Adobe исправила две ошибки в ColdFusion и выпустила обновление для Flash Player, закрыв уязвимость, позволяющую выполнить произвольный код. По словам разработчиков, ни одна из закрываемых брешей пока не эксплуатируется и не имеет отношения к недавней краже исходников Adobe либо утечке 150 млн клиентских записей.

Об одном из багов в ColdFusion разработчикам сообщил Алекс Холден (Alex Holden) ― тот самый эксперт из Hold Security, который вместе с Брайаном Кребсом обнаружил на хакерском сервере данные, украденные в результате взлома систем Adobe. Комментируя очередной выпуск патчей от Adobe, Кребс отметил, что одна из закрываемых уязвимостей в ColdFusion является брешью нулевого дня и уже использовалась в атаках против нескольких компаний.

Согласно Adobe, наиболее высоким приоритетом обладает заплатка для платформы ColdFusion 10, работающей под ОС Windows. Соответствующая уязвимость позволяет злоумышленнику получить удаленный доступ для чтения через открытую директорию CFIDE. Вторая закрываемая брешь в ColdFusion дает возможность авторизованному пользователю провести XSS-атаку и актуальна для версий 10, 9.0.2, 9.0.1 и 9.0 под Windows, Mac OS X или Linux.

Патчи для Flash Player предназначены для версий 11.9.900.117 и ниже, работающих под управлением Windows или OS X, а также для 11.2.202.310 под Linux. Они закрывают чреватые крэшем уязвимости, которые к тому же позволяют установить удаленный контроль над системой.

В текущем году оба продукта Adobe латались много раз. В начале января разработчики обнаружили активные эксплойты к незакрытым уязвимостям в ColdFusion, которые срочно пришлось фиксить. Следующее обновление появилось в мае, через несколько недель после атаки на хостинг-провайдера Linode. Злоумышленники использовали 0-day лазейку, чтобы украсть клиентские данные, в том числе финансовую информацию. Задолго до этого, в декабре 2012 года, Adobe пришлось устранять огрехи в механизмах песочницы ColdFusion, а еще ранее ― патчить уязвимость отказа в обслуживании.

Напомним, в прошлом месяце ColdFusion стал объектом кражи со взломом в ходе масштабного налета. Помимо исходников этой платформы взломщикам удалось украсть коды Acrobat, Publisher, PhotoShop и некоторых других продуктов Adobe. Злоумышленники также получили доступ к 150 млн клиентских ID, включая пароли.

Категории: Уязвимости