Dragnet: Big Cab / Big Slip / Big Try / Big Little Mother
Adobe ha avvertito gli utenti della propria piattaforma di server applicazioni ColdFusion di una vulnerabilità critica che potrebbe consentire agli utenti non autorizzati di accedere a file riservati memorizzati sui loro server.
La vulnerabilità è identificata come CVE- 2013-3336 e interessa ColdFusion 10, 9.0.2, 9.0.1, 9.0 e versioni precedenti per Windows, Mac e Unix, ha detto Adobe in un comunicato pubblicato mercoledì.
La società ha accreditato Marcin Siedlarz del team di Security Response di Symantec con segnalando il problema. "Ci sono rapporti secondo cui un exploit per questa vulnerabilità è pubblicamente disponibile", ha detto Adobe.
[Ulteriori letture: Come rimuovere malware dal PC Windows]La società sta lavorando a una correzione e prevede di rilasciarla pubblicamente il 14 maggio. Fino ad allora, si consiglia ai clienti di limitare l'accesso pubblico a determinate directory sensibili come CFIDE / amministratore, CFIDE / adminapi e CFIDE / Gettingstart.
Le informazioni su come limitare l'accesso a queste directory sono fornite in ColdFusion 9 Lockdown Guida e ColdFusion 10 Guida al blocco. I clienti che hanno indurito le proprie installazioni ColdFusion seguendo le indicazioni fornite in questi documenti tecnici sono già protetti dal CVE-2013-3336, ha affermato Adobe.
Anche se non è così diffuso come altri prodotti Adobe, ColdFusion è stato preso di mira dagli hacker il passato. Ad aprile, la società di hosting di server virtuale privata Linode ha riferito che gli hacker hanno ottenuto l'accesso al proprio server Web e al database clienti sfruttando una vulnerabilità ColdFusion precedentemente sconosciuta.
In gennaio, Adobe ha emesso un avviso di sicurezza che avvertiva i clienti di quattro vulnerabilità ColdFusion precedentemente sconosciute. essere attivamente sfruttati dagli aggressori. Le misure di mitigazione raccomandate all'epoca riguardavano anche la disabilitazione dell'accesso esterno alle directory / CFIDE / administrator e / CFIDE / adminapi.
Il nuovo attacco Web sfrutta difetti IE senza patch
Gli hacker utilizzano un difetto senza patch nel browser IE di Microsoft per attaccare i navigatori Web.
Microsoft pianifica patch per difetti critici in Word martedì prossimo
Il punto saliente dei sette bollettini previsti per Patch martedì di ottobre è un aggiornamento critico per Microsoft Word.
Difetti di protezione critici della patch in Adobe Reader e Acrobat
Adobe ha rilasciato un aggiornamento fuori banda critico per Adobe Reader e Acrobat affrontando i difetti rivelati il mese scorso alla conferenza sulla sicurezza di Black Hat.