Temmuz’daki Yama Günü’nde Adobe, Adobe Indesign ve Adobe Coldfusion için güvenlik güncellemeleri sunar. Her iki program da, örneğin saldırganların kötü amaçlı kod enjekte etmesine izin veren kritik güvenlik açıklarına sahiptir.
Duyuru
Adobe, Coldfusion’daki güvenlik açıklarını özellikle kritik olarak sınıflandırır. Bir güvenlik açığı, güvenilmeyen verilerin seri durumdan çıkarılmasını içerir ve saldırganların rasgele kod eklemesine izin verir (CVE-2023-29300, CVSS 9.8risk”eleştirmenAyrıca kötü niyetli aktörler, güvenlik özelliklerini atlamak için yetersiz erişim denetimlerini kötüye kullanabilir (CVE-2023-29298, CVSS 7.5, yüksek). CVSS değerinin aksine, Adobe riski kritik olarak derecelendirir. Ek olarak, yetersiz kimlik doğrulama girişimi azaltma nedeniyle güvenlik önlemleri atlanabilir (CVE-2023-29301, CVSS 5.9, yarım), üretici yine yüksek risk olarak sınıflandırır.
Özellikle ciddi Adobe eksiklikleri
Ek olarak Adobe, Coldfusion güvenlik açıklarının kötüye kullanım riskini çok yüksek, öncelik düzeyi 1 olarak sınıflandırır. Üretici bunun, saldırı olasılığının o kadar yüksek olduğu anlamına geldiğini ve yöneticilerin güncellemeleri mümkün olan en kısa sürede yüklemesi gerektiğini anlıyor – Adobe bunu bir örneğin 72 saat içinde. Adobe’nin güvenlik bildirimine göre Coldfusion sürümleri 2023 Update 1, 2021 Update 7 ve 2018 Update 17 güvenlik açıklarını kapatıyor.
Adobe Indesign’da ise on iki güvenlik açığı vardır. Bir güvenlik açığı, belirlenmiş bellek alanlarının dışında yazma erişimine izin verir ve kod kaçakçılığına izin verebilir (DVE-2023-29308, CVSS 7.8, yüksek). Adobe bunu kritik bir güvenlik açığı olarak görüyor. On bir güvenlik açığı, saldırganların bellek alanlarını izinsiz okumasına olanak tanır (CVE-2023-29309, CVE-2023-29310, CVE-2023-29311, CVE-2023-29312, CVE-2023-29313, CVE-2023-29314, CVE -2023) – 29315, CVE-2023-29316, CVE-2023-29317, CVE-2023-29318, CVE-2023-29319, tümü CVSS 5.5, yarım). Güvenlik bildirimine göre, Adobe bunları önemli olarak sınıflandırırken, kötüye kullanım riski düşük olarak sınıflandırılır ve öncelik 3’tür. Bu nedenle BT yöneticileri güncellemeleri mümkün olan en kısa sürede yüklemelidir.
Geçen ay Adobe, yama gününde kritik olarak değerlendirilen bazı güvenlik açıklarını da yamaladı. Animate, Commerce, Experience Manager ve Substance 3D Designer’daki güncellemeler boşlukları doldurdu.
(dmk)
Haberin Sonu
Duyuru
Adobe, Coldfusion’daki güvenlik açıklarını özellikle kritik olarak sınıflandırır. Bir güvenlik açığı, güvenilmeyen verilerin seri durumdan çıkarılmasını içerir ve saldırganların rasgele kod eklemesine izin verir (CVE-2023-29300, CVSS 9.8risk”eleştirmenAyrıca kötü niyetli aktörler, güvenlik özelliklerini atlamak için yetersiz erişim denetimlerini kötüye kullanabilir (CVE-2023-29298, CVSS 7.5, yüksek). CVSS değerinin aksine, Adobe riski kritik olarak derecelendirir. Ek olarak, yetersiz kimlik doğrulama girişimi azaltma nedeniyle güvenlik önlemleri atlanabilir (CVE-2023-29301, CVSS 5.9, yarım), üretici yine yüksek risk olarak sınıflandırır.
Özellikle ciddi Adobe eksiklikleri
Ek olarak Adobe, Coldfusion güvenlik açıklarının kötüye kullanım riskini çok yüksek, öncelik düzeyi 1 olarak sınıflandırır. Üretici bunun, saldırı olasılığının o kadar yüksek olduğu anlamına geldiğini ve yöneticilerin güncellemeleri mümkün olan en kısa sürede yüklemesi gerektiğini anlıyor – Adobe bunu bir örneğin 72 saat içinde. Adobe’nin güvenlik bildirimine göre Coldfusion sürümleri 2023 Update 1, 2021 Update 7 ve 2018 Update 17 güvenlik açıklarını kapatıyor.
Adobe Indesign’da ise on iki güvenlik açığı vardır. Bir güvenlik açığı, belirlenmiş bellek alanlarının dışında yazma erişimine izin verir ve kod kaçakçılığına izin verebilir (DVE-2023-29308, CVSS 7.8, yüksek). Adobe bunu kritik bir güvenlik açığı olarak görüyor. On bir güvenlik açığı, saldırganların bellek alanlarını izinsiz okumasına olanak tanır (CVE-2023-29309, CVE-2023-29310, CVE-2023-29311, CVE-2023-29312, CVE-2023-29313, CVE-2023-29314, CVE -2023) – 29315, CVE-2023-29316, CVE-2023-29317, CVE-2023-29318, CVE-2023-29319, tümü CVSS 5.5, yarım). Güvenlik bildirimine göre, Adobe bunları önemli olarak sınıflandırırken, kötüye kullanım riski düşük olarak sınıflandırılır ve öncelik 3’tür. Bu nedenle BT yöneticileri güncellemeleri mümkün olan en kısa sürede yüklemelidir.
Geçen ay Adobe, yama gününde kritik olarak değerlendirilen bazı güvenlik açıklarını da yamaladı. Animate, Commerce, Experience Manager ve Substance 3D Designer’daki güncellemeler boşlukları doldurdu.
(dmk)
Haberin Sonu