Обзор уязвимостей за неделю: 26 июня 2020 года

Обзор уязвимостей за неделю: 26 июня 2020 года

Были обнаружены уязвимости в браузере Google Chrome, пакете Elliptic, браузере SafePay и пр.

image

Компания Google выпустила обновление для своего браузера Chrome для Windows, macOS и Linux, исправляющее несколько уязвимостей, в том числе одну опасную ( CVE-2020-6509 ), которая позволяет удаленному злоумышленнику скомпрометировать уязвимую систему.

В пакете Elliptic 6.5.2 для программной платформы Node.js обнаружена уязвимость, которая может быть использована удаленным злоумышленником для взлома целевой системы. Проблема ( CVE-2020-13822 ) позволяет вызвать изменчивость сигнатуры ECDSA из-за различий в кодировке, начальных байтов «\0» или целочисленных переполнений.

В фармацевтическом оборудовании Baxter ExactaMix, широко используемом в секторе здравоохранения, обнаружен ряд уязвимостей, эксплуатация которых позволяет раскрыть конфиденциальную информацию или удаленно выполнить код. Одна из уязвимостей ( CVE-2017-0143 ) связана с ошибкой при разборе запросов на сервере Microsoft Server Message Block 1.0 (SMBv1). Удаленный неавторизованный злоумышленник может путем отправки специально сформированных SMB-пакетов выполнить произвольный код на целевой системе и полностью ее скомпрометировать. Пользователям рекомендуется обновиться до версии ExactaMix 1.4 (EM1200) и версии ExactaMix 1.13 (EM2400).

Компания Bitdefender исправила уязвимость в защищенном браузере SafePay, предназначенном для защиты конфиденциальных online-транзакций, таких как online-банкинг и электронные покупки. Эксплуатация уязвимости ( CVE-2020-8102 ) позволяет злоумышленнику удаленно выполнять команды в контексте пользователя на системе и, в зависимости от привилегий пользователя, устанавливать программное обеспечение, просматривать, изменять или удалять данные, или создать новые учетные записи с полными правами пользователя.

Adobe выпустила исправления для трех опасных уязвимостей в программном обеспечении Adobe Framemaker. Эксплуатация проблем ( CVE-2020-9636, CVE-2020-9634 и CVE-2020-9635 ) позволяет удаленно выполнить код.

В версии плагина для WordPress gVectors wpDiscuz 5.3.5 и старше выявлена уязвимость ( CVE-2020-13640 ), позволяющая удаленному злоумышленнику внедрить SQL-код. Эксплуатация уязвимости может позволить удаленному злоумышленнику читать, удалять, изменять информацию в базе данных и получить полный контроль над уязвимым приложением.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle