Компанія Adobe нещодавно опублікувала останні оновлення програмного забезпечення червня 2019 року для вирішення 11 недоліків безпеки у трьох продуктах масового використання Adobe ColdFusion, Flash Player і Adobe Campaign.
Про це повідомляє The Hacker News.
З них три вразливості впливають на Adobe ColdFusion – комерційну платформу для розробки швидких веб-додатків, що має критичне значення та може призвести до довільних атак виконання коду.
Ось які недоліки були виправлені у ColdFusion:
- CVE-2019-7838 – ця уразливість була класифікована як “обхід чорного списку розширень файлів” і може бути використана, якщо каталог завантажень файлів доступний у мережі.
- CVE-2019-7839 – у ColdFusion 2016 і 2018 виданнях є вразливість для ін’єкції команд, але це не впливає на версію 11 ColdFusion.
- CVE-2019-7840 – ця помилка походить від десеріалізації ненадійних даних, а також призводить до виконання довільного коду в системі.
Окрім ColdFusion, цього місяця Adobe виправляє лише одну уразливість (CVE-2019-7845) у відомому програмному забезпеченні Flash Player, що також є критичним для серйозності і призводить до довільного виконання коду на задіяних Windows, MacOS, Linux або Chrome OS системи.
Про цей недолік повідомляв анонімний дослідник з кібербезпеки Adobe і тепер його можна виправити, встановивши останню версію Flash player 32.0.0.207.
Решта сім недоліків, які компанія Adobe виправляє цього місяця, знаходиться в Adobe Campaign Classic (ACC), передовій платформі крос-канального маркетингу та управління кампаніями, одна з яких критично важлива, три з них оцінені як важливі, а інші 3 представляють невелику загрозу для користувачів .
Єдиний критичний недолік (CVE-2019-7843) в Adobe Campaign може дозволити зловмисникам виконувати команди на уражених системах (Windows і Linux) через помилку виконання коду.
Нагадаємо, виправлена нещодавно уразливість в Oracle WebLogic активно експлуатується кіберзлочинцями для встановлення на вразливі сервери майнерів криптовалют.
Також група дослідників розробила автоматизовану систему для створення профілів браузерів за допомогою двох нових атак на сторонні канали, що дозволяють отримати інформацію про програмне і апаратне забезпечення та більш ефективно відстежити браузер в Інтернеті.
Окрім цього, у компанії Digital Security виявили в смартфонах Samsung уразливості, що дозволяють отримати повний контроль над пристроєм. Проблема зачіпає пристрої з процесорами Qualcomm MSM8896 (Snapdragon 820), MSM8898 (Snapdragon 835), а також Exynos 7420, 7870, 8890 і 8895. В основному це актуальні і флагманські моделі різних років – Galaxy Note 5 і S6, Galaxy S8 і Note 8 , S7 і Note 7, S8 і Note 8, а також J6, J7, A2 Core, J5, M10, A6 і A3.