Обзор сторонних исправлений — ноябрь 2021 г.

Опубликовано: 30 Марта, 2023
Обзор сторонних исправлений — ноябрь 2021 г.

Ноябрь прошел, и в большей части северного полушария наблюдается более прохладная погода. В США День Благодарения пришел и ушел. В мире ИТ у нас есть за что быть благодарными, поскольку мы приближаемся к новому году, который принесет новые технологии, облегчающие нашу работу, но также и новые проблемы.

Это время для хакеров и злоумышленников, чтобы нарастить свои усилия и воспользоваться пользователями, которые отвлекаются на праздничные мероприятия и обязательства. Произошло несколько громких инцидентов, в том числе взлом сети Planned Parenthood, в результате которого были раскрыты адреса пациентов, информация о страховке и медицинские записи. Между тем, AT&T работает над устранением ботнета, обнаруженного внутри ее сети. IKEA подверглась кибератаке, которая распространяла вредоносное ПО через внутреннюю электронную почту, а Panasonic раскрыла брешь в системе безопасности, которая привела к несанкционированному доступу к данным на файловом сервере.

Однако есть и хорошие новости: плохие парни не всегда побеждают. Интерпол объявил, что они арестовали более тысячи киберпреступников в двадцати странах в ходе четырехмесячной операции под названием «Операция HAECHI-II», посвященной финансовым преступлениям в Интернете.

Между тем, каждый из нас должен внести свой вклад, обеспечив своевременную установку обновлений безопасности, выпущенных поставщиками программного обеспечения, для защиты наших систем и сетей от эксплойтов. Давайте взглянем на некоторые из тех патчей, которые были выпущены в ноябре.

Яблоко

Возможно, вы помните, что октябрь был довольно тяжелым месяцем выпуска исправлений для Apple: в общей сложности было выпущено одиннадцать обновлений для операционных систем по всей линейке продуктов. В ноябре было выпущено всего четыре обновления, и в трех из них не было опубликованных записей CVE. Тот, который сделал, был:

  • iCloud для Windows, для Windows 10 и более поздних версий (доступно в Microsoft Store). Это обновление устраняет шесть уязвимостей в компонентах Foundation, ImageIO и WebKit операционной системы. К ним относятся путаница типов, множественные проблемы с повреждением памяти и проблемы с логикой. Самые серьезные могут привести к выполнению произвольного кода.

Остальные три обновления включают в себя:

  • WatchOS 8.1.1 для Apple Watch серии 7
  • iOS 15.1.1 для iPhone 12 и более поздних версий
  • tvOS 15.1.1 для Apple TV 4K и Apple TV HD

Дополнительные сведения о текущих и предыдущих исправлениях и уязвимостях, которые они устраняют, см. на веб-сайте службы поддержки Apple по адресу https://support.apple.com/en-us/HT201222.

Adobe

У Adobe в ноябре тоже был легкий месяц. Это было облегчением после четырнадцати патчей, исправляющих 92 уязвимости, которые мы видели в октябре. Вот обновления за последний месяц:

  • APSB21-87: Доступно исправление безопасности для RoboHelp Server. Это обновление устраняет уязвимость обхода одного пути в RoboHelp Server, работающем в Windows, которая может привести к выполнению произвольного кода. Он оценивается как критический.
  • APSB21-110: Доступно обновление безопасности для Adobe InCopy. Это обновление устраняет пару уязвимостей в InCopy, работающих в Windows и macOS, одну из которых оценивают как критическую, а другую важную. Они включают доступ к ячейке памяти после окончания буфера и разыменование нулевого указателя. Первый может привести к выполнению произвольного кода, а второй может быть использован для создания отказа в обслуживании приложения.
  • APSB21-111: Доступно обновление безопасности для Adobe Creative Cloud. Это обновление устраняет две уязвимости в Creative Cloud, работающем на macOS, обе из которых оценены как важные. Один вызывает создание временного файла в каталоге с неправильными разрешениями, а другой — неправильная проблема контроля доступа. Первое может привести к отказу в обслуживании приложения, а второе — к повышению привилегий.

Дополнительные сведения см. в сводке бюллетеня по безопасности на
https://helpx.adobe.com/security.html

Google

ОС Chrome

30 ноября Google выпустила свое последнее стабильное обновление канала для Chrome OS под номером 96.0.4664.77.

Веб-браузер Chrome

Chrome 96 для iOS был выпущен 18 ноября.

Chrome 96 для Android был выпущен 15 ноября.

Google также объявила о выпуске последнего стабильного обновления для настольного браузера Chrome для Windows, Mac и Linux 15 ноября. Это обновление включает двадцать пять обновлений безопасности. К категории высокой степени тяжести относятся:

  • CVE-2021-38008: использовать после бесплатного использования в носителе.
  • CVE-2021-38009: Недопустимая реализация в кеше.
  • CVE-2021-38006: Используйте после освобождения в хранилище.
  • CVE-2021-38007: путаница типов в V8.
  • CVE-2021-38005: используйте после бесплатного загрузки в загрузчике.
  • CVE-2021-38010: Неправильная реализация в сервисных работниках.
  • CVE-2021-38011: Используйте после освобождения в хранилище.

Следующие исправленные уязвимости имеют средний уровень серьезности:

  • CVE-2021-38012: путаница типов в V8.
  • CVE-2021-38013: переполнение буфера кучи при распознавании отпечатков пальцев.
  • CVE-2021-38014: запись за пределами границ в Swiftshader.
  • CVE-2021-38015: Неправильная реализация входных данных.
  • CVE-2021-38016: Недостаточное применение политик при фоновой загрузке.
  • CVE-2021-38017: Недостаточное применение политик в песочнице iframe.
  • CVE-2021-38018: неправильная реализация в навигации.
  • CVE-2021-38019: Недостаточное применение политики в CORS.
  • CVE-2021-38020: Недостаточное применение политики в средстве выбора контактов.
  • CVE-2021-38021: Неправильная реализация в реферере.

Наконец, одна уязвимость имеет низкий уровень серьезности:

  • CVE-2021-38022: Недопустимая реализация в WebAuthentication.

Дополнительную информацию см. на странице https://chromereleases.googleblog.com/.

ОС Android

Патч безопасности от 1 ноября 2021 г. устраняет восемь уязвимостей в Framework, две в Media Framework, восемь в системе, а также три проблемы с обновлением системы Google Play, включенные в компоненты Project Mainline.

Наиболее серьезные могут позволить злоумышленнику получить доступ к дополнительным разрешениям без необходимости взаимодействия с пользователем, позволить локальному вредоносному приложению обойти требования взаимодействия с пользователем, чтобы получить доступ к дополнительным разрешениям, и позволить удаленному злоумышленнику, используя специально созданную передачу, выполнить произвольный код. в контексте привилегированного пользователя.

Для получения дополнительной информации см. https://source.android.com/security/bulletin/2021-10-01.

Оракул

Обычно Oracle выпускает свои критические обновления раз в квартал, в январе, апреле, июле и октябре. Последнее обновление было выпущено 19 октября. Он устраняет 231 различную уязвимость с 419 исправлениями безопасности для 28 семейств продуктов Oracle. 36 исправлений оцениваются как критические.

Следующее критическое обновление будет выпущено 18 января 2022 года.

Клиенты Oracle могут узнать больше о текущем выпуске исправлений на веб-сайте Oracle по адресу https://www.oracle.com/security-alerts/cpuoct2021.html.

Мозилла Фаерфокс

2 ноября Mozilla выпустила Firefox 94, который содержит исправления для следующих семи уязвимостей высокой степени серьезности, четырех уязвимостей средней степени серьезности и двух уязвимостей низкой степени серьезности, всего тринадцать.

Следующие уязвимости имеют высокий уровень опасности:

