CISA har tilføjet en den nyligt opdaterede kritiske sårbarhed Adobe ColdFusion version 2021 og 2018 til sit katalog over sikkerhedsfejl.
Der er tale om en fejl, der blev kendt i offentligheden ifm. Adobes Patch Tuesday den anden tirsdag i måneden, hvor det blev meldt ud, at Adobe havde kendskab til udnyttelser i meget begrænsede angreb. Det skriver Bleeping Computer og en række andre medier.
Adobe advarer om, at der er fundet og rettet en kritisk 0-dags fejl i ColdFusion webapp-udviklingsplatform.
Det skriver Security Affairs i en artikel, hvor det også fremgår, at den pågældende sårbarhed ifølge Adobe er blevet udnyttet i ’meget begrænsede angreb’.
Adobe har udgivet opdateringer til version 2021 og 2018 af ColdFusion mhp. at rette fejlen, der med en score på 8,6 er alvorlig, men ikke alvorlig nok til at være kritisk, selv om den har været udnyttet. Det kræver en score på over 9 for at være ’kritisk’. Fejlen har id’et CVE-2023-26360.
Adobe har i sin version af Patch Tuesday udrullet sin første runde sikkerhedsrettelser i 2023 til håndtering af 29 sikkerhedssårbarheder i en række virksomhedsprodukter. Det skriver Security Week.
Den mest fremtrædende fejl gør det muligt for angribere at udsætte Windows- og macOS-brugere for angreb med afvikling af kode.
Adobe har udsendt en lang række rettelser for at håndtere 46 sårbarheder i deres virksomhedsrettede softwareprodukter i forbindelse med Patch Tuesday. Det skriver Security Week.
Der er bl.a. tale om kritiske fejl, der kan udsætte både Windows- og macOS-brugere for ondsindede hackerangreb i form af afvikling af skadelig kode. De mest alvorlige af de dokumenterede fejl påvirker Adobe Animate, Adobe Bridge, Adobe Illustrator, Adobe InCopy og Adobe InDesign. Dog har Adobe ikke kendskab til, at nogen af fejlene pt. bliver udnyttet i angreb.
Adobe har tirsdag sendt sikkerhedsopdateringer på gaden for at håndtere fejl. der kan udnyttes til afvikling af skadelig kode i hhv. Illustrator- og After Effects-produkter.
Det skriver Security Week.
Den mest alvorlige af sårbarhederne findes i design-programmet Adobe Illustrator og betegnes som værende kritisk ud fra en CVSS-scores på 7,8. Sårbarheden har id’et CVE-2022-23187 og påvirker Illustrator 2022 version 26.0.3 (og tidligere versioner) på både Windows- og macOS-maskiner. Brugerne opfordres til at opgradere til Illustrator 2022 version 26.1.0.
Sårbarheden har fået id'et CVE-2022-24086 og en CVSS-score på 9,8 ud af 10. Den er blevet karakteriseret som et inputvalideringproblem, som udnyttes til eksekvering af uautoriseret kode.
Det er også en præ-autentifikationsfejl, hvilket betyder, at der kan opnås uautoriseret adgang uden legitim autentifikation.
Fejlen påvirker Adobe Commerce og Magento Open Source 2.4.3-p1 og tidligere versioner samt 2.3.7-p2 og tidligere versioner. Adobe Commerce 2.3.3 og lavere er ikke sårbare.
Adobe har udsendt rettelser til håndtering af sårbarheder, hvoraf de fleste påvirker virksomhedens vektorgrafiksoftware til Illustrator. Det skriver Security Week på baggrund af en meddelelse fra CISA.
Der er tale om rettelser til følgende produkter:
Premiere Rush
Illustrator
Photoshop
After Effects
Creative Cloud Desktop
Der er udsendt advisories til hver af produkterne, som kan findes på Adobes sikkerhedsside.
Softwareproducenten Adobe udsendte tirsdag rettelser til mindst fire sikkerhedsfejl, der kan udsende brugere for hackerangreb. Det skriver Security Week.
Den mest alvorlige af fejlen blev rettet i RoboHelp Server og er vurderet som "kritisk", fordi den kan udsætte virksomhedsmiljøer for angreb med afvikling af vilkårlig kode til følge.
Adobe har i forbindelse med rettelsen advaret om, at sårbarheden - CVE-2021-39858 - påvirker RoboHelp Server RHS2020.0.1 og tidligere versioner på Microsoft Windows-platformen, men Adobe er ikke vidende om evt. aktuelle udnyttelser.
Der rapporteres om sårbarheder i flere forskellige produkter fra virksomheden Adobe. En angriber kan i værste fald udnytte sårbarhederne til at overtage kontrollen med sårbare systemer.