Обзор уязвимостей за неделю: с 8 по 14 февраля 2021 года

15 февраля 2021 года

На прошлой неделе IT-администраторы были заняты установкой большого количества обновлений безопасности, выпущенных рядом поставщиков в рамках планового ежемесячного процесса исправлений.

В частности, Microsoft исправила в общей сложности 56 уязвимостей, затрагивающих ее различные продукты, включая уязвимость нулевого дня в Windows ( CVE-2021-1732). Проблема позволяла злоумышленникам или вредоносной программе повышать свои привилегии до уровня администратора.

По данным китайской компании по безопасности DBAPPSecurity, 0Day-уязвимость использовалась в кампаниях киберпреступной группировки Bitter, нацеленных на пакистанские и китайские организации и пользователей.

Помимо уязвимости нулевого дня Microsoft исправила шесть ранее раскрытых проблем, в том числе уязвимости повышения привилегий в установщике Windows ( CVE-2021-1727 ) и Sysinternals PsExec ( CVE-2021-1733 ).

Во вторник исправлений Microsoft также устранила многочисленные опасные уязвимости в Microsoft Windows DNS Server, Microsoft Excel, Windows TCP/IP, Microsoft Package Managers Configurations и других продуктах.

Компания Adobe выпустила пакет обновлений безопасности, устраняющих многочисленные опасные уязвимости в Adobe Acrobat и Reader, Photoshop, Illustrator, Animate, Dreamweaver и платформе электронной коммерции Magento. Стоит отметить, что обновления для Adobe Acrobat и Reader включают исправление для уязвимости нулевого дня, которая использовалась в реальных атаках. Проблема ( CVE-2021-21017 ) описывается как уязвимость переполнения буфера на основе кучи и связана с граничной ошибкой при обработке файлов PDF. Злоумышленник мог использовать данную уязвимость для удаленного выполнения кода, обманом заставив жертву открыть вредоносный документ PDF.

Mozilla выпустила обновление для Firefox, исправляющее ​​ уязвимость переполнения буфера, которая может быть использована вместе с другими проблемами для выполнения произвольного кода. Уязвимость существует из-за граничной ошибки в графической библиотеке Angle при вычислении шага глубины для сжатых текстур. Удаленный злоумышленник может обманом заставить жертву открыть специально созданную web-страницу, чтобы вызвать повреждение памяти и выполнить произвольный код на целевой системе.

Немецкий производитель ПО SAP исправил опасную уязвимость проверки вводимых данных ( CVE-2021-21477 ) в SAP Commerce. Проблема связана с другой уязвимостью в SAP Commerce, не получившей идентификатор. Удаленный аутентифицированный пользователь может послать приложению специально созданный запрос и выполнить произвольный код на системе. Проблема затрагивает версии SAP Commerce 1808, 1811, 1905, 2005 и 2011.

Компания Siemens устранила более 20 уязвимостей в инструменте для просмотра данных JT в 3D JT2Go и решении Teamcenter Visualization, которое позволяет корпоративным пользователям получать доступ к документам, 2D-чертежам и 3D-моделям. Более половины проблем могут привести к удаленному выполнению кода. Проблемы затрагивают версии Drawings SDK старше 2021.11, версии JT2Go старше 13.1.0.1 и версии Teamcenter Visualization старше 13.1.0.1.

В нескольких стеках TCP/IP, встроенных в миллионы OT-, IoT- и IT-устройств, было обнаружено девять уязвимостей. Все проблемы связаны с некорректной генерацией начального порядкового номера — 32-битного случайно сгенерированного числа, которое используется при установлении нового сеанса. Эксплуатация проблем может вызвать состояние «отказа в обслуживании», позволить обойти аутентификацию или внедрить вредоносный код.

Затронутые стеки TCP/IP: MPLAB Net ( CVE-2020-27636 ), PicoTCP и PicoTCP-NG ( CVE-2020-27635 ), FNET ( CVE-2020-27633 ), uIP и Contiki-OS ( CVE-2020- 27634 ), NDKTCPIP ( CVE-2020-27632 ), CycloneTCP ( CVE-2020-27631 ), uC/TCP-IP ( CVE-2020-27630, не исправлена), Nut / Net ( CVE-2020-27213, не исправлена), Nucleus NET и Nucleus ReadyStart ( CVE-2020-28388 ).

Источники править

 
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.