  • CVE-2021-38503: правила изолированной программной среды iframe не применялись к таблицам стилей XSLT — правила изолированной программной среды iframe неправильно применялись к таблицам стилей XSLT, что позволяло iframe обходить ограничения, такие как выполнение сценариев или навигация по фрейму верхнего уровня.
  • CVE-2021-38504: Use-after-free в диалоговом окне выбора файлов — при взаимодействии с диалоговым окном выбора файлов элемента ввода HTML с установленным webkitdirectory могло возникнуть использование use-after-free, что приводило к повреждению памяти и потенциально опасному сбою.
  • CVE-2021-38505: облачный буфер обмена Windows 10 мог записывать конфиденциальные пользовательские данные — Microsoft представила новую функцию в Windows 10, известную как облачный буфер обмена, которая, если она включена, будет записывать данные, скопированные из буфера обмена, в облако и делать их доступными в другие компьютеры в определенных сценариях. Приложения, которые хотят предотвратить запись скопированных данных в облачную историю, должны использовать определенные форматы буфера обмена; и Firefox до версий 94 и ESR 91.3 их не реализовывал. Это могло привести к записи конфиденциальных данных в учетную запись Microsoft пользователя.
  • CVE-2021-38506: Firefox можно было уговорить перейти в полноэкранный режим без уведомления или предупреждения. Через серию переходов Firefox мог перейти в полноэкранный режим без уведомления или предупреждения пользователя. Это может привести к спуфинговым атакам на пользовательский интерфейс браузера, включая фишинг.
  • CVE-2021-38507: Оппортунистическое шифрование в HTTP2 может использоваться для обхода политики того же происхождения в службах, размещенных на других портах. Функция оппортунистического шифрования HTTP2 (RFC 8164) позволяет прозрачно обновить соединение до TLS, сохраняя при этом визуальные свойства HTTP-соединения, в том числе тот же источник с незашифрованными соединениями на порту 80. Однако, если второй зашифрованный порт на том же IP-адресе (например, порт 8443) не поддерживает оппортунистическое шифрование; сетевой злоумышленник может перенаправить соединение из браузера с порта 443 на порт 8443, в результате чего браузер будет рассматривать содержимое порта 8443 как исходное с HTTP. Это было решено путем отключения функции оппортунистического шифрования, которая редко использовалась.
  • MOZ-2021-0003: Universal XSS в Firefox для Android через URL-адреса с QR-кодом. В Firefox для Android присутствовала универсальная XSS-уязвимость из-за неправильной очистки при обработке URL-адреса, отсканированного из QR-кода.
  • MOZ-2021-0007: Исправлены ошибки безопасности памяти в Firefox 94 и Firefox ESR 91.3 . Разработчики Mozilla и члены сообщества Кристиан Холлер, Валентин Госу и Эндрю МакКрейт сообщили об ошибках безопасности памяти, присутствующих в Firefox 93 и Firefox ESR 91.2. Некоторые из этих ошибок свидетельствовали о повреждении памяти, и мы предполагаем, что при достаточном усилии некоторые из них могли быть использованы для запуска произвольного кода.

Следующие уязвимости имеют средний уровень серьезности:

CVE-2021-38508: Запрос на разрешение мог быть перекрыт, что приводило к путанице пользователей и возможному спуфингу. При отображении сообщения о действительности формы в правильном месте одновременно с запросом на разрешение (например, для геолокации) сообщение о действительности могло иметь скрывал подсказку, в результате чего пользователь мог быть обманут при предоставлении разрешения.

MOZ-2021-0004: Веб-расширения могли получить доступ к URL-адресу до перенаправления, когда их контекстное меню было запущено пользователем. Когда пользователь загружал контекстное меню веб-расширения, веб-расширение могло получить доступ к URL-адресу после перенаправления элемента, по которому он щелкнул. Если у веб-расширения не было разрешения WebRequest для хостов, участвующих в перенаправлении, это было бы утечкой данных с нарушением того же источника, к которым у веб-расширения должен быть доступ. Это было исправлено для предоставления URL-адреса до перенаправления. Это связано с CVE-XXX, но в контексте веб-расширений.

CVE-2021-38509: окно предупреждения Javascript могло быть подделано на произвольный домен —

Из-за необычной последовательности событий, контролируемых злоумышленником, диалоговое окно Javascript alert() с произвольным (хотя и не оформленным) содержимым могло отображаться поверх неконтролируемой веб-страницы по выбору злоумышленника.

CVE-2021-38510: Защита загрузки была обойдена файлами.inetloc в Mac OS — предупреждение об исполняемом файле не отображалось при загрузке файлов.inetloc, которые могут выполнять команды на компьютере пользователя.

