Компания Adobe Systems выпустила патчи, закрывающие уязвимости в двух широко
распространенных приложениях для веб-разработки. Некоторые из залатанных дыр
позволяют нападающим украсть важную информацию или получить полный контроль над
машинами пользователей.
В общей сложности, патчи закрывают семь дыр в ColdFusion 8.0.1 и более ранних
версиях, а также в JRun 4.0. Самый серьезный баг – уязвимость к межсайтовому
скриптингу, методу, позволяющему выполнить вредоносный код, подсунув жертве
ссылку-ловушку.
Помимо этого, программисты Adobe закрыли отдельный баг в консоли управления.
Дыра позволяла неавторизованным пользователям обходить ограничения на работу с
закрытыми директориями, что могло привести к утечке информации. Выпущенный во
вторник образец кода показывает, что данную уязвимость можно использовать при
помощи ссылки, которая выглядит примерно следующим образом:
http://[server]/server/[profile]/logging/logviewer.jsp?logfile=../../../../../../../boot.ini
Все эти патчи выходят как раз в то время, когда компания Adobe, чье
программное обеспечение, пожалуй, еще более распространено, чем ПО от Microsoft,
с трудом справляется с выпуском заплаток для многочисленных дыр, из-за которых
на компьютеры с установленными продуктами Adobe попадают вредоносные приложения.
Так, три недели назад специалисты по безопасности этой фирмы выпустили патч для
Flash Player, дыру в котором преступники использовали для взлома
пользовательских машин. Кроме того, можно вспомнить и о том, что в прошлом
месяце злоумышленники скомпрометировали большое число веб-сайтов, использовав в
качестве мишени для атаки входящий в пакет ColdFusion открытый текстовый
редактор.
В мае этого года в Adobe заявили о пересмотре подхода к обеспечению
безопасности в приложении Adobe Reader, которое используется для работы с
документами PDF. Начало просто прекрасное, однако назвать данную инициативу
адекватной нельзя при всем желании, поскольку Flash и другие широко используемые
программы Adobe по-прежнему остаются без защиты.
Компания сообщила о том, что ей неизвестно о существовании реальных
эксплоитов для последних уязвимостей в ColdFusion и JRun. Выпущенный по этому
поводу бюллетень безопасности доступен для изучения
здесь.
