Обзор уязвимостей за неделю: 5 июня 2020 года

Обзор уязвимостей за неделю: 5 июня 2020 года

Были обнаружены уязвимости в Google Chrome, Mozilla Firefox, FreeRDP и пр.

image

Google исправила многочисленные уязвимости в браузере Google Chrome, четыре из которых являются опасными (CVE-2020-6493, CVE-2020-6494, CVE-2020-6495, CVE-2020-6496). Их эксплуатация позволяет удаленному злоумышленнику скомпрометировать целевую систему, выполнить спуфинг или обойти меры безопасности.

Mozilla выпустила обновления, исправляющие многочисленные проблемы в Mozilla Firefox , Firefox ESR и почтовом клиенте Thunderbird . Эксплуатация ряда критических уязвимостей позволяет удаленному злоумышленнику выполнить произвольный код или скомпрометировать уязвимую систему.

Apple выпустила обновления, исправляющие уязвимость ( CVE-2020-9859 ), которая использовалась для джейлбрейка iPhone с версией iOS 13.5. Уязвимость затрагивает ядро ​​iOS и может позволить приложению выполнять произвольный код с привилегиями ядра.

Выпущенные за последние 7 лет смартфоны LG оказались уязвимы к атаке «холодной перезагрузки». Проблема ( CVE-2020-12753 ) связана с некорректной проверкой ввода загрузчиком операционной системы Android в мобильных устройствах. Ее эксплуатация позволяет злоумышленнику выполнить произвольный код на системе, а для осуществления атаки необходим физический доступ к устройству. Проблема была исправлена производителем в мае 2020 года.

Решение ABB Central Licensing System содержит опасную уязвимость ( CVE-2020-8475 ), которая может привести к утечке данных. Используя данную проблему, удаленный злоумышленник может получить доступ к конфиденциальной информации путем отправки специально сформированного XML-кода.

В программном обеспечении для видеоконференций Zoom исправлены две критические уязвимости, которые могут позволить удаленному злоумышленнику записывать произвольные файлы на системах с установленными уязвимыми версиями Zoom. Уязвимости обхода каталога ( CVE-2020-6109 и CVE-2020-6110 ) могут быть использованы для выполнения произвольного кода. Одна проблема затрагивает версии 4.6.10 и 4.6.11, а другая — только версии 4.6.10 и старше.

Fortinet FortiClient для Windows содержит уязвимость , позволяющую раскрыть информацию. Проблема связана с наличием встроенного криптографического ключа в файле конфигурации, с помощью которого злоумышленник может расшифровать конфиденциальные данные на целевой системе.

В свободном клиентском протоколе удаленного рабочего стола FreeRDP и среде выполнения с открытым исходным кодом Node.js были исправлены многочисленные уязвимости, включая несколько критических (CVE-2020-11039, CVE-2020-11038, CVE-2020-11019 и CVE- 2020-8174), которые могут быть использованы для удаленного выполнения кода или осуществления DoS-атак.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.