Обзор уязвимостей за неделю: 20 ноября 2020 года

Обзор уязвимостей за неделю: 20 ноября 2020 года

На этой неделе были обнаружены уязвимости в Google Chrome, Mozilla Firefox, ПО Cisco и пр.

Компания Google устранила более двух десятков уязвимостей в браузере Google Chrome, почти половина из которых была отнесена к категории опасных (CVE-2020-16023, CVE-2020-16034, CVE-2020-16029, CVE-2020-16025, CVE-2020-16024, CVE-2020-16014, CVE-2020-16022, CVE-2020-16021, CVE-2020-16018). Проблемы содержатся в различных компонентах Chrome и могут использоваться для удаленного выполнения кода. Пользователям настоятельно рекомендуется как можно скорее применить исправление.

В Mozilla Firefox для Android было исправлено несколько опасных и критических уязвимостей (CVE-2020-15999, CVE-2020-26952, CVE-2020-26968, CVE-2020-26969 и CVE-2020-26960). Кроме того, Mozilla исправила множество менее опасных проблем, которые позволяли удаленному злоумышленнику вызвать неожиданное поведение, получить доступ к потенциально конфиденциальной информации или выполнить атаку DNS rebinding (CVE-2020-26961).

Почтовый клиент Mozilla Thunderbird также получил исправление для ряда опасных проблем (CVE-2020-26960, CVE-2020-15999, CVE-2020-26968), которые могли использоваться для удаленного выполнения кода.

Компания Cisco обнаружила критическую уязвимость в программном обеспечении Cisco Security Manager. Уязвимость представляет собой проблему обход каталога ( CVE-2020-27130 ), которая может позволить неавторизованному удаленному злоумышленнику загрузить файлы с уязвимого устройства. Проблема затрагивает версии Cisco Security Manager 4.21 и старше и была исправлена в версии Cisco Security Manager 4.22. ПО также содержит еще две опасные проблемы, одна из которых ( CVE-2020-27131 ) связана с небезопасной десериализацией пользовательского контента уязвимым ПО, а другая ( CVE-2020-27125 ) — с наличием встроенных учетных данных в коде приложения.

Cisco также исправила множество опасных уязвимостей в Cisco DNA Spaces Connector ( CVE-2020-3586 ), Cisco Integrated Management Controller ( CVE-2020-3470 ), Cisco IoT Field Network Director, Cisco Webex Meetings и Cisco Webex Meetings Server ( CVE-2020-3441, CVE-2020-3471 и CVE-2020-3419 ).

В стеке ENIP Real Time Automation 499ES ( CVE-2020-25159 ) была обнаружена уязвимость, связанная с некорректной проверкой границ. Удаленный неавторизованный злоумышленник может отправить специально созданный пакет, инициировать переполнение буфера на основе стека и выполнить произвольный код на целевой системе.

Производитель устройств безопасности Paradox обнаружил критическую проблему ( CVE-2020-25189 ) в интернет-модуле IP150, которая позволяет удаленному неавторизованному злоумышленнику запускать переполнение буфера на основе стека и выполнять произвольный код на целевой системе.

Команда Drupal выпустила исправление для опасной уязвимости ( CVE-2020-13671 ), связанной с невозможностью должным образом очистить имена загруженных файлов, которая может быть использована удаленным злоумышленником для загрузки вредоносного PHP-файла и его выполнения на сервере.

VMware выпустила обновление безопасности для SD-WAN Orchestrator, устраняющее множество уязвимостей , в том числе те, которые позволяют удаленному пользователю выполнить произвольные SQL-запросы в базе данных (CVE-2020-3984), получить несанкционированный доступ к ограниченным функциям (CVE-2020- 3985), выполнить атаки обхода каталога (CVE-2020-4000) или получить несанкционированный доступ к системе (CVE-2020-4001).

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!