Skip to main content

Adobe javítja a Flash Player, a ColdFusion

Az Adobe szoftverek biztonsági rései engedélyezett távoli kódfuttatást vagy távoli olvasási hozzáférést engedélyeztek

Az Adobe Systems biztonsági frissítéseket adott ki a Flash Player, az AIR és a ColdFusion számára a kritikus sérülékenységek felszámolása érdekében, amelyek lehetővé teszik a támadók számára az érintett rendszerek irányítását, illetve engedély nélküli engedélyezését a szerverekről.

A Flash Player és az Adobe AIR futásidejű Flash-támogatással javíthatja a memória sérülékenységét, amely távoli kódfuttatást eredményezhet.

Az Adobe azt javasolja, hogy a felhasználók frissítsenek a Flash Player 11.9.900.152 verziójára Windows és Mac esetében, valamint a Linux 11.2.202.327 verzióját. A Google Chrome-ban csomagolt Flash Player verziója, a Windows 8 rendszeren futó Internet Explorer 10 és a Windows 8.1 operációs rendszert futtató Internet Explorer 11 frissítése automatikusan frissül a böngészők frissítési mechanizmusain keresztül, amelyet a vállalat egy tanácsadói véleményében elmondott.

[További olvasmány: távolítsa el a rosszindulatú programokat a Windows számítógépről]

Az Adobe AIR és az Adobe AIR SDK (szoftverfejlesztési készlet) Windows, Mac és Android felhasználóknak frissíteniük kell a 3.9.0.1210 verziót.

Az Adobe szintén kiadta a gyorsjavítást a verziókhoz 10, 9.0.2, 9.0.1 és 9.0-os ColdFusion alkalmazásszervere. Ezek a javítások olyan kritikus sérülékenységet kezelnek, amely lehetővé teheti a távoli, nem hitelesített támadók számára, hogy információkat olvassanak egy sérülékeny kiszolgálóról és egy visszavert kereszttelepítési szkriptet (XSS), amelynek kizsákmányolása hitelesítést igényel.

A ColdFusion-kiszolgálókat a múltban támadók célozták meg. Januárban az Adobe figyelmeztette az ügyfeleket, hogy a támadók kihasználják a ColdFusion-ban a sebezhetőségeket, és áprilisban a hackerek betörtek a Linode egy virtuális magánhálózati kiszolgáló cég irányító kiszolgálóira és ügyféladatára egy korábbi, ismeretlen ColdFusion biztonsági rés kihasználásával.

Az Adobe nem tudatában vannak az olyan kihasználásoknak vagy támadásoknak, amelyek aktívan célozzák meg az új biztonsági frissítésekben rögzített biztonsági réseket, és nem hiszi, hogy a biztonsági rések kapcsolatban állnak a forráskód ellopásával, amelyet október elején bejelentettek, mondta Heather Edell, az Adobe szóvivője e-mailben.