Hackers misbruiken Adobe ColdFusion-lekken
Adobe waarschuwt gebruikers van ColdFusion, een platform voor het ontwikkelen van webapplicaties, voor beveiligingslekken die hackers actief misbruiken en waarvoor nog geen update beschikbaar is. Het gaat in totaal om drie kwetsbaarheden waarmee ongeautoriseerde aanvallers de authenticatie kunnen omzeilen, toegang tot afgeschermde directories krijgen of informatie stelen.
Twee van de kwetsbaarheden zijn alleen tegen ColdFusion-gebruikers te gebruiken die geen wachtwoordbeveiliging hebben ingeschakeld of geen wachtwoord hebben ingesteld.
Oplossing
In de Security Advisory van Adobe worden, in afwachting van een beveiligingsupdate, verschillende tijdelijke oplossingen gegeven. Zoals het verwijderen van onbekend of onnodige ColdFusion onderdelen of templates.
Maar ook het instellen van een ander wachtwoord dan die van het beheerdersaccount en het uitschakelen van externe toegang tot bepaalde directories. Adobe is van plan om op 15 januari een hotfix uit te brengen.
Toen Apple de beslissing nam geen Flash Player en Java meer standaard mee te leveren met hun Macs, begonnen een hoop mensen te klagen over het feit dat een Mac out-of-the-box gewoon hoort te werken, zonder dat je eerst zelf nog Flash Player en Java hoeft te installeren. Ik ben echter ontzettend blij met die keuze van Apple. Ik heb Flash Player en Java nooit op mijn Mac geïnstalleerd. Bij Leopard en Snow Leopard stond het er al op, maar toen ik Lion installeerde en later Mountain Lion heb ik Flash Player en Java nooit geïnstalleerd. Mijn Mac is dus nog steeds vrij van die plug-ins en ik mis ze totaal niet. Als ik dan ook nog al die nieuwsberichten lees over al die lekken en dat ze tegenwoordig ook op Macs worden misbruikt, ben ik blij dat ik een plug-in-vrije versie van Safari gebruik. Gelukkig is OS X ook in staat om out-of-the-box PFD-documenten te kunnen lezen, dus de reader van Adobe is ook niet nodig. Geen software van Adobe of Oracle op mijn Mac dus.
Voor zover ik weet is Windows 8 eindelijk eens voorzien van een PDF-reader. Dat zou ook eens tijd worden. Ik vroeg mij al jaren af waarom Windows niet standaard is voorzien van een PDF-reader. PDF is zo'n veelvoorkomen bestandstype. Dat hoort gewoon out-of-the-box leesbaar te zijn zonder dat je die lekke zooi van Adobe moet downloaden die ik-weet-niet-hoeveel MB's inneemt. OS X doet dit al... Geen idee eigenlijk hoelang, maar in ieder geval heb ik nog nooit een Mac gebruikt die out-of-the-box geen PDF-documenten kan lezen.
Internet Explorer 10 in Metro is gelukkig ook al plug-in-vrij en aangezien dat de browser is waar microsoft de gebruiker naartoe wilt duwen is dat dus ook een goed teken. Dat betekent namelijk dat er steeds meer gebruikers op het internet zullen rondzwerven in een browser zonder plug-ins, waardoor webontwikkelaars wel zullen moeten stoppen met het gebruik van plug-ins.
https://www.security.nl/artikel/44259/1/%27Microsoft_radicaal_met_plug-in-verbod_Windows_8%27.html
Dan is hij over het algemeen dus behoorlijk Flash-vrij.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.