Обзор уязвимостей за неделю: 26 октября 2020 года

На прошлой неделе были исправлены уязвимости в Google Chrome, продуктах Adobe, Mozilla Thunderbird и пр.

Компания Google выпустила версию браузера Chrome 86.0.4240.111 для Windows, macOS и Linux, устраняющую ряд уязвимостей , в том числе активно используемую уязвимость нулевого дня. Уязвимость (CVE-2020-15999) переполнения буфера кучи в механизме рендеринга FreeType существует в функции Load_SBit_Png, которая обрабатывает изображения PNG, встроенные в шрифты, и может быть проэксплуатирована с помощью специально сформированных шрифтов со встроенными изображениями PNG.

В новой версии Chrome также исправлены опасные уязвимости в модуле рендеринга Chrome Blink (CVE-2020-16000) и три проблемы повреждения памяти, связанные с использованием после освобождения, в PDFium (CVE-2020- 16002) и функции мультимедиа и печати браузера (CVE-2020-16001, CVE-2020-16003).

Microsoft также выпустила два обновления безопасности для устранения уязвимостей удаленного выполнения кода в библиотеке кодеков Windows и приложении Visual Studio Code. Первая уязвимость ( CVE-2020-17022 ) содержится в библиотеке кодеков Windows и затрагивает все устройства под управлением Windows 10 (версии 1709 или старше). Вторая ошибка ( CVE-2020-17023 ) затрагивает приложение Visual Studio Code. Для успешной эксплуатации злоумышленнику необходимо обманом убедить жертву скопировать репозиторий и открыть его в Visual Studio Code. Вредоносный код запускается, когда пользователь открывает файл package.json.

Adobe выпустила обновления безопасности, исправляющие множество уязвимостей в Photoshop, Illustrator, Adobe Creative Cloud Desktop Application, Adobe Premiere Pro, InDesign и других продуктах.

Adobe Illustrator получила исправления для семи проблем, пять из которых ( CVE-2020-24411, CVE-2020-24412, CVE-2020-24413, CVE-2020-24414, CVE-2020-24415 ) при эксплуатации могут привести к выполнению произвольного кода.

RCE-уязвимости также были исправлены в Adobe Photoshop CC 2019 и Photoshop 2020 ( CVE-2020-24420 ), inDesign ( CVE-2020-24421 ), Adobe Creative Cloud Desktop Application ( CVE-2020-24422 ), Adobe After Effects ( CVE-2020-24419 ), Adobe Premiere Pro ( CVE-2020-24424 ), Adobe Media Encoder ( CVE-2020-24423 ) и Adobe Animate ( CVE-2020-9747, CVE-2020-9748, CVE- 2020-9749, CVE-2020-9750 ).

В Mozilla Thunderbird исправлены две опасные уязвимости. Одна из них ( CVE-2020-15969 ) представляет собой проблему использования после освобождения в библиотеке usersctp, а вторая ( CVE-2020-15683 ) — уязвимость переполнения буфера, связанная с граничной ошибкой при обработке HTML-контента. В случае эксплуатации обе ошибки могут привести к удаленному выполнению кода.

Команда безопасности WordPress пошла на экстренные меры и воспользовалась малоизвестной внутренней функцией для принудительного обновления популярного плагина. Так, сайты с плагином Loginizer принудительно получили обновленную версию 1.6.4, содержащую исправления для уязвимости ( CVE-2020-27615 ), позволяющей осуществить SQL-инъекцию и перехватить контроль над управлением сайтом.

Уязвимость связана с недостаточной очисткой предоставленных пользователем данных в функциях loginizer_login_failed и lz_valid_ip в рамках функции защиты от брутфорса. Удаленный злоумышленник может отправить специально созданный запрос уязвимому приложению и выполнить произвольные SQL-команды в базе данных.

Программное обеспечение Cisco Adaptive Security Appliance и ПО Firepower Threat Defense содержит несколько уязвимостей, которые могут позволить удаленному злоумышленнику обойти проверки авторизации ( CVE-2020-3578 ) или осуществить атаки типа «отказ в обслуживании» ( CVE-2020-3304 , CVE-2020-3529 , CVE-2020-3528 , CVE-2020-3561 ).



Source link

Is your business effected by Cyber Crime?

If a cyber crime or cyber attack happens to you, you need to respond quickly. Cyber crime in its several formats such as online identity theft, financial fraud, stalking, bullying, hacking, e-mail fraud, email spoofing, invoice fraud, email scams, banking scam, CEO fraud. Cyber fraud can lead to major disruption and financial disasters. Contact Digitpol’s hotlines or respond to us online.

Digitpol’s Cyber Crime Investigation Unit provides investigative support to victims of cyber crimes. Digitpol is available 24/7. https://digitpol.com/cybercrime-investigation/

Europe +31558448040
UK +44 20 8089 9944
ASIA +85239733884