Adobe vá các lỗ hổng trong Flash Player, ColdFusion
Diễn đàn - Ngày đăng : 09:44, 13/09/2018
Chỉ có 1 lỗ hổng bảo mật được vá trong Flash Player. Phiên bản 31.0.0.108 vá lỗ hổng CVE-2018-15967, một vấn đề về leo thang đặc quyền có thể dẫn tới lộ lọt thông tin.
Lỗ hổng này được Trung tâm ứng phó bảo mật (Security Response Center) của Microsoft thông báo tới Adobe. Lỗ hổng được đánh giá là “quan trọng” với mức ưu tiên xếp hàng thứ 2. Điều này cho thấy rằng nhà cung cấp không mong đợi sẽ thấy lỗ hổng bị khai thác mạnh.
9 lỗ hổng còn lại đã được xử lý trong ColdFusion, bao gồm một số vấn đề về deserialization (một quá trình chuyển đổi cấu trúc dữ liệu) có thể bị khai thác để thực thi mã tùy ý. Một lỗi tải lên tệp (file upload) không giới hạn có thể dẫn tới thực thi mã cũng đã được xếp vào loại rất quan trọng. Một lỗ hổng quan trọng khác liên quan tới việc sử dụng một thành phần chưa được đặt tên. Lỗ hổng này có thể cho phép tin tặc ghi đè lên các tệp tin tùy chỉnh.
Có hai lỗ hổng được vá trong trong ColdFusion được xếp vào loại "quan trọng". Tin tặc có thể khai thác lỗ hổng này để tạo ra những thư mục tùy chỉnh và chiếm các danh sách thư mục.
Sau cùng, Adobe đã thông báo tới khách hàng rằng ColdFusion cũng bị ảnh hưởng bởi một một lỗ hổng gây lộ lọt thông tin có mức độ nghiêm trọng vừa phải cũng được cho là sử dụng một thành phần có lỗ hổng đã được biết đến.
Nhà cung cấp tin tưởng các nhà nghiên cứu từ Code White, Venustech-Adlab, Foundeo và Cognitous về việc thông báo các lỗ hổng trong ColdFusion.
Các lỗ hổng bảo mật ảnh hưởng tới ColdFusion 11, 2016 và 2018 và Adobe đã cung cấp những hướng dẫn cập nhật cho từng phiên bản.