Обзор уязвимостей за неделю: 26 июня 2020 года

обзор программное обеспечение
Обзор уязвимостей за неделю: 26 июня 2020 года
обзор программное обеспечение

Были обнаружены уязвимости в браузере Google Chrome, пакете Elliptic, браузере SafePay и пр.

Компания Google выпустила обновление для своего браузера Chrome для Windows, macOS и Linux, исправляющее несколько уязвимостей, в том числе одну опасную (CVE-2020-6509), которая позволяет удаленному злоумышленнику скомпрометировать уязвимую систему.

В пакете Elliptic 6.5.2 для программной платформы Node.js обнаружена уязвимость, которая может быть использована удаленным злоумышленником для взлома целевой системы. Проблема (CVE-2020-13822) позволяет вызвать изменчивость сигнатуры ECDSA из-за различий в кодировке, начальных байтов «\0» или целочисленных переполнений.

В фармацевтическом оборудовании Baxter ExactaMix, широко используемом в секторе здравоохранения, обнаружен ряд уязвимостей, эксплуатация которых позволяет раскрыть конфиденциальную информацию или удаленно выполнить код. Одна из уязвимостей (CVE-2017-0143) связана с ошибкой при разборе запросов на сервере Microsoft Server Message Block 1.0 (SMBv1). Удаленный неавторизованный злоумышленник может путем отправки специально сформированных SMB-пакетов выполнить произвольный код на целевой системе и полностью ее скомпрометировать. Пользователям рекомендуется обновиться до версии ExactaMix 1.4 (EM1200) и версии ExactaMix 1.13 (EM2400).

Компания Bitdefender исправила уязвимость в защищенном браузере SafePay, предназначенном для защиты конфиденциальных online-транзакций, таких как online-банкинг и электронные покупки. Эксплуатация уязвимости (CVE-2020-8102) позволяет злоумышленнику удаленно выполнять команды в контексте пользователя на системе и, в зависимости от привилегий пользователя, устанавливать программное обеспечение, просматривать, изменять или удалять данные, или создать новые учетные записи с полными правами пользователя.

Adobe выпустила исправления для трех опасных уязвимостей в программном обеспечении Adobe Framemaker. Эксплуатация проблем (CVE-2020-9636, CVE-2020-9634 и CVE-2020-9635) позволяет удаленно выполнить код.

В версии плагина для WordPress gVectors wpDiscuz 5.3.5 и старше выявлена уязвимость (CVE-2020-13640), позволяющая удаленному злоумышленнику внедрить SQL-код. Эксплуатация уязвимости может позволить удаленному злоумышленнику читать, удалять, изменять информацию в базе данных и получить полный контроль над уязвимым приложением.