Обзор уязвимостей за неделю: с 15 по 19 февраля 2021 года

На этой неделе компания QNAP устранила критическую уязвимость в приложении Surveillance Station, эксплуатация которой позволяет злоумышленникам удаленно выполнять вредоносный код на сетевых хранилищах QNAP NAS с запущенным уязвимым ПО. Уязвимость ( CVE-2020-2501 ) затрагивает версии Surveillance Station старше 5.1.5.3.3, 5.1.5.4.3.

Разработчики OpenSSL выпустили исправления для трех уязвимостей в своем проекте, эксплуатация которых позволяет осуществлять атаки типа «отказ в обслуживании» (DoS) и MitM-атаки. Проблемы CVE-2021-23841 и CVE-2021-23840 были исправлены в версии OpenSSL 1.1.1j, а CVE-2021-23839 — в версии 1.0.2y.

В популярном наборе средств разработки Agora Video SDK, используемом многочисленными приложениями (включая eHarmony, Plenty of Fish, MeetMe, Skout Talkspace и Practo) была обнаружена уязвимость ( CVE-2020-25605 ), позволяющая скрыто наблюдать за приватными видео- и аудиозвонками. Проблема связана с ненадежным шифрованием и могла быть проэксплуатирована злоумышленниками для осуществления атак «человек посередине» и перехвата коммуникаций между участниками диалога. Уязвимость исправлена ​​в версии Agora SDK 3.2.1.

На этой неделе также была обнаружена уязвимость в сетевом шлюзе Digi ConnectPort X2e, используемом в солнечных установках. В частности, Digi ConnectPort X2e содержит две уязвимости ( CVE-2020-9306 и CVE-2020-12878 ), которые злоумышленники могут использовать для получения доступа к домашней или корпоративной сети через уязвимое устройство. Первая связана с наличием вшитых учетных данных, а вторая представляет собой уязвимость повышения привилегий.

Техногигант Google устранил множественные уязвимости в своем браузере Chrome, почти все из которых позволяли удаленно выполнить код. Microsoft выпустила обновления для своего браузера Edge, разработанного на базе Chromium, также исправляющие эти проблемы.

Также сообщалось о множественных RCE-уязвимостях в ряде продуктов, в частности, в библиотеке libmaxminddb , Soar Cloud System HR Portal , ISC BIND , SPIP и пакете static-eval для npm (для этой уязвимости нет исправления).