Adobe vá những lỗ hổng trong ColdFusion, LiveCycle Data Services và Premiere Clip

adobe-va-lo-hong-moiAdobe đã phát hành bản cập nhật bảo mật cho máy chủ ứng dụng ColdFusion, framework của LiveCycle Data Services và ứng dụng Premiere Clip trên iOS.

Adobe phát hành hotfix cho phiên bản ColdFusion 11 và 10, cụ thể là ColdFusion 11 Update 7 và ColdFusion 10 Update 18. Cả hai bản cập nhật giải quyết hai vấn đề xác nhận đầu vào có thể bị khai thác để thực hiện tấn công cross-site scripting (XSS). Các hotfix đó bao gồm một phiên bản cập nhật của BlazeDS, một giao thức tin nhắn Java cho các ứng dụng Internet phong phú, chúng giúp giải quyết lỗ hổng server-side request forgery nghiêm trọng.

Cài đặt Adobe ColdFusion thường là mục tiêu của những kẻ tấn công. Năm 2013, các nhà nghiên cứu ghi nhận một cuộc tấn công mà tin tặc khai thác lỗ hổng ColdFusion để cài đặt phần mềm độc hại trên máy chủ Microsoft IIS.

Cùng năm 2013, một công ty server hosting tên là Linode đã bị xâm nhập thông qua một lỗ hổng ColdFusion và Adobe đã thông báo 2 khuyến cáo về lỗ hổng bảo mật trong các máy chủ ứng dụng web đang bị khai thác bởi những kẻ tấn công.

Các lỗ hổng server-side request forgery trong BlazeDS cũng đã được vá trong LiveCycle Data Services, trong đó bao gồm công nghệ nhắn tin. Các phiên bản cập nhật của LiveCycleDS là 4.7.0.354178, 4.6.2.354178, 4.5.1.354177, 3.1.0.354180 và 3.0.0.354175.

Cuối cùng, lỗ hổng xác nhận đầu vào đã được vá trong Adobe Premiere Clip trên iOS, với phiên bản vá là 1.2.1.

computerworld.com

Ads

https://vnitnews.com

Leave a Reply

Email của bạn sẽ không được hiển thị công khai.