Adobe已发布了2018年9月的安全修补程序更新,其中包含Flash Player和ColdFusion中的10个漏洞,其中6个被评为影响ColdFusion的关键漏洞,可能允许攻击者在易受攻击的服务器上远程执行任意代码。 本月Adobe用户有什么好消息? 本月Adobe Acrobat和Reader应用程序未收到任何补丁更新,而Adobe Flash Player仅收到了一个被评为重要的权限升级漏洞(CVE-2018-15967)的更新。 其次,Adobe表示,本月修补的安全漏洞无论是公开披露还是被发现都是在公众被积极利用。
Adobe已经在其ColdFusion Web应用程序开发平台中解决了总共九个安全漏洞,其中六个是关键的,两个是重要的,一个是中等的。 根据Adobe发布的咨询报告,ColdFusion包含四个不受信任的数据漏洞的重要反序列化(CVE-2018-15965,CVE-2018-15957,CVE-2018-15958,CVE-2018-15959),这些漏洞可能导致任意代码执行。 在ColdFusion中解决的其余两个关键漏洞中,一个是无限制的文件上传漏洞(CVE-2018-15961),可能导致任意代码执行,另一个(CVE-2018-15960)可以启用任意文件覆盖。 该公司还发布了ColdFusion中两个“重要”安全漏洞的补丁 - 安全绕过故障(CVE-2018-15963),允许任意文件夹创建,以及可以实现信息泄露的目录列表缺陷(CVE-2018-15962) - - 以及温和的信息泄露错误(CVE-2018-15964)。 漏洞影响2016年(更新版本6及更早版本)和7月12日(2018年)版本的ColdFusion,以及ColdFusion 11(更新版本14及更早版本)。 Adobe建议最终用户和管理员将其安装更新到ColdFusion 2018 Update 1,ColdFusion 2016 Update 7和ColdFusion 11 Update 15。
除了ColdFusion之外,Adobe还发布了适用于Windows,macOS,Linux和Chrome OS的Flash Player安全更新,解决了Google Chrome,Desktop Runtime,Microsoft Edge和Internet Explorer 11. 的版本30.0.0.154及更早版本的“重要”缺陷。 问题是特权升级漏洞(CVE-2018-15967)可能导致信息泄露。该公司建议Flash Player用户尽快更新到版本31.0.0.208。
领取专属 10元无门槛券
私享最新 技术干货