Skip to main content

Adobe patcht kritieke kwetsbaarheden in Flash Player, ColdFusion

Adobe Systems heeft beveiligingsupdates uitgebracht voor Flash Player, AIR en ColdFusion om kritieke kwetsbaarheden te verhelpen waardoor aanvallers zonder controle de controle kunnen nemen over getroffen systemen of informatie van servers kunnen lezen.

De updates voor Flash Player en Adobe AIR, een internetrijke toepassing runtime met Flash-ondersteuning, lost twee kwetsbaarheden voor geheugenbeschadiging op die kunnen leiden tot uitvoering van externe code.

Adobe raadt gebruikers aan bij te werken naar Flash Player versie 11.9.900.152 voor Windows en Mac en versie 11.2.202.327 voor Linux. De Flash Player-versie gebundeld met Google Chrome, Internet Explorer 10 op Windows 8 en Internet Explorer 11 op Windows 8.1 wordt automatisch bijgewerkt via de updatemechanismen van die browsers, aldus het bedrijf in een advies.

[Meer informatie: Hoe verwijder malware van uw Windows-pc]

Windows-, Mac- en Android-gebruikers van Adobe AIR en Adobe AIR SDK (software development kit) zouden moeten updaten naar versie 3.9.0.1210 van die programma's.

Adobe heeft ook beveiligings-hotfixes uitgebracht voor versies 10, 9.0.2, 9.0.1 en 9.0 van de ColdFusion-toepassingsserver. Deze patches bieden een kritieke kwetsbaarheid waardoor externe, niet-geverifieerde aanvallers informatie van een kwetsbare server kunnen lezen en een gereflecteerde cross-site scripting (XSS) waarvan de exploitatie verificatie vereist.

ColdFusion-servers zijn in het verleden het doelwit geweest van aanvallers. In januari waarschuwde Adobe klanten dat aanvallers ongepatchte kwetsbaarheden in ColdFusion uitbuitten en in april braken hackers in bij de managementservers en klantendatabase van Linode, een virtueel privé serverhostingbedrijf, door gebruik te maken van een voorheen onbekend ColdFusion-beveiligingslek.

Adobe is niet op de hoogte van eventuele exploits of aanvallen die actief zijn gericht op de kwetsbaarheden die zijn opgelost in de nieuwe beveiligingsupdates en gelooft niet dat de kwetsbaarheden verband houden met de diefstal van de broncode die het bedrijf begin oktober heeft aangekondigd, zei Adobe-woordvoerster Heather Edell via e-mail.

Op 3 oktober maakte Adobe bekend dat hackers inbraken in zijn interne netwerk en de broncode van Adobe Acrobat, ColdFusion, ColdFusion Builder en andere producten hebben gestolen. Beveiligingsonderzoekers zeiden destijds dat het lekken van de broncode aanvallers kan helpen om kwetsbaarheden in de betrokken producten te vinden.