Adobe waarschuwt gebruikers voor een kritieke bug in de Creative Cloud-desktopapp voor Windows, die een aanvaller toelaat om bestanden van hun computer te verwijderen. Het bedrijf heeft een patch beschikbaar gemaakt.
Beveiligingsonderzoekers ontdekten dat de Creative Cloud-app voor Windows kwetsbaar is voor een zogenaamde Time-of-check Time-of-use Race Condition (TOCTOU). Dat heeft invloed op de veiligheidscontroles die een programma uitvoert bij het gebruik van bronnen, zoals bestanden, geheugen en processen.
De software controleert de status van een bron voordat die wordt gebruikt. Als een aanvaller de status van de bron tussen de controle en het gebruik kan veranderen, kan dat de resultaten van de controle ongeldig maken en kunnen ongeldige acties worden uitgevoerd, zoals het verwijderen van bestanden.
Adobe laat in een security-bulletin weten dat het de bug als kritiek beschouwt en dat er reeds een patch beschikbaar is. Gebruikers van de Adobe Creative Cloud Desktop Application voor Windows (versie 5.0 en eerder) doen er goed aan om hun software zo snel mogelijk te updaten.
De softwareleverancier is zich voorlopig niet bewust van misbruik in het wild, maar neemt de bug wel ernstig. Terwijl het zijn updates normaal laat samenvallen met de Patch Tuesdays van Microsoft elke tweede week van de maand, besloot het om deze patch buiten dat vaste ritme uit te geven.