Apple-gebruikers vatbaar voor lek in Adobe Creative Suite
Gepubliceerd: Woensdag 31 augustus 2005
Auteur: Niels de Rijk
Beveiligingsexperts van iDefense waarschuwen voor twee nieuwe lekken in de versiebeheersoftware van Adobe, Version Cue. Alleen Apple-gebruikers hebben iets te vrezen.
Adobe Version Cue controleert het versienummer van de applicaties in Creative Suite, het pakket waarin onder meer Adobe Photoshop, Adobe Illustrator en Adobe InDesign zijn ondergebracht.
Hackers kunnen, mits zij toegang hebben tot de machine waarop de Adobe-producten zijn geïnstalleerd, administrator-rechten verwerven en het systeem overnemen.
Het eerste lek bevindt zich in VCNative, een beheerdersapplicatie in Version Cue. Hackers kunnen met een eigen commando een aangepaste bibliotheek laden, aldus beveiligingsbureau iDefense.
Door het andere lek kan misbruik worden gemaakt van de voorspelbare naam van het logbestand, dat bij het opstarten van VCNative wordt gecreëerd. Dit bestand kan gemakkelijk worden vervangen door een bestand dat kwaadaardige codes uitvoert.
Volgens Michael Sutton, beveiligsdeskundige bij iDefense, circuleert er al een exploit voor de lekken rond. Deze kan onder andere worden gevonden op de site van het FrSIRT (French Security Incident Response Team).
Volgens iDefense is alleen de eerste versie van Creative Suite voor Apple OS X kwetsbaar. Adobe heeft patches gepubliceerd om de lekken te dichten (zie hier en hier).
