Викиновости

Уязвимости в Android, FreeBSD, rdesktop и FreeRDP

8 февраля 2019 года

Несколько недавно анонсированных опасных уязвимостей:

  • Опубликован февральский набор исправлений проблем с безопасностью для платформы Android, в котором устранены 42 уязвимости. 11 проблемам присвоен критический уровень опасности. Наиболее опасными признаны уязвимости CVE-2019-1986, CVE-2019-1987 и CVE-2019-1988, позволяющие удалённому атакующему выполнить свой код на устройстве при обработке специально оформленного изображения в формате PNG. Уязвимости могут быть эксплуатированы в любых приложениях, в которых используется предоставляемый системой обработчик PNG, в том числе в контексте привилегированных процессов.

Кроме того, критические уязвимости устранены в Bluetooth-стеке, библиотеке libnvomx (NVIDIA), загрузчике Qualcomm и проприетарных драйверах Qualcomm, которые позволяют организовать выполнение кода с повышенными привилегиями при обработке специально подготовленных злоумышленником данных, в том числе поступающих извне. Например, уязвимости в Bluetooth-стеке могут быть эксплуатированы через отправку определённых запросов по Bluetooth, а уязвимость в libnvomx может проявиться при попытке обработки в данной библиотеке специально оформленных видеопотоков;

  • Во FreeBSD 12 устранена уязвимость (CVE-2019-5596), которую можно использовать для получения локальным пользователем root-привилегий или для выхода из изолированных окружений Jail. Проблема вызвана некорректной обработкой в ядре управляющих сообщений при передаче прав, что позволяет использовать UNIX-сокеты для передачи другому процессу прав, привязанных к файловым дескрипторам. Кроме того, во всех поддерживаемых ветках FreeBSD выявлена уязвимость (CVE-2019-5595) в реализации системных вызовов, которая может привести к утечке информации из структур ядра;
  • В свободных пакетах FreeRDP и

rdesktop (Архивная копия от 26 октября 2020 на Wayback Machine), реализующих протокол RDP для удалённого доступа к рабочему столу, выявлены 24 опасные уязвимости, при помощи которых можно организовать выполнение кода на стороне клиента при его подключении по протоколу RDP к рабочей станции, подконтрольной злоумышленнику. 6 проблем выявлено во FreeRDP и 19 в rdesktop. Уязвимости без раскрытия деталей были устранены в осеннем обновлении FreeRDP 2.0.0rc4 и январском обновлении rdesktop 1.8.4. С практической стороны уязвимости могут использоваться, например, для атаки на компьютеры администратора при получении контроля за одной из рабочих станций в корпоративной сети, или для атак на исследователей безопасности, использующих RDP для подключения к виртуальной машине с исследуемым вредоносным ПО.

Источники

править
 
 
Creative Commons
Эта статья содержит материалы из статьи «Уязвимости в Android, FreeBSD, rdesktop и FreeRDP», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.



Источник — https://ru.wikinews.org/w/index.php?title=Уязвимости_в_Android,_FreeBSD,_rdesktop_и_FreeRDP&oldid=16586171