Temmuz yama gününde Adobe, Adobe Indesign ve Adobe Coldfusion için güvenlik güncellemeleri dağıtır. Her iki program da, örneğin saldırganların kötü amaçlı kod enjekte etmesine izin veren kritik güvenlik açıklarına sahiptir.
Reklamcılık
Adobe, Coldfusion’daki güvenlik açıklarını özellikle kritik olarak sınıflandırır. Bir güvenlik açığı, güvenilmeyen verilerin seri durumundan çıkarılmasını etkileyerek saldırganların rastgele kod eklemesine olanak tanır (CVE-2023-29300, CVSS 9.8risk “kritik“). Ayrıca kötü niyetli kişiler, güvenlik özelliklerini atlamak için yetersiz erişim denetimlerini kötüye kullanabilir (CVE-2023-29298, CVSS 7.5, yüksek). CVSS değerinin aksine, Adobe riski kritik olarak değerlendirir. Ayrıca, kimlik doğrulama girişimlerinin yetersiz sınırlandırılması nedeniyle güvenlik önlemleri aşılabilir (CVE-2023-29301, CVSS 5.9, orta), üretici burada da yüksek risk olarak sınıflandırır.
Özellikle ciddi Adobe boşlukları
Ek olarak Adobe, Coldfusion güvenlik açıklarının kötüye kullanım riskini çok yüksek, öncelik düzeyi 1 olarak sınıflandırır. Üretici, bunun, saldırı olasılığının o kadar yüksek olduğu ve yöneticilerin güncellemeleri mümkün olan en kısa sürede yüklemesi gerektiği anlamına geldiğini anlıyor – Adobe bunu aktarıyor 72 saat içinde örnek olarak. Adobe’nin güvenlik bildirimine göre Coldfusion 2023 Update 1, 2021 Update 7 ve 2018 Update 17 sürümleri güvenlik açıklarını kapatıyor.
Adobe Indesign’da ise on iki güvenlik açığı var. Bir güvenlik açığı, belirlenmiş bellek alanlarının dışında yazma erişimine izin verir ve kod kaçakçılığına izin verebilir (DVE-2023-29308, CVSS 7.8, yüksek). Adobe bunu kritik bir güvenlik açığı olarak görüyor. On bir güvenlik açığı, saldırganların bellek alanlarını yetkilendirme olmadan okumasına olanak tanır (CVE-2023-29309, CVE-2023-29310, CVE-2023-29311, CVE-2023-29312, CVE-2023-29313, CVE-2023-29314, CVE-2023) – 29315, CVE-2023-29316, CVE-2023-29317, CVE-2023-29318, CVE-2023-29319, tümü CVSS 5.5, orta). Güvenlik bildirimine göre, Adobe bunları önemli olarak sınıflandırırken, kötüye kullanım riski düşük olarak sınıflandırılır ve öncelik 3’tür. Bu nedenle BT yöneticileri güncellemeleri mümkün olan en kısa sürede yüklemelidir.
Geçen ay Adobe, yama gününde kritik olarak sınıflandırılan bazı güvenlik açıklarını da yamaladı. Animate, Commerce, Experience Manager ve Substance 3D Designer’da yapılan güncellemeler boşlukları kapattı.
(dmk)
Haberin Sonu
Reklamcılık
Adobe, Coldfusion’daki güvenlik açıklarını özellikle kritik olarak sınıflandırır. Bir güvenlik açığı, güvenilmeyen verilerin seri durumundan çıkarılmasını etkileyerek saldırganların rastgele kod eklemesine olanak tanır (CVE-2023-29300, CVSS 9.8risk “kritik“). Ayrıca kötü niyetli kişiler, güvenlik özelliklerini atlamak için yetersiz erişim denetimlerini kötüye kullanabilir (CVE-2023-29298, CVSS 7.5, yüksek). CVSS değerinin aksine, Adobe riski kritik olarak değerlendirir. Ayrıca, kimlik doğrulama girişimlerinin yetersiz sınırlandırılması nedeniyle güvenlik önlemleri aşılabilir (CVE-2023-29301, CVSS 5.9, orta), üretici burada da yüksek risk olarak sınıflandırır.
Özellikle ciddi Adobe boşlukları
Ek olarak Adobe, Coldfusion güvenlik açıklarının kötüye kullanım riskini çok yüksek, öncelik düzeyi 1 olarak sınıflandırır. Üretici, bunun, saldırı olasılığının o kadar yüksek olduğu ve yöneticilerin güncellemeleri mümkün olan en kısa sürede yüklemesi gerektiği anlamına geldiğini anlıyor – Adobe bunu aktarıyor 72 saat içinde örnek olarak. Adobe’nin güvenlik bildirimine göre Coldfusion 2023 Update 1, 2021 Update 7 ve 2018 Update 17 sürümleri güvenlik açıklarını kapatıyor.
Adobe Indesign’da ise on iki güvenlik açığı var. Bir güvenlik açığı, belirlenmiş bellek alanlarının dışında yazma erişimine izin verir ve kod kaçakçılığına izin verebilir (DVE-2023-29308, CVSS 7.8, yüksek). Adobe bunu kritik bir güvenlik açığı olarak görüyor. On bir güvenlik açığı, saldırganların bellek alanlarını yetkilendirme olmadan okumasına olanak tanır (CVE-2023-29309, CVE-2023-29310, CVE-2023-29311, CVE-2023-29312, CVE-2023-29313, CVE-2023-29314, CVE-2023) – 29315, CVE-2023-29316, CVE-2023-29317, CVE-2023-29318, CVE-2023-29319, tümü CVSS 5.5, orta). Güvenlik bildirimine göre, Adobe bunları önemli olarak sınıflandırırken, kötüye kullanım riski düşük olarak sınıflandırılır ve öncelik 3’tür. Bu nedenle BT yöneticileri güncellemeleri mümkün olan en kısa sürede yüklemelidir.
Geçen ay Adobe, yama gününde kritik olarak sınıflandırılan bazı güvenlik açıklarını da yamaladı. Animate, Commerce, Experience Manager ve Substance 3D Designer’da yapılan güncellemeler boşlukları kapattı.
(dmk)
Haberin Sonu