Adobe пропатчила критические уязвимости в ColdFusion и JRun
:: Новости
Страница 1 из 1
Adobe пропатчила критические уязвимости в ColdFusion и JRun
Adobe пропатчила критические уязвимости в ColdFusion и JRun
Компания Adobe Systems выпустила патчи, закрывающие уязвимости в двух широко распространенных приложениях для веб-разработки. Некоторые из залатанных дыр позволяют нападающим украсть важную информацию или получить полный контроль над машинами пользователей.
В общей сложности, патчи закрывают семь дыр в ColdFusion 8.0.1 и более ранних версиях, а также в JRun 4.0. Самый серьезный баг – уязвимость к межсайтовому скриптингу, методу, позволяющему выполнить вредоносный код, подсунув жертве ссылку-ловушку.
Помимо этого, программисты Adobe закрыли отдельный баг в консоли управления. Дыра позволяла неавторизованным пользователям обходить ограничения на работу с закрытыми директориями, что могло привести к утечке информации. Выпущенный во вторник образец кода показывает, что данную уязвимость можно использовать при помощи ссылки, которая выглядит примерно следующим образом:
http://[server]/server/[profile]/logging/logviewer.jsp?logfile=../../../../../../../boot.ini
Все эти патчи выходят как раз в то время, когда компания Adobe, чье программное обеспечение, пожалуй, еще более распространено, чем ПО от Microsoft, с трудом справляется с выпуском заплаток для многочисленных дыр, из-за которых на компьютеры с установленными продуктами Adobe попадают вредоносные приложения. Так, три недели назад специалисты по безопасности этой фирмы выпустили патч для Flash Player, дыру в котором преступники использовали для взлома пользовательских машин. Кроме того, можно вспомнить и о том, что в прошлом месяце злоумышленники скомпрометировали большое число веб-сайтов, использовав в качестве мишени для атаки входящий в пакет ColdFusion открытый текстовый редактор.
В мае этого года в Adobe заявили о пересмотре подхода к обеспечению безопасности в приложении Adobe Reader, которое используется для работы с документами PDF. Начало просто прекрасное, однако назвать данную инициативу адекватной нельзя при всем желании, поскольку Flash и другие широко используемые программы Adobe по-прежнему остаются без защиты.
В общей сложности, патчи закрывают семь дыр в ColdFusion 8.0.1 и более ранних версиях, а также в JRun 4.0. Самый серьезный баг – уязвимость к межсайтовому скриптингу, методу, позволяющему выполнить вредоносный код, подсунув жертве ссылку-ловушку.
Помимо этого, программисты Adobe закрыли отдельный баг в консоли управления. Дыра позволяла неавторизованным пользователям обходить ограничения на работу с закрытыми директориями, что могло привести к утечке информации. Выпущенный во вторник образец кода показывает, что данную уязвимость можно использовать при помощи ссылки, которая выглядит примерно следующим образом:
http://[server]/server/[profile]/logging/logviewer.jsp?logfile=../../../../../../../boot.ini
Все эти патчи выходят как раз в то время, когда компания Adobe, чье программное обеспечение, пожалуй, еще более распространено, чем ПО от Microsoft, с трудом справляется с выпуском заплаток для многочисленных дыр, из-за которых на компьютеры с установленными продуктами Adobe попадают вредоносные приложения. Так, три недели назад специалисты по безопасности этой фирмы выпустили патч для Flash Player, дыру в котором преступники использовали для взлома пользовательских машин. Кроме того, можно вспомнить и о том, что в прошлом месяце злоумышленники скомпрометировали большое число веб-сайтов, использовав в качестве мишени для атаки входящий в пакет ColdFusion открытый текстовый редактор.
В мае этого года в Adobe заявили о пересмотре подхода к обеспечению безопасности в приложении Adobe Reader, которое используется для работы с документами PDF. Начало просто прекрасное, однако назвать данную инициативу адекватной нельзя при всем желании, поскольку Flash и другие широко используемые программы Adobe по-прежнему остаются без защиты.
Компания сообщила о том, что ей неизвестно о существовании реальных эксплоитов для последних уязвимостей в ColdFusion и JRun. Выпущенный по этому поводу бюллетень безопасности доступен для изучения здесь
Источник: xakep.ru
:: Новости
Страница 1 из 1
Права доступа к этому форуму:
Вы не можете отвечать на сообщения
|
|