Обзор уязвимостей за неделю: 18 сентября 2020 года

Исследователи безопасности предупредили об уязвимости ( CVE-2020-9770 ), затрагивающей устройства с поддержкой Bluetooth с низким энергопотреблением (BLE). Проблема потенциально затрагивает миллиарды IoT-устройств, а также смартфоны, планшеты и ноутбуки, использующие программные стеки Bluetooth.

Уязвимость, получившая название BLESA (Bluetooth Low Energy Spoofing Attack), связана с процессом повторного подключения, который происходит, когда устройство выходит за пределы диапазона, а затем снова возвращается в зону действия. Уязвимость может быть использована злоумышленником для обхода проверок повторного подключения и отправки поддельных данных на устройствах с поддержкой BLE.

Компания Apple исправила проблему в июне нынешнего года, однако Android-устройства все еще подвержены данной проблеме.

В удаленном протоколе Netlogon была обнаружена опасная уязвимость ( CVE-2020-1472 ). Уязвимость, получившая название Zerologon, связана с использованием ненадежного криптографического алгоритма в механизме аутентификации Netlogon. Уязвимость может использоваться для перехвата управления серверами Windows Server, работающими в качестве контроллера домена в корпоративной сети. С ее помощью атакующий может имитировать любой компьютер в сети при аутентификаци на контроллере домена, отключить функции безопасности Netlogon или изменить пароль в базе данных Active Directory контроллера домена.

Компания Adobe выпустила обновление безопасности, устраняющее три уязвимости ( CVE-2020-9739, CVE-2020-9744 и CVE-2020-9745 ) в программном обеспечении Media Encoder. Проблемы представляют собой уязвимости чтения за пределами поля, «которые могут привести к раскрытию информации в контексте текущего пользователя».

В решениях MobileIron для управления мобильными устройствами были исправлены многочисленные уязвимости , наиболее опасные из которых позволяли удаленно выполнить код (CVE-2020-15505), читать произвольные файлы на целевой системе (CVE-2020-15507) или удаленно обойти механизмы аутентификации (CVE-2020-15506). Проблемы затрагивают ПО MobileIron Core (версии 10.6 и старше), MobileIron Sentry, MobileIron Cloud, Enterprise Connector и Reporting Database.

Кроме того, были исправлены уязвимости записи за пределами поля (CVE-2020-16304) и переполнения буфера в стеке (CVE-2020-16302) в наборе программного обеспечения Ghostscript, уязвимости удаленного выполнения кода ( CVE-2020-13948 ) в Apache Superset, обхода аутентификации ( CVE-2020-11998 ) в Apache ActiveMQ, удаленного внедрения команд ( CVE-2020-24552 ) в промышленном шлюзе 3G/4G Atop Technology и проблема повышения привилегий в Zoho ManageEngine Desktop Central.