Adobe Coldfusion ha una falla, Microsoft tappa Explorer

Adobe Coldfusion ha una falla, Microsoft tappa Explorer

Redmond ha già pronta una patch per risolvere il problema emerso in questi giorni sul suo browser. San Jose deve invece sbrigarsi a realizzarne una: gli attacchi sono già in corso
Redmond ha già pronta una patch per risolvere il problema emerso in questi giorni sul suo browser. San Jose deve invece sbrigarsi a realizzarne una: gli attacchi sono già in corso

La tecnologia ColdFusion di Adobe è ancora una volta nel mirino degli hacker a causa di una nuova vulnerabilità critica presente nel software, una falla che la software house riconosce ufficialmente (CVE-2013-3336) come presente nelle versioni 10, 9.0.2, 9.0.1 e 9.0 del software.

La falla, spiega Adobe, potrebbe garantire l’accesso non autorizzato ai file presenti sul server (sistemi operativi Windows, Mac e Unix); la società parla inoltre di “rapporti” esterni sulla circolazione pubblica di un exploit in grado di sfruttare il baco, e suggerisce di restringere l’accesso pubblico alle directory – fornendo istruzioni per la versione nove e dieci di ColdFusion – e in attesa di una patch risolutiva.

Adobe parla genericamente di possibili exploit, ma stando alle notizie recenti e meno recenti quegli exploit sono tutto fuorché ipotetici : il collettivo hacker noto come Hack the Planet (HTP) sostiene di aver compromesso i server del MIT, di SourceForge, della società di hosting Linode ( lo scorso aprile ) e addirittura dei server di ICANN, e uno dei “buchi” sfruttati per i raid telematici sarebbe proprio riconducibile ad Adobe ColdFusion.

L’attacco di HTP sarebbe di ampia portata, e gli hacker (aderenti a un codice di comportamento “grey hat”) hanno pubblicato i record per tutti i domini TLD.edu con tanto di hash MD5 per le password – per la metà dei domini sono incluse le password in chiaro.

Un’altra vulnerabilità che minaccia di fare parecchi danni è quella recentemente emersa in Internet Explorer 8 : anche in questo caso si tratta di una falla 0-day già attivamente sfruttata da smanettoni e criminali, e per correre ai ripari Microsoft ha pubblicato una soluzione tampone – in forma di pacchetto “Fix it” per l’installazione rapida – mentre la patch vera è propria è in fase di test prima della distribuzione finale.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 9 mag 2013
Link copiato negli appunti