A Adobe lançou um conjunto de atualizações não programadas relacionadas a sua suite de criação multimídia e em especial ao seu produto mais famoso: o Adobe Photoshop. Os updates, que foram lançados após o pacote de atualizações mensal da plataforma, corrigiram falhas graves que permitiam, dentre outras explorações, a execução de código arbitrário em plataformas Windows.

De modo geral, foram corrigidas 12 vulnerabilidades presentes nos programas Adobe Bridge, Adobe Prelude e Adobe Photoshop. Segundo a empresa, ela não estava ciente da existência de tais vulnerabilidades e que não há registros de que as mesmas possam ter sido utilizadas por criminosos em ataques recentes. A empresa foi notificada pela Zero Day Initiative, que creditou a descoberta das falhas ao pesquisador independente Mat Powell. A Zero Day Initiative, iniciativa da gigante de cibersegurança Trend Micro,  visa recompensar pesquisadores independentes que informar vulnerabilidades zero day, com o objetivo de confidencialmente informar a fabricante para que esta possa corrigir as falhas o quanto antes, sem que haja exploração mal intencionada.

Todas as falhas encontradas são referentes a leitura e escrita fora do espaço de memória delimitado pelo SO para uso da aplicação, que viabilizou a corrupção e interceptação de informação sensível, crash da aplicação e no pior dos casos a execução remota de código do contexto do usuário que está rodando aplicação. Isso potencialmente resulta em uma falha grave se o programa estiver sendo rodado com permissões de administrador. As outras vulnerabilidades encontradas nas aplicações Bridge e Prelude também funcionam de maneira similar.

Em seu boletim de segurança , a Adobe abordou essas questões e seus devidos CVEs associados, mas evitou entrar em detalhes técnicos da exploração de ditas falhas. No presente momento, as falhas foram corrigidas.

Boletim de Segurança da Adobe: https://helpx.adobe.com/security/products/photoshop/apsb20-45.html