В Adobe Flash и ColdFusion закрыты опасные уязвимости

Компания Adobe выпустила обновления для Flash Player и платформы ColdFusion, в которых объявились программные ошибки, грозящие исполнением произвольного кода.

Совокупно разработчик устранил 11 уязвимостей в трех продуктах, включая маркетинговое решение Adobe Campaign. В итоге новый набор плановых патчей оказался гораздо скромнее предыдущего — в мае Adobe суммарно залатала 87 брешей.

Из новых уязвимостей наиболее опасны те, что были обнаружены в коммерческой платформе Adobe ColdFusion, предназначенной для ускорения разработки веб-приложений. «Adobe выпустила обновления для системы безопасности ColdFusion 2018, 2016 и 11, — сказано в бюллетене. — Эти апдейты устраняют три критические уязвимости, которые могут повлечь исполнение произвольного кода».

Баги классифицируются как обход черного списка файловых расширений (CVE-2019-7838), возможность внедрения команд (CVE-2019-7839) и десериализация недоверенных данных (CVE-2019-7840). Патчи включены в состав обновлений ColdFusion 2018 Update 4, ColdFusion 2016 Update 11 и ColdFusion 11 Update 19. Разработчик рекомендует их установить в течение месяца, так как продукт относится к группе повышенного риска.

В равной степени опасна возможность использования высвобожденной памяти в Adobe Flash (CVE-2019-7845); ее выявил участник проекта Zero Day Initiative (ZDI), пожелавший остаться неизвестным. «Уязвимость use-after-free проявляется при обработке объектов LocalConnection, — пояснил для Threatpost представитель ZDI Дастин Чайлдс (Dustin Childs). — Выполняя действия в ActionScript, злоумышленник может спровоцировать повторное использование указателя после его освобождения. Уязвимость позволяет выполнить любой код в контексте текущего процесса».

Проблема актуальна для десктопных и браузерных Flash Player всех прежних выпусков; пользователям настоятельно рекомендуется установить обновление 32.0.0.207.

Остальные уязвимости были найдены в пакете Adobe Campaign, призванном облегчить создание многоканальных и персонализированных сообщений, а также управление ими. Это критический баг внедрения команд (CVE-2019-7850), пять ошибок, чреватых раскрытием информации (две оценены как существенные, три — как умеренно опасные), а также возможность XML-инъекций, позволяющая получить доступ на чтение к произвольному объекту файловой системы.

Уязвимостям подвержены Adobe Campaign Classic 18.10.5-8984 и более ранние сборки, установленные на Windows и Linux. Проблемы решает установка обновления 19.1.1-9026.

Источник: https://threatpost.ru/critical-adobe-flash-coldfusion-vulnerabilities-patched/33040/

Дата: 2019-06-12 20:03:28

Источник: https://exploit.in/2019/12442/