image

Hackers misbruiken Adobe ColdFusion-lekken

maandag 7 januari 2013, 17:23 door Redactie, 3 reacties

Adobe waarschuwt gebruikers van ColdFusion, een platform voor het ontwikkelen van webapplicaties, voor beveiligingslekken die hackers actief misbruiken en waarvoor nog geen update beschikbaar is. Het gaat in totaal om drie kwetsbaarheden waarmee ongeautoriseerde aanvallers de authenticatie kunnen omzeilen, toegang tot afgeschermde directories krijgen of informatie stelen.

Twee van de kwetsbaarheden zijn alleen tegen ColdFusion-gebruikers te gebruiken die geen wachtwoordbeveiliging hebben ingeschakeld of geen wachtwoord hebben ingesteld.

Oplossing
In de Security Advisory van Adobe worden, in afwachting van een beveiligingsupdate, verschillende tijdelijke oplossingen gegeven. Zoals het verwijderen van onbekend of onnodige ColdFusion onderdelen of templates.

Maar ook het instellen van een ander wachtwoord dan die van het beheerdersaccount en het uitschakelen van externe toegang tot bepaalde directories. Adobe is van plan om op 15 januari een hotfix uit te brengen.

Reacties (3)
07-01-2013, 18:06 door Anoniem
Adobe Flash Player, Adobe Reader, Adobe ColdFusion, Adobe Dit, Adobe Dat, Adobe Zus en Adobe Zo. Vrijwel ieder nieuwsbericht lijkt tegenwoordig wel over een product van Adobe te gaan (met uitzondering van de berichten over dat andere lekker mandje, genaamd Java). Het wordt tijd dat mensen die troep van Adobe eens van hun PC's afgooien.

Toen Apple de beslissing nam geen Flash Player en Java meer standaard mee te leveren met hun Macs, begonnen een hoop mensen te klagen over het feit dat een Mac out-of-the-box gewoon hoort te werken, zonder dat je eerst zelf nog Flash Player en Java hoeft te installeren. Ik ben echter ontzettend blij met die keuze van Apple. Ik heb Flash Player en Java nooit op mijn Mac geïnstalleerd. Bij Leopard en Snow Leopard stond het er al op, maar toen ik Lion installeerde en later Mountain Lion heb ik Flash Player en Java nooit geïnstalleerd. Mijn Mac is dus nog steeds vrij van die plug-ins en ik mis ze totaal niet. Als ik dan ook nog al die nieuwsberichten lees over al die lekken en dat ze tegenwoordig ook op Macs worden misbruikt, ben ik blij dat ik een plug-in-vrije versie van Safari gebruik. Gelukkig is OS X ook in staat om out-of-the-box PFD-documenten te kunnen lezen, dus de reader van Adobe is ook niet nodig. Geen software van Adobe of Oracle op mijn Mac dus.

Voor zover ik weet is Windows 8 eindelijk eens voorzien van een PDF-reader. Dat zou ook eens tijd worden. Ik vroeg mij al jaren af waarom Windows niet standaard is voorzien van een PDF-reader. PDF is zo'n veelvoorkomen bestandstype. Dat hoort gewoon out-of-the-box leesbaar te zijn zonder dat je die lekke zooi van Adobe moet downloaden die ik-weet-niet-hoeveel MB's inneemt. OS X doet dit al... Geen idee eigenlijk hoelang, maar in ieder geval heb ik nog nooit een Mac gebruikt die out-of-the-box geen PDF-documenten kan lezen.

Internet Explorer 10 in Metro is gelukkig ook al plug-in-vrij en aangezien dat de browser is waar microsoft de gebruiker naartoe wilt duwen is dat dus ook een goed teken. Dat betekent namelijk dat er steeds meer gebruikers op het internet zullen rondzwerven in een browser zonder plug-ins, waardoor webontwikkelaars wel zullen moeten stoppen met het gebruik van plug-ins.
08-01-2013, 15:32 door Anoniem
@Anon hierboven: helemaal met je betoog eens; maar ... IE 10 is niet plugin-vrij, de Flash Player zit ingebouwd :)
08-01-2013, 18:12 door fjallalj__ni__
Door Anoniem: @Anon hierboven: helemaal met je betoog eens; maar ... IE 10 is niet plugin-vrij, de Flash Player zit ingebouwd :)

https://www.security.nl/artikel/44259/1/%27Microsoft_radicaal_met_plug-in-verbod_Windows_8%27.html
Microsoft heeft een radicale stap genomen door in de Metro-versie van Internet Explorer plug-ins en extensies te verbieden. Dat stelt beveiligingsonderzoeker Julien Sobrier van Zscaler Research. Windows 8 beschikt over een desktop- en Metro-versie van de browser. De enige plug-in die in de Metro-versie werkt is Adobe Flash Player en alleen voor bepaalde websites. Websites moeten aan bepaalde voorwaarden voldoen om in de Metro-versie te met Flash te kunnen werken.

Dan is hij over het algemeen dus behoorlijk Flash-vrij.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.