DFN-CERT-2017-2033 Adobe Connect: Mehrere Schwachstellen ermöglichen u.a. Cross-Site-Scripting-Angriffe [Windows]

DFN-CERT-2017-2033 Adobe Connect: Mehrere Schwachstellen ermöglichen u.a. Cross-Site-Scripting-Angriffe [Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Adobe Connect < 9.7 Betroffene Plattformen: Microsoft Windows Mehrere Schwachstellen in Adobe Connect ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung von Cross-Site-Scripting (XSS)-Angriffen. Eine Schwachstelle ermöglicht dem Angreifer das Darstellen falscher Informationen (UI Redress), um in der Folge durch einen Clickjacking-Angriff beispielsweise beliebigen Programmcode mit Benutzerrechten zur Ausführung zu bringen. Eine weitere Schwachstelle ermöglicht die Ausführung eines Server-Side-Request-Forgery (SSRF)-Angriffs, wodurch der Angreifer eine indirekte Verbindung mit anderen Geräten im Netzwerk des Opfers herstellen kann. Adobe stellt für Adobe Connect das Sicherheitsupdate Version 9.7 zur Behebung der Schwachstellen bereit. Patch: Adobe Security Bulletin APSB17-35 (Adobe Connect) http://helpx.adobe.com/security/products/connect/apsb17-35.html

CVE-2017-11291: Schwachstelle in Adobe Connect ermöglicht
Server-Side-Request-Forgery-Angriff

Eine nicht näher spezifizierte Schwachstelle in Adobe Connect ermöglicht
einem externen, nicht authentisierten Angreifer mit Hilfe einer schädlich
manipulierten Anfrage die Ausführung eines Server-Side-Request-Forgery
(SSRF)-Angriffs. Dadurch hat der Angreifer die Möglichkeit eine indirekte
Verbindung mit anderen Geräten im Netzwerk des Opfers herzustellen.

CVE-2017-11290: Schwachstelle in Adobe Connect ermöglicht Ausführung
beliebigen Programmcodes mit Benutzerrechten

Eine nicht näher spezifizierte Schwachstelle in Adobe Connect ermöglicht
einem entfernten, nicht authentisierten Angreifer die Durchführung eines
Clickjacking-Angriffs. Dadurch kann der Angreifer beliebigen Programmcode
mit den Rechten des Benutzers ausführen.

CVE-2017-11287 CVE-2017-11288 CVE-2017-11289: Schwachstellen in Adobe
Connect ermöglichen Cross-Site-Scripting-Angriffe

Mehrere Schwachstellen in Adobe Connect basieren auf einer unzureichenden
Eingabevalidierung und können von einem entfernten, nicht authentisierten
Angreifer für reflektierte Cross-Site-Scripting (XSS)-Angriffe ausgenutzt
werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2033/

Adobe Security Bulletin APSB17-35 (Adobe Connect):
http://helpx.adobe.com/security/products/connect/apsb17-35.html

Schwachstelle CVE-2017-11287 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-11287

Schwachstelle CVE-2017-11288 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-11288

Schwachstelle CVE-2017-11289 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-11289

Schwachstelle CVE-2017-11290 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-11290

Schwachstelle CVE-2017-11291 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-11291

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben