Veröffentlicht inApps

Entwickler warnt: Diese Windows-App musst du dringend aktualisieren

Philipp Rall von Philipp Rall

Die Windows-App Adobe ColdFusion leidet derzeit unter gleich mehreren kritischen Schwachstellen. Ein Notfall-Update soll das beheben.

Tastatur mit Totenköpfen
© Negro Elkha - stock.adobe.com

Windows-Insider-Programm: So kannst du es testen

Wer eine gültige Windows-Lizenz hat, kann unter anderem auch Vorabversionen des Betriebssystems testen.Nun stellst sich aber die Frage, wie das möglich ist, in das sogenannte Windows-Insider-Programm zu kommen. Ob das bei dir funktioniert, kannst du folgendermaßen herausfinden ...

Adobe hat jüngst Updates herausgebracht, um ein bislang ungelöstes Sicherheitsproblem mit ColdFusion zu beheben, das aktiv genutzt wurde. Diese dringliche Schwachstelle, die unter der Kennung CVE-2023-38205 im Common Vulnerabilities and Exposures (CVE) System gelistet ist, wurde von Adobe erkannt, da sie oft bei zielgerichteten Angriffen auf die Windows-App zum Vorschein kam.

Windows-App Adobe ColdFusion betroffen

Bei der kritischen Schwachstelle mit einem CVSS-Wert von 7,5 handelt es sich um eine Sicherheitslücke in der Zugriffskontrolle. Diese Schwachstelle ermöglicht es nicht autorisierten Nutzer*innen, Sicherheitsmechanismen zu umgehen. Das kann einen unbefugten Zugriff auf Daten oder deren Manipulation zur Folge haben.

Die betroffenen Versionen der Windows-App sind:

  • ColdFusion 2023 (Update 2 und früher)
  • ColdFusion 2021 (Update 8 und früher)
  • ColdFusion 2018 (Update 18 und früher)

Lücken haben schwerwiegende Konsequenzen

Diese Aktualisierungsrunde behebt außerdem zwei weitere Schwachstellen: einen schwerwiegenden Deserialisierungsfehler (CVE-2023-38204, CVSS-Score: 9,8) und ein weiteres Problem der unzulässigen Zugriffskontrolle (CVE-2023-38206, CVSS-Score: 5,3). Diese Schwachstellen könnten die Ausführung von Remotecode beziehungsweise die Umgehung von Sicherheitsmechanismen ermöglichen.

Zuvor hatte das Cybersicherheitsunternehmen Rapid7 darauf hingewiesen, dass die zuvor implementierte Korrektur für CVE-2023-29298 unzureichend war. Die unvollständige Korrektur machte ColdFusion anfällig dafür, von böswilligen Akteuren mühelos umgangen zu werden. Rapid7 hat nun jedoch bestätigt, dass die neuen Updates die zuvor offene Sicherheitslücke geschlossen beheben.

Adobe rät dringend zur Installation

Bei der Schwachstelle CVE-2023-29298 handelt es sich um eine Sicherheitslücke zur Umgehung der Zugriffskontrolle, die bereits in realen Angriffen ausgenutzt wurde. Cyberkriminelle nutzen diese Schwachstelle in Verbindung mit einer anderen, bei der es sich vermutlich um CVE-2023-38203 handelt. Sie betten Web-Shells in kompromittierte Systeme ein und erhalten so einen Backdoor-Zugang.

Angesichts dieser Sicherheitsbedenken rät Adobe allen Nutzer*innen der Windows-App dringend, ihre Installationen auf die neueste Version zu aktualisieren, um sich vor diesen Bedrohungen zu schützen. Die Aktualisierung deiner Software mit den neuesten Sicherheits-Patches ist ein wichtiger Schritt zur Aufrechterhaltung einer soliden Sicherheitslage.

Quelle: Rapid7; Adobe

Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.

Du willst mehr von uns lesen? Folge uns auf Google News.