SOS :: Security Operation Space
16 июня, воскресенье, 00:00
|
Hot News:

В Adobe Flash и ColdFusion закрыты опасные уязвимости

12 июня 2019 г., среда, 06:57

В рамках июньского «вторника патчей» разработчик залатал 11 брешей, в том числе пять критических.

Компания Adobe выпустила обновления для Flash Player и платформы ColdFusion, в которых объявились программные ошибки, грозящие исполнением произвольного кода.

Совокупно разработчик устранил 11 уязвимостей в трех продуктах, включая маркетинговое решение Adobe Campaign. В итоге новый набор плановых патчей оказался гораздо скромнее предыдущего — в мае Adobe суммарно залатала 87 брешей.

Из новых уязвимостей наиболее опасны те, что были обнаружены в коммерческой платформе Adobe ColdFusion, предназначенной для ускорения разработки веб-приложений. «Adobe выпустила обновления для системы безопасности ColdFusion 2018, 2016 и 11, — сказано в бюллетене. — Эти апдейты устраняют три критические уязвимости, которые могут повлечь исполнение произвольного кода».

Баги классифицируются как обход черного списка файловых расширений (CVE-2019-7838), возможность внедрения команд (CVE-2019-7839) и десериализация недоверенных данных (CVE-2019-7840). Патчи включены в состав обновлений ColdFusion 2018 Update 4, ColdFusion 2016 Update 11 и ColdFusion 11 Update 19. Разработчик рекомендует их установить в течение месяца, так как продукт относится к группе повышенного риска.

В равной степени опасна возможность использования высвобожденной памяти в Adobe Flash (CVE-2019-7845); ее выявил участник проекта Zero Day Initiative (ZDI), пожелавший остаться неизвестным. «Уязвимость use-after-free проявляется при обработке объектов LocalConnection, — пояснил для Threatpost представитель ZDI Дастин Чайлдс (Dustin Childs). — Выполняя действия в ActionScript, злоумышленник может спровоцировать повторное использование указателя после его освобождения. Уязвимость позволяет выполнить любой код в контексте текущего процесса».

Проблема актуальна для десктопных и браузерных Flash Player всех прежних выпусков; пользователям настоятельно рекомендуется установить обновление 32.0.0.207.

Остальные уязвимости были найдены в пакете Adobe Campaign, призванном облегчить создание многоканальных и персонализированных сообщений, а также управление ими. Это критический баг внедрения команд (CVE-2019-7850), пять ошибок, чреватых раскрытием информации (две оценены как существенные, три — как умеренно опасные), а также возможность XML-инъекций, позволяющая получить доступ на чтение к произвольному объекту файловой системы.

Уязвимостям подвержены Adobe Campaign Classic 18.10.5-8984 и более ранние сборки, установленные на Windows и Linux. Проблемы решает установка обновления 19.1.1-9026.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
16:02
14:17
14:12
14:10
13:15
12:26
12:15
09:15
07:15
07:15
06:15
06:15
17:32
16:15
15:15
14:53
13:19
12:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.279
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.