Компания Adobe выпустила экстренные обновления для своего популярного видеоредактора Premiere Pro. Разработчики закрыли сразу три опасные уязвимости, которые позволяли злоумышленнику запустить произвольный код на компьютере жертвы. Проблемы затронули версии 26.0.2, 25.6.4 и все более ранние сборки продукта.
Детали уязвимостей
Согласно бюллетеню безопасности, каждая из обнаруженных брешей получила оценку 7,8 балла по шкале CVSS. Это говорит о высоком уровне угрозы. Для успешной атаки злоумышленнику необходимо обманом заставить пользователя открыть специально сформированный вредоносный файл. Однако при выполнении этого условия последствия могут быть катастрофическими: программа позволяет злоумышленнику полностью перехватить управление над системой в контексте текущего пользователя.
Технические детали инцидента раскрывают три отдельные уязвимости, зарегистрированные в базе CVE под идентификаторами CVE-2026-34636, CVE-2026-34637 и CVE-2026-34638. Первые две бреши относятся к классу out-of-bounds write, то есть записи за границы выделенной области памяти. Такая ошибка часто приводит к повреждению данных и делает возможным выполнение произвольного кода. Третья уязвимость - use-after-free (использование памяти после её освобождения) - связана с некорректным управлением динамической памятью. Когда объект удаляется, а указатель на него остаётся, атакующий может манипулировать потоком выполнения программы.
По сути, все три дефекта являются классическими проблемами безопасности низкоуровневого кода. Они возникают из-за недостаточно строгих проверок при обработке мультимедийных данных. Учитывая, что Premiere Pro активно работает с большими файлами - видео, аудио, субтитрами, - создание специального вредоносного проекта или клипа не представляет для опытного злоумышленника особой сложности. Достаточно прислать такой файл по электронной почте, разместить на торрент-трекере или в мессенджере.
Важно отметить, что уязвимости затрагивают как версию Premiere Pro (основной продукт), так и версию Premiere (урезанную редакцию). Пользователи, работающие с версиями 26.0.2 и 25.6.4 и более старыми сборками, находятся в зоне риска. Adobe уже выпустила исправления в версиях 26.2 для Premiere Pro и 25.6.5 для Premiere Pro. Обновление можно загрузить через встроенный механизм обновления Creative Cloud или напрямую с сайта компании.
Конечно, обычные пользователи видеоредактора редко становятся прямыми целями таких атак. Однако профессиональные монтажёры, работающие в крупных медиа-компаниях или на телевидении, могут оказаться особенно привлекательными мишенями для злоумышленников. Если злоумышленник получит доступ к компьютеру такого сотрудника, он сможет украсть конфиденциальные проекты, внедрить вредоносное ПО в общую сеть компании или использовать машину как точку входа для более серьёзной атаки.
К счастью, для эксплуатации всех трёх уязвимостей требуется непосредственное участие пользователя - открытие заражённого файла. Это несколько снижает риск массового заражения. Однако индустрия монтажа традиционно полагается на обмен файлами между участниками проекта, а также на скачивание шаблонов и пресетов из интернета. Именно в таких случаях вероятность встретить вредоносный файл возрастает.
Специалисты по информационной безопасности рекомендуют всем, кто использует Adobe Premiere Pro, как можно скорее установить обновления. Особенно это касается сотрудников медиа-производств, рекламных агентств и студий, где видеоредактор является основным инструментом. Даже если вы не скачиваете файлы из подозрительных источников, компрометация может произойти через доверенные каналы - например, через взломанный облачный сервис или инфицированный проект от коллеги.
Помимо установки обновлений, стоит придерживаться стандартных правил цифровой гигиены: не открывать вложения от незнакомых отправителей, проверять файлы антивирусом перед запуском и ограничивать права пользователя на рабочей станции. Если в компании используется несколько лицензий Premiere Pro, администраторам следует централизованно развернуть патчи через инструменты управления обновлениями.
В целом Adobe вновь демонстрирует, что даже зрелые и широко распространённые продукты не застрахованы от серьёзных ошибок безопасности. Учитывая, что Premiere Pro является стандартом де-факто в видеомонтаже, любая уязвимость в нём потенциально затрагивает тысячи организаций по всему миру. Своевременное обновление - единственный надёжный способ защитить себя и свои данные.
Ссылки
