Обзор уязвимостей за неделю: с 8 по 14 февраля 2021 года
15 февраля 2021 года
На прошлой неделе IT-администраторы были заняты установкой большого количества обновлений безопасности, выпущенных рядом поставщиков в рамках планового ежемесячного процесса исправлений.
В частности, Microsoft исправила в общей сложности 56 уязвимостей, затрагивающих ее различные продукты, включая уязвимость нулевого дня в Windows ( CVE-2021-1732). Проблема позволяла злоумышленникам или вредоносной программе повышать свои привилегии до уровня администратора.
По данным китайской компании по безопасности DBAPPSecurity, 0Day-уязвимость использовалась в кампаниях киберпреступной группировки Bitter, нацеленных на пакистанские и китайские организации и пользователей.
Помимо уязвимости нулевого дня Microsoft исправила шесть ранее раскрытых проблем, в том числе уязвимости повышения привилегий в установщике Windows ( CVE-2021-1727 ) и Sysinternals PsExec ( CVE-2021-1733 ).
Во вторник исправлений Microsoft также устранила многочисленные опасные уязвимости в Microsoft Windows DNS Server, Microsoft Excel, Windows TCP/IP, Microsoft Package Managers Configurations и других продуктах.
Компания Adobe выпустила пакет обновлений безопасности, устраняющих многочисленные опасные уязвимости в Adobe Acrobat и Reader, Photoshop, Illustrator, Animate, Dreamweaver и платформе электронной коммерции Magento. Стоит отметить, что обновления для Adobe Acrobat и Reader включают исправление для уязвимости нулевого дня, которая использовалась в реальных атаках. Проблема ( CVE-2021-21017 ) описывается как уязвимость переполнения буфера на основе кучи и связана с граничной ошибкой при обработке файлов PDF. Злоумышленник мог использовать данную уязвимость для удаленного выполнения кода, обманом заставив жертву открыть вредоносный документ PDF.
Mozilla выпустила обновление для Firefox, исправляющее уязвимость переполнения буфера, которая может быть использована вместе с другими проблемами для выполнения произвольного кода. Уязвимость существует из-за граничной ошибки в графической библиотеке Angle при вычислении шага глубины для сжатых текстур. Удаленный злоумышленник может обманом заставить жертву открыть специально созданную web-страницу, чтобы вызвать повреждение памяти и выполнить произвольный код на целевой системе.
Немецкий производитель ПО SAP исправил опасную уязвимость проверки вводимых данных ( CVE-2021-21477 ) в SAP Commerce. Проблема связана с другой уязвимостью в SAP Commerce, не получившей идентификатор. Удаленный аутентифицированный пользователь может послать приложению специально созданный запрос и выполнить произвольный код на системе. Проблема затрагивает версии SAP Commerce 1808, 1811, 1905, 2005 и 2011.
Компания Siemens устранила более 20 уязвимостей в инструменте для просмотра данных JT в 3D JT2Go и решении Teamcenter Visualization, которое позволяет корпоративным пользователям получать доступ к документам, 2D-чертежам и 3D-моделям. Более половины проблем могут привести к удаленному выполнению кода. Проблемы затрагивают версии Drawings SDK старше 2021.11, версии JT2Go старше 13.1.0.1 и версии Teamcenter Visualization старше 13.1.0.1.
В нескольких стеках TCP/IP, встроенных в миллионы OT-, IoT- и IT-устройств, было обнаружено девять уязвимостей. Все проблемы связаны с некорректной генерацией начального порядкового номера — 32-битного случайно сгенерированного числа, которое используется при установлении нового сеанса. Эксплуатация проблем может вызвать состояние «отказа в обслуживании», позволить обойти аутентификацию или внедрить вредоносный код.
Затронутые стеки TCP/IP: MPLAB Net ( CVE-2020-27636 ), PicoTCP и PicoTCP-NG ( CVE-2020-27635 ), FNET ( CVE-2020-27633 ), uIP и Contiki-OS ( CVE-2020- 27634 ), NDKTCPIP ( CVE-2020-27632 ), CycloneTCP ( CVE-2020-27631 ), uC/TCP-IP ( CVE-2020-27630, не исправлена), Nut / Net ( CVE-2020-27213, не исправлена), Nucleus NET и Nucleus ReadyStart ( CVE-2020-28388 ).
Источники править
Эта статья содержит материалы из статьи «Обзор уязвимостей за неделю: с 8 по 14 февраля 2021 года», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.