Bezpečnostní bulletin společnosti Adobe
Zveřejnění aktualizace zabezpečení pro zásuvný modul Adobe PhoneGap Push | APSB18-15
ID bulletinu Datum zveřejnění Priorita
APSB18-15 10. dubna 2018 3

Shrnutí

Společnost Adobe vydala aktualizaci pro zásuvný modul Adobe PhoneGap Push. Tato aktualizace vyřeší zranitelnost typu Same-Origin Method Execution (SOME) (CVE-2018-4943), která existuje v aplikacích PhoneGap sestavených společně s dotčenou verzí zásuvného modulu Push. Této zranitelnosti může být využito k oklamání uživatelů aplikací PhoneGap, aby provedli kliknutí nebo jinou neúmyslnou činnost.

Postižené verze

Produkt Postižené verze Platforma
Zásuvný modul Adobe PhoneGap Push 1.8.0starších verzí Vše

Řešení

Společnost Adobe označila tuto aktualizaci následujícím hodnocením priority a doporučuje uživatelům, aby si nainstalovali nejnovější verzi:

Produkt Aktualizovaná verze Platforma Hodnocení priority Dostupnost
Zásuvný modul Adobe PhoneGap Push 2.1.0 Vše 3 Github

Poznámka:

Po aktualizaci na nejnovější verzi zásuvného modulu by měli autoři aplikace překompilovat všechny aplikace sestavené pomocí aplikaci PhoneGap s novým zásuvným modulem.    

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení Dopad chyby zabezpečení Závažnost Čísla CVE
Same-Origin Method Execution Vykonání kódu v jazyce JavaScript v kontextu aplikace PhoneGap Důležitá CVE-2018-4943

Poděkování

Společnost Adobe by ráda poděkovala Juho Nurminenovi z organizace 2NS – Second Nature Security Oy (CVE-2018-4943) za nahlášení tohoto problému a za pomoc společnosti Adobe s ochranou zákazníků.