06.06.2020 | Обзор уязвимостей за неделю: 5 июня 2020 года |
Google исправила многочисленные уязвимости в браузере Google Chrome, четыре из которых являются опасными (CVE-2020-6493, CVE-2020-6494, CVE-2020-6495, CVE-2020-6496). Их эксплуатация позволяет удаленному злоумышленнику скомпрометировать целевую систему, выполнить спуфинг или обойти меры безопасности. Mozilla выпустила обновления, исправляющие многочисленные проблемы в Mozilla Firefox , Firefox ESR и почтовом клиенте Thunderbird . Эксплуатация ряда критических уязвимостей позволяет удаленному злоумышленнику выполнить произвольный код или скомпрометировать уязвимую систему. Apple выпустила обновления, исправляющие уязвимость ( CVE-2020-9859 ), которая использовалась для джейлбрейка iPhone с версией iOS 13.5. Уязвимость затрагивает ядро iOS и может позволить приложению выполнять произвольный код с привилегиями ядра. Выпущенные за последние 7 лет смартфоны LG оказались уязвимы к атаке «холодной перезагрузки». Проблема ( CVE-2020-12753 ) связана с некорректной проверкой ввода загрузчиком операционной системы Android в мобильных устройствах. Ее эксплуатация позволяет злоумышленнику выполнить произвольный код на системе, а для осуществления атаки необходим физический доступ к устройству. Проблема была исправлена производителем в мае 2020 года. Решение ABB Central Licensing System содержит опасную уязвимость ( CVE-2020-8475 ), которая может привести к утечке данных. Используя данную проблему, удаленный злоумышленник может получить доступ к конфиденциальной информации путем отправки специально сформированного XML-кода. В программном обеспечении для видеоконференций Zoom исправлены две критические уязвимости, которые могут позволить удаленному злоумышленнику записывать произвольные файлы на системах с установленными уязвимыми версиями Zoom. Уязвимости обхода каталога ( CVE-2020-6109 и CVE-2020-6110 ) могут быть использованы для выполнения произвольного кода. Одна проблема затрагивает версии 4.6.10 и 4.6.11, а другая — только версии 4.6.10 и старше. Fortinet FortiClient для Windows содержит уязвимость , позволяющую раскрыть информацию. Проблема связана с наличием встроенного криптографического ключа в файле конфигурации, с помощью которого злоумышленник может расшифровать конфиденциальные данные на целевой системе. В свободном клиентском протоколе удаленного рабочего стола FreeRDP и среде выполнения с открытым исходным кодом Node.js были исправлены многочисленные уязвимости, включая несколько критических (CVE-2020-11039, CVE-2020-11038, CVE-2020-11019 и CVE- 2020-8174), которые могут быть использованы для удаленного выполнения кода или осуществления DoS-атак. |
Проверить безопасность сайта