou hoje atualizações para corrigir 14 vulnerabilidades de graves a críticas em seu software Substance 3D Painter.
Sete das vulnerabilidades são classificadas pelo fornecedor como críticas, o que significa que elas podem ser exploradas para permitir a execução remota de código arbitrário. A Adobe também avaliou como graves outras sete vulnerabilidades que podem ser exploradas para obter privilégios elevados.
Substance 3D Painter é um aplicativo de design 3D criado pela Allegorithmic, adquirida pela Adobe no ano passado.
A vulnerabilidade crítica mais grave afeta a biblioteca libtiff e pode ser explorada para executar código arbitrário. O problema foi identificado por pesquisadores da Cisco Talos.
As outras vulnerabilidades críticas afetam o parser de arquivos .gr2 do Substance Designer e podem ser exploradas para obter privilégios elevados. Eles foram descobertos pelos pesquisadores da Kaspersky.
“Uma vulnerabilidade classificada crítica foi descoberta em Substance Designer 6.1.3 e anterior. A violação dessa vulnerabilidade pode levar à execução de código arbitrário. A Adobe recomenda que os clientes atualizem para a última versão”, disse a Adobe.
As outras vulnerabilidades classificadas como graves podem ser exploradas para enganar os usuários em cliques ou acionamentos arbitrários (CVE-2018-12822), encerrar o Substance Painter (CVE-2018-12821) e causar vazamentos de memória (CVE-2018-12820).
Três das vulnerabilidades foram realmente classificadas como de baixo risco. Um deles, CVE-2018-12819, pode ser explorado para obter informações sobre o sistema. O CVE-2018-12823 permite que os invasores sobrescrevam arquivos arbitrários, enquanto a CVE-2018-12824 pode ser aproveitada para criar pastas arbitrárias.
As vulnerabilidades foram corrigidas com a versão 2018.3.3 do Substance Painter. A Adobe não reportou nenhuma exploração em nenhuma das vulnerabilidades.
Os clientes que não podem atualizar imediatamente podem se proteger dos ataques usando as medidas de mitigação apresentadas pelo fornecedor.
IA está comprimindo a janela entre divulgação e exploração a ponto de ficar negativa. A…
Operação NoVoice espalhou-se por mais de 50 apps do Google Play e explorou falhas antigas…
Grupo Inc reivindica ataque contra a prefeitura de Meriden, Connecticut. A cidade desligou serviços e…
A Alemanha expôs o líder ligado a GandCrab/REvil e reforçou o alerta sobre rebrandings no…
BlueHammer é um zero‑day LPE que explora o Windows Defender e eleva um usuário comum…
Drift Protocol suspendeu depósitos e saques após ataque na Solana. Estimativas apontam perdas entre US$…