САП

9 ноября SAP выпустила следующие исправления безопасности:

  • Выпущено 11 новых и обновленных исправлений безопасности SAP. Это включает только одну заметку HotNews и три заметки с высоким приоритетом. Это относительно спокойный день исправлений для SAP: с октября было выпущено всего восемь новых примечаний по безопасности, и только три новых примечания выше CVSS 7.0 — рекордно низкое число за год. Тем не менее, заметки с более низким рейтингом не следует оставлять без внимания, поскольку некоторые из этих уязвимостей могут быть использованы для запуска последующих атак, например, путем выдачи себя за пользователя или использования транспортных разрешений.
  • Обновление Onapsis Found Vulnerability in CA Introscope Enterprise Manager — High Priority Note # 2971638 — это обновление уязвимости в CA Introscope Enterprise Manager, обнаруженной в 2020 году исследовательской лабораторией Onapsis. Жестко запрограммированные пароли по умолчанию для администратора и гостя позволили удаленному злоумышленнику обойти аутентификацию, ставя под угрозу конфиденциальность службы.
  • Самое критическое исправление ядра платформы ABAP — примечание по безопасности SAP № 3099776 с оценкой CVSS 9,6 исправляет уязвимость «Отсутствует проверка авторизации» в ядре платформы ABAP, которая может привести к повышению привилегий для аутентифицированного бизнес-пользователя. SAP оптимистично обозначила вектор уязвимости CVSS как слабое влияние на доступность, несмотря на то, что бизнес-пользователь «может читать и изменять данные».

линукс

Популярные дистрибутивы Linux, как обычно, получили в этом месяце ряд рекомендаций по безопасности и обновлений. В течение мая Ubuntu выпустила следующие тридцать семь рекомендаций по безопасности с момента сводки новостей в прошлом месяце. Некоторые из этих бюллетеней устраняют несколько уязвимостей в одном бюллетене. В некоторых случаях для одних и тех же уязвимостей существует несколько рекомендаций, применимых к разным версиям ОС. Другие поставщики коммерческих Linux выпустили такое же количество обновлений.

Многие из исправлений этого месяца касаются уязвимостей в ядре Linux. Дополнительные сведения об уязвимостях, перечисленных ниже, см. в разделе Уведомления о безопасности | Ubuntu или щелкните ссылки на отдельные уведомления.

  • USN-5165-1: уязвимости ядра Linux (OEM)
  • USN-5164-1: уязвимости ядра Linux
  • USN-5163-1: уязвимости ядра Linux
  • USN-5162-1: уязвимости ядра Linux
  • USN-5161-1: уязвимости ядра Linux
  • USN-5158-1: Уязвимости ImageMagick
  • USN-5156-1: Уязвимость отделения интенсивной терапии
  • USN-5155-1: уязвимости BlueZ
  • USN-5154-1: уязвимости FreeRDP
  • USN-5153-1: уязвимости LibreOffice
  • USN-5152-1: уязвимости Thunderbird
  • USN-5151-1: уязвимости почтальона
  • USN-5150-1: уязвимость OpenEXR
  • USN-5149-1: Уязвимость AccountsService
  • USN-5148-1: уязвимость улья
  • USN-5147-1: Уязвимости Vim
  • USN-5146-1: уязвимости Thunderbird
  • USN-5145-1: уязвимости PostgreSQL
  • USN-5144-1: уязвимость OpenEXR
  • USN-5142-1: Уязвимости Samba
  • USN-5141-1: Уязвимость Firejail
  • LSN-0082-1: Уведомление о безопасности ядра Live Patch
  • USN-5137-2: уязвимости ядра Linux
  • USN-5140-1: уязвимости ядра Linux (OEM 5.14)
  • USN-5139-1: уязвимости ядра Linux (OEM 5.10)
  • USN-5138-1: уязвимость Python-py
  • USN-5137-1: уязвимости ядра Linux
  • USN-5136-1: уязвимости ядра Linux
  • USN-5130-1: уязвимости ядра Linux
  • USN-5134-1: Уязвимость Docker
  • USN-5135-1: уязвимость ядра Linux
  • USN-5133-1: Уязвимость отделения интенсивной терапии
  • USN-5132-1: уязвимости Thunderbird
  • USN-5131-1: уязвимости Firefox
  • USN-5128-1: Уязвимости Ceph
  • USN-5127-1: уязвимости WebKitGTK
  • USN-5121-2: Уязвимости почтальона
Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023