Skip to main content

Adobe melancarkan kelemahan kritikal dalam Flash Player, ColdFusion

Adobe Systems melepaskan kemas kini keselamatan untuk Flash Player, AIR dan ColdFusion untuk memperbaiki kelemahan kritikal yang membolehkan penyerang mengawal sistem terjejas atau membaca maklumat dari pelayan tanpa kebenaran. Kemas kini untuk Flash Player dan Adobe AIR, aplikasi yang kaya dengan Internet runtime dengan sokongan Flash, selesaikan dua kelemahan kad memori yang boleh menyebabkan eksekusi kod jauh.

Adobe mengesyorkan bahawa pengguna mengemaskini kepada Flash Player versi 11.9.900.152 untuk Windows dan Mac dan versi 11.2.202.327 untuk Linux. Versi Flash Player yang disertakan dengan Google Chrome, Internet Explorer 10 pada Windows 8 dan Internet Explorer 11 pada Windows 8.1 akan dikemas kini secara automatik menerusi mekanisme kemas kini penyemak imbas tersebut, syarikat itu berkata dalam nasihat.

[Bacaan lanjut: Bagaimana keluarkan malware dari PC Windows anda]

Pengguna Windows, Mac, dan Android Adobe AIR dan Adobe AIR SDK (kit pembangunan perisian) perlu mengemaskini kepada versi 3.9.0.1210 dari program tersebut.

Adobe juga mengeluarkan hotfix keselamatan untuk versi 10, 9.0.2, 9.0.1 dan 9.0 pelayan aplikasi ColdFusion. Dokumen tersebut menangani kerentanan kritikal yang membolehkan penyerang jauh dan tidak sah untuk membaca maklumat dari pelayan terdedah dan skrip silang tapak yang dicerminkan (XSS) yang eksploitasi memerlukan pengesahan.

Server ColdFusion telah disasarkan oleh penyerang pada masa lalu. Pada bulan Januari, Adobe memberi amaran kepada pelanggan bahawa penyerang mengeksploitasi kelemahan yang belum dipatenkan dalam ColdFusion dan pengganggu April melanggar pelayan pengurusan dan pangkalan data pelanggan Linode, firma hosting pelayan peribadi maya, dengan mengeksploitasi kerentanan ColdFusion yang tidak diketahui sebelumnya.

Adobe tidak menyedari sebarang eksploit atau serangan yang aktif menargetkan kerentanan yang ditetapkan dalam pembaharuan keselamatan baru dan tidak mempercayai kelemahan berkaitan dengan pencurian kode sumber yang diumumkan perusahaan pada awal bulan Oktober, jurubicara Adobe Heather Edell berkata melalui email.

Pada 3 Oktober, Adobe mengumumkan bahawa penggodam memasuki rangkaian dalamannya dan mencuri kod sumber Adobe Acrobat, ColdFusion, ColdFusion Builder dan produk lain. Penyelidik keselamatan berkata pada masa bahawa kebocoran kod sumber mungkin membantu penyerang mencari kelemahan dalam produk yang terjejas.