Обзор уязвимостей за неделю: 6 ноября 2020 года — yo-robot.ru

обзор программное обеспечение

Были исправлены опасные уязвимости в Google Chrome, Microsoft Windows, Apple iOS и пр.

Компания Google выпустила версию Chrome 86.0.4240.183 для Windows, Mac и Linux, в которой было исправлено десять проблем . Одна из них в настоящее время эксплуатируется в «дикой природе» ( CVE-2020-16009 ). Проблема связана с некорректной реализацией в движке V8 JavaScript и WebAssembly с открытым исходным кодом от Google.

В версии Chrome для Android была исправлена ​уязвимость нулевого дня ( CVE-2020-16010 ). Уязвимость переполнения буфера кучи связана с обработкой ненадежного HTML-содержимого в пользовательском интерфейсе Google Chrome на Android. Удаленный злоумышленник, скомпрометировавший процесс рендеринга, может осуществить побег из песочницы с помощью специально созданной HTML-страницы.

На этой неделе была обнаружена уязвимость нулевого дня в Windows, которая активно используется в атаках вместе с уже исправленной ошибкой в ​​Google Chrome. Проблема ( CVE-2020-17087 ) содержится в ядре Windows и позволяет злоумышленнику повысить свои привилегии на системе. Уязвимость затрагивает версии Windows 7 и Windows 10.

По словам экспертов, злоумышленники используют эту проблему вместе с уязвимостью переполнения буфера кучи ( CVE-2020-15999 ) в механизме рендеринга FreeType браузера Chrome. Уязвимость содержится в функции Load_SBit_Png и может быть использована с помощью специально созданных шрифтов со встроенными изображениями PNG. В наблюдаемых атаках уязвимость в Chrome использовалась для запуска вредоносного кода внутри браузера, а CVE-2020-17087 использовалась для побега из песочницы.

Apple также выпустила обновления безопасности для iOS и macOS, исправляющие три уязвимости нулевого дня, которые использовались в реальных атаках, — CVE-2020-27930 (уязвимость удаленного выполнения кода в компоненте FontParser, которая может привести к компрометации целевой системы), CVE-2020-27932 (уязвимость повышения привилегий, позволяющая злоумышленникам выполнять произвольный код с повышенными привилегиями) и CVE-2020-27950 (уязвимость утечки памяти, позволяющая получить доступ к потенциально конфиденциальной информации).

Oracle выпустила обновление для устранения критической уязвимости в серверах Oracle WebLogic. Уязвимость ( CVE-2020-14750 ) связана с другой проблемой в WebLogic ( CVE-2020-14882 ), исправленной в рамках октябрьского обновления безопасности. Проблема (CVE-2020-14750) затрагивает версии Oracle WebLogic Server 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 и может использоваться удаленно без вмешательства пользователя.

В хранилище больших файлов Git (Git LFS) была обнаружена критическая уязвимость ( CVE-2020-27955 ), эксплуатация которой позволяет удаленному преступнику скомпрометировать уязвимую систему. Уязвимость связана с некорректной проверкой файлов. Удаленный пользователь может загрузить в репозиторий специально созданный двоичный файл и выполнить произвольный код на системе.

Adobe устранила несколько уязвимостей в своих продуктах Reader и Acrobat, включая четыре проблемы удаленного выполнения кода ( CVE-2020-24435, CVE-2020-24436, CVE-2020-24430, CVE-2020-24437 ). Другие проблемы могут привести к локальному повышению привилегий и раскрытию информации.

Источник: securitylab.ru

Yo Robot
Добавить комментарий