Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza critici per Adobe Flash Player, ColdFusion e Campaign

adobe  Adobe Campaign  ColdFusion  flash player   mercoledì, 12 giugno 2019

L’11 giugno 2019 Adobe ha rilasciato aggiornamenti di sicurezza critici per Flash Player su Windows, macOS, Linux e Chrome OS, ColdFusion su tutte le piattaforme supportate e Adobe Campaign su Windows e Linux. Questi aggiornamenti risolvono diverse vulnerabilità, le più gravi delle quali potrebbero consentire ad un attaccante di eseguire codice arbitrario.

I dettagli delle vulnerabilità risolte da questi aggiornamenti sono i seguenti:

Adobe Flash Player

  • [Critico] Una vulnerabilità di tipo use after free (riutilizzo di un’area di memoria già liberata) che può causare l’esecuzione di codice arbitrario (CVE-2019-7845).

Adobe ColdFusion

  • [Critico] Una vulnerabilità che può causare l’esecuzione di codice arbitrario mediante aggiramento della lista di esclusione delle estensioni dei file (CVE-2019-7838).
  • [Critico] Una vulnerabilità di tipo command injection che può causare l’esecuzione di codice arbitrario (CVE-2019-7839).
  • [Critico] Una vulnerabilità che può causare l’esecuzione di codice arbitrario tramite deserializzazione di dati provenienti da sorgenti non fidate (CVE-2019-7840).

Adobe Campaign

  • [Importante] Una vulnerabilità legata ad una validazione insufficiente dell’input che può causare la divulgazione di informazioni (CVE-2019-7843).
  • [Moderato] Una vulnerabilità che può causare la divulgazione di informazioni attraverso messaggi di errore (CVE-2019-7941).
  • [Moderato] Una vulnerabilità legata ad una gestione impropria degli errori che può causare la divulgazione di informazioni (CVE-2019-7846).
  • [Importante] Una vulnerabilità legata ad una restrizione insufficiente di XML External Entity Reference (XXE) che può causare accesso arbitrario al file system (CVE-2019-7847).
  • [Moderato] Una vulnerabilità legata a controllo di accesso inadeguato che può causare la divulgazione di informazioni (CVE-2019-7848).
  • [Importante] Una vulnerabilità che può causare la divulgazione di informazioni sensibili inserite nel codice sorgente (CVE-2019-7849).
  • [Critico] Una vulnerabilità di tipo command injection che può causare l’esecuzione di codice arbitrario (CVE-2019-7850).

Si raccomanda a tutti gli utenti e agli amministratori di sistema di consultare i bollettini di sicurezza di Adobe APSB19-30, APSB19-27 e APSB19-28 e di scaricare ed applicare gli aggiornamenti necessari.

Gli utenti Windows, macOS, Linux e Chrome OS debbono aggiornare Adobe Flash Player alla versione 32.0.0.207 visitando la pagina di Download di Adobe Flash Player. I plug-in di Flash Player contenuti in Google Chrome, Microsoft Edge e Internet Explorer saranno aggiornati automaticamente attraverso i meccanismi di aggiornamento di questi browser.

Gli utenti di Adobe ColdFusion debbono aggiornare l’applicazione ad una delle versioni seguenti:

  • ColdFusion 2018 Update 4
  • ColdFusion 2016 Update 11
  • ColdFusion 11 Update 19

Gli utenti Windows e Linux debbono aggiornare Adobe Campaign alla versione 19.1.1-9026.

Notizie correlate

Aggiornamento di sicurezza critico per Adobe ColdFusion

25 settembre 2019

Adobe ha rilasciato aggiornamenti di sicurezza per ColdFusion che correggono tre diverse vulnerabilità la più grave delle quali potrebbe consentire l'esecuzione di codice arbitrario.Leggi tutto

Aggiornamenti di sicurezza per Adobe Flash Player e Adobe Application Manager

11 settembre 2019

Adobe ha rilasciato aggiornamenti di sicurezza per Flash Player e per l'installer di Adobe Application Manager. Leggi tutto

Aggiornamenti di sicurezza per Acrobat, Reader, Experience Manager, Photoshop e altri prodotti Adobe

26 agosto 2019

Adobe ha rilasciato aggiornamenti di sicurezza importanti e critici per Acrobat e Reader, Experience Manager, Photoshop e altri prodotti.Leggi tutto