Foi publicada hoje uma nova vulnerabilidade crítica no instalador do Adobe Photoshop, registrada como CVE-2026-34632 . A falha possui classificação de severidade HIGH (8.2) e pode permitir a execução arbitrária de código no contexto do usuário atual, caso explorada por um atacante local com privilégios reduzidos.

Versões Afetadas

Informações preliminares indicam que afeta instaladores recentes do Photoshop 2026 (v27.x). A Adobe ainda não publicou boletim específico (APSB), mas segue padrão de atualizações recentes como APSB26-40.

Impacto Prático

• Persistência local: Comprometimento total da conta do usuário durante instalação.

• Escalada em estações compartilhadas: DLL sideloading em diretórios acessíveis (ex: working directory, PATH manipulável).

• Ambientes corporativos: Scripts de deployment automatizados amplificam risco.

• Sem exploração ativa conhecida (até o momento da publicação desse texto).

Status da Correção

Aguardando APSB – Adobe Product Security Bulletins específico. Padrão histórico indica patch em 3-7 dias. Versões Photoshop 2026 v27.5+ podem já incluir correção silenciosa. Verifique via Creative Cloud Desktop ou download oficial. Verifique sempre no site oficial em https://helpx.adobe.com/security/security-bulletin.html e para o Photoshop especificamente: https://helpx.adobe.com/security/products/photoshop.html

Detalhes Técnicos

O instalador do Adobe Photoshop contém uma vulnerabilidade classificada como CWE-427 – Uncontrolled Search Path Element, decorrente da ausência de validação adequada na ordem de busca de bibliotecas e binários auxiliares utilizados durante a execução do processo de instalação. Nesse contexto, o instalador depende do mecanismo padrão de resolução de caminhos do sistema operacional para localizar determinados componentes, permitindo que diretórios controláveis pelo usuário sejam considerados na cadeia de busca.

Essa condição pode resultar em um cenário de DLL Search Order Hijacking ou Binary Side-Loading [1], no qual um atacante local posiciona um artefato malicioso, por exemplo uma DLL manipulada, em um diretório que possua precedência na ordem de busca definida pelo sistema. Quando o instalador é executado, o componente malicioso pode ser carregado antes do recurso legítimo esperado, levando à execução arbitrária de código no contexto de segurança do usuário que executa o instalador.

A exploração da vulnerabilidade requer acesso local ao sistema e a capacidade de gravar arquivos em um diretório que seja considerado durante a resolução de dependências do instalador.

Embora não implique, por si só, elevação direta de privilégios, a falha pode ser explorada para execução de código, persistência local ou comprometimento inicial do sistema, especialmente quando combinada com vetores de engenharia social, distribuição de instaladores adulterados ou ambientes com estações de trabalho compartilhadas.

Em cenários corporativos, essa vulnerabilidade pode ser utilizada como etapa inicial de comprometimento (initial foothold) ou como mecanismo de execução confiável (trusted execution proxy), explorando o fato de que o código malicioso é carregado por um instalador legítimo e assinado.

Contexto Histórico

Padrão recorrente na Adobe: O CVE-2025-21127 (Photoshop Desktop 25.12/26.1) usou mesma técnica CWE-427. Reforça necessidade de revisão sistemática de search paths em instaladores.

Referências

[1] DLL Security: Protegendo-se Contra Ataques de Preloading e Hijacking – Artigo da série dedicado especificamente ao problema de DLL search order hijacking / binary planting.

Nota de transparência: Essa publicação NÃO utilizou de ferramentas de Inteligência Artificial Generativa para sua escrita, exceto para realização de pesquisa e validação de referências. Os demais o conteúdos foram elaborados e revisados pelo autor.