Adobe patcht 74 lekken in Reader, Flash Player en ColdFusion

[Captain Kirk]

Adobe heeft tijdens de patchdinsdag van februari updates uitgebracht voor Acrobat Reader, Flash Player en ColdFusion die bij elkaar 74 kwetsbaarheden verhelpen. De meeste kwetsbaarheden zijn in Adobe Acrobat Reader verholpen. In totaal gaat het om 71 beveiligingslekken.

Via de kwetsbaarheden kan een aanvaller in het ergste geval volledige controle over een systeem krijgen. Alleen het openen van een kwaadaardige pdf-document is in dit geval voldoende. De resterende beveiligingslekken zijn door Adobe als "belangrijk" bestempeld en maakten het mogelijk om informatie te achterhalen. Het gaat onder andere om een kwetsbaarheid waardoor een aanvaller NTLM-wachtwoordhashes had kunnen stelen.

Gebruikers krijgen het advies om "snel" te updaten naar Acrobat DC of Acrobat Reader versie 2019.010.20091, Acrobat 2017 of Acrobat Reader 2017 versie 2017.011.30120, Acrobat DC Classic of Acrobat Reader Classic versie 2015.006.30475 voor Windows en macOS. Updaten kan via de automatische updatefunctie van de pdf-lezer, door de pdf-lezer handmatig naar updates te laten zoeken of de website van Adobe. Het softwarebedrijf zegt niet bekend te zijn met exploits die misbruik van de nu verholpen kwetsbaarheden maken.

Flash Player en ColdFusion

De nieuwste versie van Adobe Flash Player verhelpt één "belangrijke" kwetsbaarheid waarmee een aanvaller informatie kon achterhalen. Gebruikers krijgen het advies om snel te updaten naar Flash Player 32.0.0.142. Dit kan via de automatische updatefunctie of Adobe.com. In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet.

In ColdFusion, een platform voor het ontwikkelen van webapplicaties, zijn twee kwetsbaarheden opgelost. Een aanvaller zou hierdoor op afstand willekeurige code kunnen uitvoeren en systemen in het ergste geval kunnen overnemen. In het verleden is ColdFusion geregeld het doelwit van aanvallen geweest. Beheerders wordt geadviseerd te updaten naar ColdFusion 2018 Update 2, ColdFusion 2016 Update 8 of ColdFusion 11 Update 16. Adobe zegt niet bekend te zijn met exploits voor de nu verholpen kwetsbaarheden.

 

 

bron: security.nl