Обзор уязвимостей за период с 11 по 17 января 2021 года

Обзор уязвимостей за период с 11 по 17 января 2021 года

Было исправлено множество уязвимостей в продуктах Microsoft, Adobe и пр.

image

На минувшей неделе компания Microsoft устранила в общей сложности 83 уязвимости, затрагивающие широкий спектр продуктов, включая проблему нулевого дня, которая активно использовалась в реальных атаках.

Уязвимость ( CVE-2021-1647 ) удаленного выполнения кода позволяла злоумышленникам выполнять код на уязвимых устройствах, если пользователя удалось обманом убедить открыть вредоносный документ на системе, где установлен Защитник Windows. Проблема связана с некорректной проверкой введенных пользователем данных. Уязвимость была исправлена ​​в версии Microsoft Malware Protection Engine 1.1.17700.4.

Помимо данной проблемы, компания также исправила уязвимость ( CVE-2021-1648 ) в службе splwow64 Windows, эксплуатация которой позволяла повышать привилегии на системе и обходить ограничения безопасности.

Также был исправлен ряд опасных проблем в различных продуктах, включая Microsoft Word , Excel , Office , Microsoft Windows Media Foundation , Microsoft DTV-DVD Video Decoder и Microsoft HEVC Video Extensions .

Компания Adobe устранила ряд уязвимостей, которые могут привести к выполнению кода, в нескольких своих продуктах, включая Photoshop , Animate , Bridge , InCopy , Captivate и Campaign Classic .

В частном регистраторе контейнеров Red Hat Quay обнаружено множество проблем, в том числе более двух десятков RCE-уязвимостей, которые затрагивают версии программного обеспечения Red Hat Quay 3.3.0 и 3.3.1. Другие проблемы позволяют злоумышленнику осуществлять межсайтовое выполнение сценариев, получать доступ к важным данным или обходить ограничения безопасности.

Множественные уязвимости были обнаружены в нескольких продуктах Siemens, включая Siemens Solid Edge , коммутаторы Siemens SCALANCE X-300 , Siemens SCALANCE X-200 и SCALANCE X-200IRT . Наиболее опасные из них (CVE-2021-22697, CVE-2021-22698, CVE-2020-28391, CVE-2020-25226, CVE-2020-28381, CVE-2020-28382, CVE-2020-28383, CVE -2020-28384, CVE-2020-28386 и CVE-2020-26989) могут использоваться удаленным злоумышленником для компрометации уязвимой системы.

Платформа управления сетью Juniper Junos Space содержит более 40 уязвимостей , 6 из которых считаются критическими и позволяют выполнить код (CVE-2020-2604, CVE-2020-2803, CVE-2020-2805, CVE-2020-5208, CVE-2020-8616, CVE-2019-11745). Проблемы затрагивают версии Juniper Junos Space старше 20.3R1.

В программном обеспечении Schneider Electric EcoStruxure Power Build-Rapsody были обнаружены две уязвимости ( CVE-2021-22697 и CVE-2021-22698 ), которые можно использовать для перехвата контроля над уязвимой системой. Проблемы затрагивают версии EcoStruxure Power Build-Rapsody 2.1.13.

Mozilla устранила опасную уязвимость ( CVE-2020-16044 ) в своем почтовом клиенте Thunderbird, которая позволяла удаленному злоумышленнику взломать уязвимую систему. Проблема затрагивает следующие версии программного обеспечения Mozilla Thunderbird: 60.0, 60.2.1, 60.3, 60.3.0, 60.3.1, 60.3.2, 60.3.3, 60.4, 60.4.0, 60.5, 60.5.0, 60.5.1, 60.5.2, 60.5.3, 60.6.0, 60.6.1, 60.7.0, 60.7.1, 60.7.2, 60.8.0, 60.9.0, 60.9.1, 68.0, 68.1.0, 68.1.1, 68.1.2, 68.2.0, 68.2.1, 68.2.2, 68.3.0, 68.3.1, 68.4.1, 68.4.2, 68.5.0, 68.6.0, 68.7.0, 68.8.0, 68.8. 1, 68.9.0, 68.10.0, 68.11.0, 68.12.0, 68.12.1, 78.0, 78.0.1, 78.1.0, 78.1.1, 78.2.0, 78.2.1, 78.2.2, 78.3. 0, 78.3.1, 78.3.2, 78.3.3, 78.4.0, 78.4.1, 78.4.2, 78.4.3, 78.5.0, 78.5.1, 78.6.0.


Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей. Смотрите новый выпуск на нашем Yotube канале