Photoshop es el software de edición fotográfica más potente y más utilizado en todo el mundo. Una gran cantidad de usuarios, tanto profesionales como domésticos, utilizan a diario este programa para realizar todo tipo de retoques y composiciones fotográficas. Adobe hace un buen trabajo a la hora de seguir desarrollando funciones y características para este programa. Pero no todo son novedades y mejoras, y es que cuando un programa se utiliza dentro de empresas y por profesionales, la seguridad debería ser algo prioritario para todos.
Hace apenas unas horas, Adobe lanzada una serie de parches de seguridad de emergencia para varios de sus productos. Esta compañía generalmente suele lanzar sus parches de seguridad los segundos martes de cada mes, como Microsoft. Sin embargo, en esta ocasión estas nuevas actualizaciones han llegado fuera de fecha debido a que corrigen varias vulnerabilidades críticas en sus productos que pueden poner en peligro a los usuarios.
En el caso de Photoshop, por ejemplo, la compañía ha abordado concretamente 5 vulnerabilidades con código CVE:
- CVE-2020-9683
- CVE-2020-9684
- CVE-2020-9685
- CVE-2020-9686
- CVE-2020-9687
Todas estas vulnerabilidades son del tipo «Out-of-bounds«, es decir, permiten salirse de los límites establecidos dentro de la memoria y acceder a otras partes de la misma. CVE-2020-9683 y CVE-2020-9686 permite a un atacante leer fuera de estos límites de memoria para acceder a información confidencial de la víctima, mientras que las otras 3 permiten escribir fuera de dicho límite. Al usarse en conjunto pueden permitir ejecutar código arbitrario en el sistema.
Estas vulnerabilidades afectan tanto a la versión CC de 2019 como a la actual. Pero si el usuario que ejecuta el programa tiene permisos estándar (no es administrador), el riesgo se reduce, ya que este fallo no permite escalar privilegios.
Podemos actualizar Photoshop para protegernos de estas vulnerabilidades desde el programa Creative Cloud Desktop.
Otros programas de Adobe actualizados
Photoshop no ha sido el único programa que ha sido actualizado. Otras herramientas de esta compañía, como Adobe Bridge, Adobe Prelude, Premiere Pro y Media Encoder también han sido actualizados para aplicar distintas correcciones importantes dentro del programa de manera que los usuarios puedan usarlo con total seguridad. Todos estos programas estaban afectados por las mismas vulnerabilidades que permitían a los programas salir de los límites de memoria establecidos y poder ejecutar código arbitrario.
Adobe también ha lanzado una actualización para Reader Mobile que corrige una vulnerabilidad que afecta a Android. Esta vulnerabilidad es del tipo «Directory Traversal» y permite descubrir información confidencial sobre las víctimas del ataque informático. A diferencia de los fallos anteriores, que eran críticos, este fallo ha sido denominado como «Importante».
Por el momento no hay indicios de que estos fallos hayan podido ser utilizados por piratas informáticos. Han sido los propios ingenieros de Adobe quienes los han detectado a tiempo. Sin embargo, ahora que se han dado a conocer, se recomienda actualizar cuanto antes, ya que los piratas informáticos ya estarán buscando la forma de aprovecharse de ellos, mediante un exploit, y poder poner así en jaque la seguridad de los usuarios.
Todas las actualizaciones de los productos de Adobe son gratuitas, siempre y cuando tengamos una suscripción activa.