Breaking News

Adobe แพตช์เร่งด่วนอุดช่องโหว่ Zero-day ที่คาดว่าถูกใช้จริงแล้ว

Adobe ได้ออกแพตช์ฉุกเฉินก่อนกำหนดอัปเดตจริงของเดือนมีนาคมเพื่ออุดช่องโหว่ Zero-day ที่คาดว่าถูกใช้งานจริงแล้ว โดยมีหมายเลขอ้างอิง CVE-2019-7816 ที่เกิดกับผลิตภัณฑ์ ColdFusion หรือแพลตฟอร์มที่ใช้พัฒนาเว็บแอปพลิเคชันของตน ดังนั้นแนะนำผู้ใช้รีบอัปเดต

ทาง Adobe ได่กล่าวถึงช่องโหว่ CVE-2019-7816 หรือช่องโหว่ ‘File upload security bypass’ ผ่านบล็อกว่า “การโจมตีต้องอาศัยความสามารถในการอัปโหลดโค้ดไปยังไดเรกทอรี่ของเว็บที่เข้าถึงได้ จากนั้นจึงลอบรันโค้ดได้ผ่านทาง HTTP Request ซึ่งการจำกัดการ Request กับไดเรกทอรี่ที่ให้อัปโหลดไฟล์สามารถบรรเทาปัญหาได้” 

สำหรับแพตช์คือ ColdFusion 11 Update 18, ColdFusion 2016 Update10 และ ColdFusion 2018 Update 3 โดยผู้ที่ได้เครดิตในการค้นพบคือ Charlie Arehart, Moshe Ruzin, Josh Ford, Jason Solarek และทีม Bridge Catalog ซึ่งเป็นนักพัฒนาของ ColdFusion เอง อย่างไรก็ตาม Adobe ไม่ได้ให้รายละเอียดของการถูกนำไปใช้จริง

ที่มา : https://www.zdnet.com/article/adobe-releases-out-of-band-update-to-patch-coldfusion-zero-day/ และ https://www.securityweek.com/adobe-patches-coldfusion-vulnerability-exploited-wild


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

IBM เผยสร้าง Quantum Safe Tape Drive สำเร็จแล้ว

IBM ได้ออกมาเผยถึงผลงานจากทีม IBM Research ที่ Switzerland ร่วมกับทีม IBM Tape Developer ที่ได้ใช้เวลา 10 เดือนในการพัฒนาเทคโนโลยี Quantum Safe Tape Drive ซึ่งเข้ารหัสข้อมูลบน Tape ด้วยวิธีการที่ทนทานต่อพลังประมวลผลของ Quantum Computer ในอนาคตได้สำเร็จ

ซื้อไม่หยุด! VMware เผยแผนเข้าซื้อกิจการ Intrinsic ผู้พัฒนาเทคโนโลยีความปลอดภัยบน Serverless Computing

VMware ได้ออกมายืนยันถึงแผนการเข้าซื้อกิจการของ Instrinsic บริษัท Startup ด้าน Security สำหรับ Serverless Computing โดยไม่เปิดเผยมูลค่า