Πρόσφατα παρουσιάστηκαν τρεις ευπάθειες στην πλατφόρμα ColdFusion της Adobe. Η εταιρεία προχώρησε άμεσα στην κυκλοφορία μιας ενημερωμένης έκδοσης για την αντιμετώπιση των ευπαθειών. Η μία από αυτές μάλιστα θεωρήθηκε ιδιαίτερα κρίσιμη.
Η Adobe δήλωσε ότι οι ευπάθειες επηρεάζουν το ColdFusion 2016 και 2018.
Η ενημερωμένη έκδοση κυκλοφόρησε την Τρίτη, 24 Σεπτεμβρίου. Η εταιρεία έκανε τις απαραίτητες διορθώσεις ώστε να εμποδίσει την πιθανή εκτέλεση κακόβουλου κώδικα, την παράκαμψη ελέγχου πρόσβασης και τις διαρροές δεδομένων.
Η πρώτη ευπάθεια, αυτή που έχει χαρακτηριστεί ως κρίσιμη, έχει ονομαστεί CVE-2019-8073. Το συγκεκριμένο σφάλμα ασφαλείας μπορεί να επιτρέψει σε hackers να εκτελέσουν κακόβουλο κώδικα.
Η ενημερωμένη έκδοση επιλύει και μια δεύτερη ευπάθεια, γνωστή ως CVE-2019-8074, η οποία χαρακτηρίζεται ως path traversal ευπάθεια. Οι επιτιθέμενοι μπορούν να εκμεταλλευτούν αυτή την ευπάθεια για να παρακάμψουν τον έλεγχο πρόσβασης σε συστήματα. Αν καταφέρουν να παρακάμψουν τους ελέγχους, οι hackers θα είναι σε θέση να κάνουν διάφορα πράγματα, όπως να εκτελέσουν κακόβουλο κώδικα.
Η τρίτη ευπάθεια ονομάζεται CVE-2019-8072. Η ευπάθεια επιτρέπει, επίσης, την παράκαμψη της ασφάλειας και την κλοπή προσωπικών πληροφοριών.
Οι ευπάθειες ανακαλύφθηκαν από τους ερευνητές των Foundeo και το Knownsec 404. Η Adobe φρόντισε να ευχαριστήσει τους ερευνητές.
Η Adobe συμβουλεύει τους χρήστες της πλατφόρμας ColdFusion να εγκαταστήσουν τη νέα ενημερωμένη έκδοση όσο το δυνατόν πιο γρήγορα. Οι χρήστες της ColdFusion 2016 θα πρέπει να εγκαταστήσουν την Ενημέρωση 12, ενώ οι χρήστες της ColdFusion 2018 θα πρέπει να χρησιμοποιήσουν την Ενημέρωση 5.
Η Adobe δεν είναι η μόνη εταιρεία που εξέδωσε ενημερώσεις αυτή τη εβδομάδα. Η Microsoft εξέδωσε επίσης μια έκτακτη ενημερωμένη έκδοση για την επίλυση κρίσιμων σφαλμάτων ασφαλείας. Η πρώτη ευπάθεια είναι γνωστή ως CVE-2019-1367, εντοπίζεται στον Internet Explorer και επιτρέπει την απομακρυσμένη εκτέλεση κώδικα. Η δεύτερη ευπάθεια, CVE-2019-1255, είναι ένα denial-of-service σφάλμα στην υπηρεσία προστασίας από ιούς, Microsoft Defender. Η δεύτερη ευπάθεια είναι λιγότερο σοβαρή, γιατί για να χρησιμοποιηθεί, οι hackers πρέπει πρώτα να αποκτήσουν πρόσβαση στο σύστημα.
