16.02.2021 | Обзор уязвимостей за неделю: с 8 по 14 февраля 2021 года |
На прошлой неделе IT-администраторы были заняты установкой большого количества обновлений безопасности, выпущенных рядом поставщиков в рамках планового ежемесячного процесса исправлений. В частности, Microsoft исправила в общей сложности 56 уязвимостей, затрагивающих ее различные продукты, включая уязвимость нулевого дня в Windows ( CVE-2021-1732) . Проблема позволяла злоумышленникам или вредоносной программе повышать свои привилегии до уровня администратора. По данным китайской компании по безопасности DBAPPSecurity, 0Day-уязвимость использовалась в кампаниях киберпреступной группировки Bitter, нацеленных на пакистанские и китайские организации и пользователей. Помимо уязвимости нулевого дня Microsoft исправила шесть ранее раскрытых проблем, в том числе уязвимости повышения привилегий в установщике Windows ( CVE-2021-1727 ) и Sysinternals PsExec ( CVE-2021-1733 ). Во вторник исправлений Microsoft также устранила многочисленные опасные уязвимости в Microsoft Windows DNS Server , Microsoft Excel , Windows TCP/IP , Microsoft Package Managers Configurations и других продуктах. Компания Adobe выпустила пакет обновлений безопасности, устраняющих многочисленные опасные уязвимости в Adobe Acrobat и Reader , Photoshop , Illustrator , Animate , Dreamweaver и платформе электронной коммерции Magento . Стоит отметить, что обновления для Adobe Acrobat и Reader включают исправление для уязвимости нулевого дня, которая использовалась в реальных атаках. Проблема ( CVE-2021-21017 ) описывается как уязвимость переполнения буфера на основе кучи и связана с граничной ошибкой при обработке файлов PDF. Злоумышленник мог использовать данную уязвимость для удаленного выполнения кода, обманом заставив жертву открыть вредоносный документ PDF. Mozilla выпустила обновление для Firefox, исправляющее уязвимость переполнения буфера, которая может быть использована вместе с другими проблемами для выполнения произвольного кода. Уязвимость существует из-за граничной ошибки в графической библиотеке Angle при вычислении шага глубины для сжатых текстур. Удаленный злоумышленник может обманом заставить жертву открыть специально созданную web-страницу, чтобы вызвать повреждение памяти и выполнить произвольный код на целевой системе. Немецкий производитель ПО SAP исправил опасную уязвимость проверки вводимых данных ( CVE-2021-21477 ) в SAP Commerce. Проблема связана с другой уязвимостью в SAP Commerce, не получившей идентификатор. Удаленный аутентифицированный пользователь может послать приложению специально созданный запрос и выполнить произвольный код на системе. Проблема затрагивает версии SAP Commerce 1808, 1811, 1905, 2005 и 2011. Компания Siemens устранила более 20 уязвимостей в инструменте для просмотра данных JT в 3D JT2Go и решении Teamcenter Visualization, которое позволяет корпоративным пользователям получать доступ к документам, 2D-чертежам и 3D-моделям. Более половины проблем могут привести к удаленному выполнению кода. Проблемы затрагивают версии Drawings SDK старше 2021.11, версии JT2Go старше 13.1.0.1 и версии Teamcenter Visualization старше 13.1.0.1. В нескольких стеках TCP/IP, встроенных в миллионы OT-, IoT- и IT-устройств, было обнаружено девять уязвимостей. Все проблемы связаны с некорректной генерацией начального порядкового номера — 32-битного случайно сгенерированного числа, которое используется при установлении нового сеанса. Эксплуатация проблем может вызвать состояние «отказа в обслуживании», позволить обойти аутентификацию или внедрить вредоносный код. Затронутые стеки TCP/IP: MPLAB Net ( CVE-2020-27636 ), PicoTCP и PicoTCP-NG ( CVE-2020-27635 ), FNET ( CVE-2020-27633 ), uIP и Contiki-OS ( CVE-2020- 27634 ), NDKTCPIP ( CVE-2020-27632 ), CycloneTCP ( CVE-2020-27631 ), uC/TCP-IP ( CVE-2020-27630 , не исправлена), Nut / Net ( CVE-2020-27213 , не исправлена), Nucleus NET и Nucleus ReadyStart ( CVE-2020-28388 ). |
Проверить безопасность сайта