Обзор уязвимостей за неделю: 11 декабря 2020 года
11 декабря 2020 года
Компания Microsoft выпустила последний пакет обновлений безопасности на 2020 год, устраняющих не менее 58 уязвимостей в Microsoft Windows, PowerPoint, Microsoft Outlook, Microsoft Exchange, Microsoft Kerberos, Azure DevOps, Azure Sphere и других решениях.
Были исправлены уязвимости удаленного выполнения кода в Microsoft Windows NTFS ( CVE-2020-17096 ), Microsoft Exchange, Microsoft SharePoint, Microsoft Excel, Microsoft PowerPoint ( CVE-2020-17124 ), Microsoft Visual Studio (CVE-2020-17148, CVE-2020-17156, CVE-2020-17150).
Компания также устранила проблему обхода функций безопасности в Kerberos ( CVE-2020-16996 ), позволяющую злоумышленнику получить несанкционированный доступ к приложению, и предоставила обходной путь для уязвимости подмены DNS-пакетов в Windows DNS Resolver, которые могут быть кэшированы DNS Forwarder или DNS Resolver.
Valve Software устранила ряд опасных уязвимостей в ПО Valve Game Networking Sockets, включая уязвимости записи за пределами поля (CVE-2020-6016 и CVE-2020-6017) и одну уязвимость переполнения буфера в стеке (CVE-2020-6018), которая может позволить удаленному злоумышленнику выполнить произвольный код, используя вредоносные пакеты.
OpenSSL Project исправила опасную DoS-уязвимость, ( CVE-2020-1971 ) связанную с разыменованием нулевого указателя, которое удаленный злоумышленник может использовать для вызова состояния «отказа в обслуживании» с помощью функций API TS_RESP_verify_response и TS_RESP_verify_token.
В программном обеспечении Adobe Lightroom и Prelude исправлен ряд RCE-уязвимостей. Первая ( CVE-2020-24447 ) затрагивает версии Adobe Lightroom 10.0 и старше и связана с тем, что приложение загружает DLL-библиотеки небезопасным образом. Удаленный злоумышленник может разместить специально созданный файл.dll на удаленном файловом ресурсе SMB, обманом заставить жертву открыть файл и выполнить произвольный код на системе. Вторая проблема ( CVE-2020-24440 ) содержится в версиях Adobe Prelude 9.01 и старше и может привести к выполнению произвольного кода в контексте текущего пользователя.
В программном обеспечении Foxit Reader и PhantomPDF было обнаружено множество уязвимостей, шесть из которых (CVE-2020-27860, CVE-2020-13547, CVE-2020-13548, CVE-2020-13557, CVE-2020-13560 и CVE-2020-13570) можно использовать для удаленного выполнения кода.
В системе автоматизации Siemens SICAM A8000 была обнаружена опасная уязвимость ( CVE-2020-28396 ), эксплуатация которой позволяет злоумышленнику обойти реализованные меры безопасности и повысить привилегии на системе. Проблема затрагивает версии программного обеспечения SICAM A8000 CP-8000 до 16, SICAM A8000 CP-8021 до 16 и SICAM A8000 CP-8022 до 16.
Библиотека с открытым исходным кодом OpenJPEG для кодирования и декодирования изображений JPEG 2000 содержит опасную уязвимость ( CVE-2020-27823 ), которая может привести к удаленному выполнению кода. Уязвимость связана с ошибкой границ при обработке изображений PNG в функции pngtoimage() в bin/jp2/convertpng.c. Удаленный злоумышленник может передать в приложение специально созданный файл, инициировать переполнение буфера кучи и выполнить произвольный код на целевой системе. В настоящее время исправления для этой проблемы нет.
Источники[править]
Эта статья содержит материалы из статьи «Обзор уязвимостей за неделю: 11 декабря 2020 года», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.