Обзор уязвимостей за неделю: 3 июля 2020 года
3 июля 2020 года
Компания Microsoft выпустила обновления безопасности, устраняющие две критические уязвимости в Windows Codecs Library. Обе проблемы ( CVE-2020-1425 и CVE-2020-1457 ) связаны с тем, как Windows Codecs Library обрабатывает объекты в памяти, и могут быть проэкслуатированы с помощью специально созданного файла изображения. Эксплуатация первой уязвимости (CVE-2020-1425) позволяет получить доступ к информации для дальнейшего взлома системы пользователя. Вторая проблема (CVE-2020-1457) позволяет удаленно выполнить код. Уязвимости затрагивают только версии Windows 10 и Windows Server 2019.
В операционной системе PAN-OS для межсетевых экранов и корпоративных VPN-установок от компании Palo Alto Networks была обнаружена опасная уязвимость ( CVE-2020-2021 ). Эксплуатация уязвимости позволяет неавторизованному злоумышленнику обойти аутентификацию. Проблема затрагивает версии PAN-OS 9.1, старше 9.1.3; версии PAN-OS 9.0, старше 9.0.9; версии PAN-OS 8.1, старше 8.1.15, и все версии PAN-OS 8.0. Уязвимость была исправлена в версиях PAN-OS 8.1.15, PAN-OS 9.0.9, PAN-OS 9.1.3 и во всех более поздних версиях.
Кибернетическое командование США предупредило о том, что иностранные киберпреступники, скорее всего, попытаются эксплуатировать обнаруженную уязвимость в PAN-OS.
В программном обеспечении для программирования панелей оператора Industrial Automation DOPSoft производства Delta Electronics обнаружен ряд уязвимостей. Одна из них ( CVE-2020-14482 ) — уязвимость переполнения буфера кучи, эксплуатация которой позволяет удаленно выполнить код, раскрыть/изменить информацию или вызвать сбой в работе ПО. Другие проблемы представляют собой уязвимости чтения за пределами поля и могут позволить злоумышленнику прочитать информацию и/или вызвать сбой в работе программы.
Версии поискового инструмента YARA 4.0.0 и 4.0.1 содержат ряд уязвимостей, наиболее опасная из которых может быть использована для удаленного выполнения произвольного кода на уязвимой системе.
В свободном клиентском протоколе удаленного рабочего стола FreeRDP обнаружен ряд уязвимостей, большинство из которых может позволить удаленному злоумышленнику получить доступ к конфиденциальной информации. Однако одна из проблем ( CVE-2020-4031 ) позволяет удаленно выполнить код.
В ретрансляторах Wi-Fi сигнала Tenda PA6 Wi-Fi Powerline обнаружены три уязвимости. Две проблемы позволяют получить удаленное управление устройством (CVE-2019-16213, CVE-2019-19505), тогда как третья (CVE-2019-19506) может быть использована удаленным злоумышленником для осуществления DoS-атаки. Уязвимости затрагивают версию PA6 Wi-Fi Powerline 1.0.1.21.
Компания Mozilla исправила множественные уязвимости в браузерах Firefox, Firefox ESR и почтовом клиенте Thunderbird, в том числе многочисленные проблемы, позволяющие полностью скомпрометировать целевую систему.
В популярном приложении Apache Guacamole, используемом системными администраторами для удаленного доступа и управления Windows- и Linux-машинами, обнаружен ряд уязвимостей, которые могут потенциально позволить злоумышленникам перехватить контроль над сервером Guacamole, перехватить и контролировать другие подключенные сеансы, включая загрузку и скачивание любого файла удаленного хоста; выполнить любую программу / команду на любом удаленном хосте и пр. Проблемы были исправлены в версии 1.2.02.
Источники править
Эта статья содержит материалы из статьи «Обзор уязвимостей за неделю: 3 июля 2020 года», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.