Reading Time: 1 minute

As atualizações da Adobe Patch Tuesday de setembro de 2018 abordam um total de 10 vulnerabilidades no Flash Player e ColdFusion, a boa notícia é que nenhuma foi classificada como crítica.

As atualizações do Patch Tuesday da Adobe de setembro de 2018 abordaram uma importante vulnerabilidade de escalonamento de privilégios (CVE-2018-15967) no Adobe Flash Player 30.0.0.154 e versões anteriores. A exploração bem-sucedida da falha pode levar à divulgação de informações.

“Adobe has released security updates for Adobe Flash Player for Windows, macOS, Linux and Chrome OS. These updates address an important vulnerability in Adobe Flash Player 30.0.0.154 and earlier versions.  Successful exploitation could lead to information disclosure.” reads the security advisory published by Adobe.

 

A versão 31.0.0.108 aborda a falha CVE-2018-15967, o problema foi classificado como “importante” com uma classificação de prioridade 2, o que indica que a probabilidade de ser explorado é muito baixa.

As nove vulnerabilidades restantes afetam o Adobe ColdFusion 6, classificas como críticas.

The remaining nine vulnerabilities affected Adobe ColdFusion 6 of which are rated as critical (4 Deserialization of untrusted data, 1 Unrestricted file upload, and 1 issue related to the use of a component with a known vulnerability).

 

As falhas de segurança afetam o ColdFusion 11, 2016 e 2018, e a Adobe emitiu instruções de atualização para cada versão.

As falhas críticas podem ser exploradas para execução de código arbitrário e substituição arbitrária de ficheiros.

Outras duas falhas no ColdFusion foram classificadas como “importantes”, um invasor pode explorá-las para criar pastas arbitrárias e obter listas de diretórios.

O Adobe ColdFusion também é atualmente afetado por uma vulnerabilidade de divulgação de informações, classificada com gravidade moderada e que foi introduzida pelo uso de um componente com uma falha conhecida.

Pedro Tavares is a professional in the field of information security, currently working as IT Security Engineer. He is also a founding member and Pentester at CSIRT.UBI and founder of the security computer blog seguranca-informatica.pt.

In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, hacking, cybersecurity, IoT and security in computer networks.  He is also Freelance Writer.

Read more here.