Adobe: Sicherheitsflicken für Flash Player, Campaign und ColdFusion

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 35197
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Adobe: Sicherheitsflicken für Flash Player, Campaign und ColdFusion

Beitrag von doelf » 17 Jun 2019, 16:04

Nach geplanten Wartungsarbeiten am heutigen Vormittag starten wir in diese Woche mit einem Blick zurück: Letzte Woche hatte Adobe kritische Sicherheitslücken in seinen Programmen Flash Player, Campaign und ColdFusion geschlossen. Bei allen drei Produkten ist es möglich, dass Angreifer über die Schwachstellen Schadcode einschleusen und ausführen.

Im Flash Player 32.0.0.192 und älter wurde ein Zugriff auf ein bereits gelöschtes Objekt beseitigt (CVE-2019-7845), gemeldet wurde das Problem von Trend Micros Zero Day Initiative. Laut Adobe können Angreifer den Fehler ausnutzen, um eigenen Code im Kontext des angemeldeten Benutzers auszuführen. Die fehlerbereinigte Version 32.0.0.207 sollte binnen 30 Tagen eingespielt werden. Einzig Linux-Nutzer abseits von Chrome dürfen sich mehr Zeit lassen. Weitere Details gibt es bei Adobe.

Bei ColdFusion sind alle Versionen bis 2018 Update 3, 2016 Update 10 bzw. ColdFusion 11 Update 18 über drei kritische Lücken angreifbar. Als abgesichert gelten ColdFusion 2018 Update 4, 2016 Update 11 sowie ColdFusion 11 Update 19. Wer bei ColdFusion Uploads aus dem Internet erlaubt, kann potentiell gefährliche Dateitypen anhand ihrer Endung auf eine schwarze Liste setzen, doch diese ließ sich umgehen (CVE-2019-7838). Den Programmversionen 2018 und 2016 können Angreifer Befehle unterschieben (CVE-2019-7839) und dazu gibt es noch eine Deserialisierung nicht vertrauenswürdiger Daten (CVE-2019-7840). Ein Update binnen 30 Tagen wird empfohlen, weitere Details gibt es bei Adobe.

Gleich sechs Sicherheitslücken wurden in Adobe Campaign Classic entdeckt. Ein kritischer Fehler erlaubt das Einschleusen von Befehlen und damit das Ausführen von Schadcode (CVE-2019-7850), während sich aufgrund unzureichender Beschränkungen für externe XML-Dateien beliebige Bereiche des Dateisystems auslesen lassen (CVE-2019-7847, schwerwiegend). Ebenfalls als schwere Lücke gilt eine unzureichende Eingabeprüfung (CVE-2019-7843), welche sich, wie auch drei Fehler mittleren Risikos - eine aufschlussreiche Fehlermeldung (CVE-2019-7941), eine fehlerhafte Fehlerbehandlung (CVE-2019-7846) und eine unzureichende Zugangsprüfung (CVE-2019-7848) - zum Abgreifen von Informationen eignet. Das Update auf Campaign Classic 19.1.1-9026 behebt diese Probleme, wobei man sich mit der Aktualisierung laut Adobe ruhig Zeit lassen darf. Weitere Details gibt es bei Adobe.

Quelle:
https://helpx.adobe.com/security.html
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Antworten