Alfonso Maruccia

Adobe Coldfusion ha una falla, Microsoft tappa Explorer

Redmond ha giÓ pronta una patch per risolvere il problema emerso in questi giorni sul suo browser. San Jose deve invece sbrigarsi a realizzarne una: gli attacchi sono giÓ in corso

Roma - La tecnologia ColdFusion di Adobe è ancora una volta nel mirino degli hacker a causa di una nuova vulnerabilità critica presente nel software, una falla che la software house riconosce ufficialmente (CVE-2013-3336) come presente nelle versioni 10, 9.0.2, 9.0.1 e 9.0 del software.

La falla, spiega Adobe, potrebbe garantire l'accesso non autorizzato ai file presenti sul server (sistemi operativi Windows, Mac e Unix); la società parla inoltre di "rapporti" esterni sulla circolazione pubblica di un exploit in grado di sfruttare il baco, e suggerisce di restringere l'accesso pubblico alle directory - fornendo istruzioni per la versione nove e dieci di ColdFusion - e in attesa di una patch risolutiva.

Adobe parla genericamente di possibili exploit, ma stando alle notizie recenti e meno recenti quegli exploit sono tutto fuorché ipotetici: il collettivo hacker noto come Hack the Planet (HTP) sostiene di aver compromesso i server del MIT, di SourceForge, della società di hosting Linode (lo scorso aprile) e addirittura dei server di ICANN, e uno dei "buchi" sfruttati per i raid telematici sarebbe proprio riconducibile ad Adobe ColdFusion.
L'attacco di HTP sarebbe di ampia portata, e gli hacker (aderenti a un codice di comportamento "grey hat") hanno pubblicato i record per tutti i domini TLD.edu con tanto di hash MD5 per le password - per la metà dei domini sono incluse le password in chiaro.

Un'altra vulnerabilità che minaccia di fare parecchi danni è quella recentemente emersa in Internet Explorer 8: anche in questo caso si tratta di una falla 0-day già attivamente sfruttata da smanettoni e criminali, e per correre ai ripari Microsoft ha pubblicato una soluzione tampone - in forma di pacchetto "Fix it" per l'installazione rapida - mentre la patch vera è propria è in fase di test prima della distribuzione finale.

Alfonso Maruccia
Notizie collegate
  • SicurezzaAdobe e il mestiere delle patchLa software house statunitense distribuisce aggiornamenti per i suoi prodotti chiudendo falle pericolose. Altrove, le vulnerabilitÓ continuano a minacciare la sicurezza dello sviluppo in attesa di una patch
  • SicurezzaUna breccia per Internet Explorer 8Microsoft ammette l'esistenza del problema e invita alla prudenza. Nel frattempo il codice per l'exploit Ŕ giÓ in circolazione e si sospetta l'esistenza di un attacco di ampia portata
4 Commenti alla Notizia Adobe Coldfusion ha una falla, Microsoft tappa Explorer
Ordina