Выполнение произвольного кода в Adobe Substance 3D Stager
Содержание
Уязвимое программное обеспечение
Substance 3D Stager:
- 2.0.0 - 3.1.5
Последствия эксплуатации
ACE: Выполнение произвольного кода
Common Vulnerability Scoring System
Рейтинг: ВЫСОКИЙ
Оценка: 7.8
Вектор: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Вектор атаки: Локальный
Сложность атаки: Низкая
Требуемые привилегии: Нет
Границы эксплуатации: Неизменный
Влияние на Конфиденциальность: Высокая
Влияние на Целостность: Высокая
Влияние на Доступность: Высокая
Метод эксплуатации
Использование памяти после ее освобождения
Взаимодействие с пользователем: Требуется
Уменьшение последствий
Данная уязвимость устраняется официальным патчем вендора.
Наличие обновления: Есть
Common Weakness Enumeration
CWE: CWE-416
Описание: Использование после освобождения
Офигеть, опять use-after-free в адобе! Чет эти ребята вообще не учатся на своих косяках, каждый раз одно и то же. Кто-нибудь уже успел накатить патч или пока сидим на пороховой бочке?
Читаю и думаю, Да уж, классика жанра от Adobe. Я патч уже установил - вроде бы без проблем обновилось через Creative Cloud. А ты как, ставил или ждешь? ^^
Пока не ставил, жду когда будет время проверить совместимость с текущим проектом. У них же иногда после обновления плагины отваливаются, знаешь эту историю? -_-
На самом деле, Да уж, с памятью у них вечные проблемы. Я тоже обновился через Creative Cloud, процесс занял пару минут. Кстати, в списке исправлений ещё пару багов поправили, не только этот CVE. :-(
Вообще-то, Тоже заметил в списке исправлений пару других багов, связанных с импортом. У них там вечно что-то с парсингом файлов происходит. Кстати, а не попадались ли тебе после обновления какие-нибудь глюки с рендером?