Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
В рамках июньского «вторника патчей» разработчик залатал 11 брешей, в том числе пять критических.
Компания Adobe выпустила обновления для Flash Player и платформы ColdFusion, в которых объявились программные ошибки, грозящие исполнением произвольного кода.
Совокупно разработчик устранил 11 уязвимостей в трех продуктах, включая маркетинговое решение Adobe Campaign. В итоге новый набор плановых патчей оказался гораздо скромнее предыдущего — в мае Adobe суммарно залатала 87 брешей.
Из новых уязвимостей наиболее опасны те, что были обнаружены в коммерческой платформе Adobe ColdFusion, предназначенной для ускорения разработки веб-приложений. «Adobe выпустила обновления для системы безопасности ColdFusion 2018, 2016 и 11, — сказано в бюллетене. — Эти апдейты устраняют три критические уязвимости, которые могут повлечь исполнение произвольного кода».
Баги классифицируются как обход черного списка файловых расширений (CVE-2019-7838), возможность внедрения команд (CVE-2019-7839) и десериализация недоверенных данных (CVE-2019-7840). Патчи включены в состав обновлений ColdFusion 2018 Update 4, ColdFusion 2016 Update 11 и ColdFusion 11 Update 19. Разработчик рекомендует их установить в течение месяца, так как продукт относится к группе повышенного риска.
В равной степени опасна возможность использования высвобожденной памяти в Adobe Flash (CVE-2019-7845); ее выявил участник проекта Zero Day Initiative (ZDI), пожелавший остаться неизвестным. «Уязвимость use-after-free проявляется при обработке объектов LocalConnection, — пояснил для Threatpost представитель ZDI Дастин Чайлдс (Dustin Childs). — Выполняя действия в ActionScript, злоумышленник может спровоцировать повторное использование указателя после его освобождения. Уязвимость позволяет выполнить любой код в контексте текущего процесса».
Проблема актуальна для десктопных и браузерных Flash Player всех прежних выпусков; пользователям настоятельно рекомендуется установить обновление 32.0.0.207.
Остальные уязвимости были найдены в пакете Adobe Campaign, призванном облегчить создание многоканальных и персонализированных сообщений, а также управление ими. Это критический баг внедрения команд (CVE-2019-7850), пять ошибок, чреватых раскрытием информации (две оценены как существенные, три — как умеренно опасные), а также возможность XML-инъекций, позволяющая получить доступ на чтение к произвольному объекту файловой системы.
Уязвимостям подвержены Adobe Campaign Classic 18.10.5-8984 и более ранние сборки, установленные на Windows и Linux. Проблемы решает установка обновления 19.1.1-9026.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |