Adobe lost kritieke fouten in Flash, ColdFusion en Campaign op met update

Adobe heeft zijn maandelijkse patch-update beschikbaar gemaakt. De update van juni lost een handvol aan kwetsbaarheden op in Flash, ColdFusion en Campaign Classic. Het gaat om problemen die kunnen leiden tot arbitrary code execution in de software van het bedrijf. 

Adobe Flash had slechts een enkele kwetsbaarheid die nu opgelost wordt, schrijft ZDNet. Het gaat om een fout gevolgd onder CVE-2019-7845, wat een use-after-free kwetsbaarheid is. De fout kan leiden tot het uitvoeren van code als hij misbruikt wordt. De kwetsbaarheid is opgelost voor software-versies 32.0.0.192 en ouder voor Windows, macOS, Linux en Chrome OS.

Drie andere kwetsbaarheden zaten in Adobe ColdFusion 11, 2016 en 2018. Het gaat om CVE-2019-7838, CVE-2019-7839 en CVE-2019-7840. De fouten omvatten een blacklist bypass, een command injection en een fout in de de deserialization van niet-vertrouwde data. Al die kwetsbaarheden kunnen leiden tot het uitvoeren van eigen code door kwaadwillenden, als ze niet opgelost worden.

Adobe Campaign Classic

Campaign Classic zit normaal gesproken niet in de patch-updates van Adobe, maar krijgt deze keer oplossingen voor zeven fouten. De kwetsbaarheden treffen versies 18.10.5-8984 en ouder voor Windows en Linux.

De meest kritieke fout in de update is CVE-2019-7850. Dat is een command injection-fout die kan leiden tot het uitvoeren van eigen code door cybercriminelen. Vijf andere kwetsbaarheden – CVE-2019-7843, CVE-2019-7841, CVE-2019-7846, CVE-2019-7848 en CVE-2019-7849 – kunnen allemaal misbruikt worden om informatie vrij te geven. De laatste fout, CVE-2019-7847, biedt leestoegang tot het bestandssysteem.

De fouten werden ontdekt door onderzoekers van het Zero Day Initiative van Trend Micro, het 4040 Team, Booz Allen Hamilton en Aon’s Cyber Solutions, aldus Adobe. Om de kans op misbruik van de kwetsbaarheden te verkleinen, moeten gebruikers automatische updates accepteren, stelt het bedrijf. De patch bouwt door op de vorige set aan beveiligingsupdates uit mei, die 84 kwetsbaarheden oploste in Flash, Acrobat en Reader. Die kwetsbaarheden waren allemaal belangrijk of kritiek.