Плюс: Microsoft виправила 78 вразливостей, VMWare закрила вразливість, яка вже використовувалася в атаках, і ще більше важливих оновлень у червні.
Літні оновлення програмного забезпечення надходять дуже швидко: у червні Apple, Google та Microsoft випустили кілька патчів для усунення серйозних прогалин у безпеці. Розробники корпоративного програмного забезпечення також не сиділи склавши руки, випустивши виправлення для страшних дірок у продуктах VMWare, Cisco, Fortinet та MOVEit від Progress Software.
Значна кількість багів безпеки, усунутих протягом місяця, використовується в реальних атаках, тож читайте далі, беріть до уваги та встановлюйте патчі на свої системи якомога швидше.
У червні, одразу після виходу iOS 16.5, було випущено екстрене оновлення для iPhone — iOS 16.5.1. Останнє оновлення для iPhone виправляє уразливості в WebKit, движку, який лежить в основі Safari, і в ядрі, що лежить в основі системи iOS.
Обидві проблеми, що відслідковуються як CVE-2023-32439 та CVE-2023-32434, є помилками виконання коду і були використані в реальних атаках, повідомляє Apple на своїй сторінці підтримки.
Хоча подробиць про вже використані недоліки небагато, компанія «Касперський» розкрила, як проблема в ядрі була використана для здійснення атак «Тріангуляція iOS» проти її співробітників. Ефективні, оскільки вони не вимагають жодної взаємодії з боку користувача, атаки «нульового кліку» використовують невидиме iMessage зі шкідливим вкладенням для доставки шпигунського програмного забезпечення.
Apple також випустила iOS 15.7.7 для старих iPhone, в якій виправлено проблеми з ядром і WebKit, а також другу вразливість WebKit, відстежену як CVE-2023-32435, про яку також повідомляв «Лабораторія Касперського» як про частину атак на тріангуляцію iOS.
Тим часом Apple випустила Safari 16.5.1, macOS Ventura 13.4.1, macOS Monterey 12.6.7, macOS Big Sur 11.7.8, watchOS 9.5.2 і watchOS 8.8.1.
Випущений в середині червня «Вівторок виправлень» від Microsoft включає оновлення безпеки для 78 вразливостей, в тому числі 28 помилок віддаленого виконання коду (RCE). Хоча деякі з цих проблем є серйозними, це перший з березня «Вівторок виправлень», який не містить жодної вже використаної вразливості.
Критичні проблеми, виправлені в червневому оновленні, включають CVE-2023-29357, уразливість підвищення привілеїв в Microsoft SharePoint Server з оцінкою CVSS 9.8. «Зловмисник, який отримав доступ до підроблених токенів автентифікації JWT, може використати їх для виконання мережевої атаки, яка обходить автентифікацію і дозволяє отримати доступ до привілеїв автентифікованого користувача», — повідомляє Microsoft.
«Зловмиснику не потрібні ні привілеї, ні користувачеві не потрібно виконувати жодних дій», — додали в компанії.
Найпопулярніші
Усі серії «Чорного дзеркала»: від найгіршої до найкращої
Аміт Катвала
41 найкращий фільм на Netflix цього тижня
Метт Кеймен
Як «Індіана Джонс і дзиґа долі» омолодили Гаррісона Форда
Вілл Бедінгфілд
11 найкращих фільмів на Amazon Prime прямо зараз
Тим часом, CVE-2023-32031 та CVE-2023-28310 — це уразливості віддаленого виконання коду в Microsoft Exchange Server, для використання яких зловмисник повинен бути аутентифікований.
Google Android
Настав час оновити свої пристрої на базі Google Android, оскільки технологічний гігант випустив червневий бюлетень безпеки. Найсерйознішою проблемою, яку виправив Google, є критична уразливість в компоненті System, що відслідковується як CVE-2023-21108, яка може призвести до RCE через Bluetooth без додаткових привілеїв на виконання. Інша вада в системі, що відстежується як CVE-2023-21130, — це помилка RCE, також позначена як критична.
Однією з вразливостей, виправлених у червневому оновленні, є CVE-2022-22706 — вразливість у компонентах Arm, яку виробник чипів виправив у 2022 році після того, як вона вже була використана в атаках.
Червневий патч для Android також включає CVE-2023-21127, критичну ваду RCE у фреймворку, та CVE-2022-33257 і CVE-2022-40529 — дві серйозні помилки у компонентах з закритим кодом Qualcomm.
Оновлення безпеки Android доступне для телефонів Google Pixel і починає поширюватися на смартфони Samsung Galaxy.
Google Chrome 114
Google випустив Chrome 114, в якому виправлено кілька серйозних недоліків. Серед виправлених помилок — CVE-2023-3214, критична уразливість після безкоштовного використання в платежах з автозаповненням.
CVE-2023-3215 — ще одна уразливість у WebRTC, яка має високий рівень впливу, а CVE-2023-3216 — помилка типу «плутанина» у V8, що має високу ступінь важкості. Уразливість, пов’язана з кінцевим терміном безкоштовного використання в WebXR, також оцінена як висока.
Раніше цього місяця Google випустив виправлення для вже експлуатованої помилки плутанини типів, CVE-2023-3079. «Google знає, що експлойт для CVE-2023-3079 існує в дикій природі», — заявив виробник браузерів.
Наприкінці травня розробник програмного забезпечення Progress виявив уразливість SQL ін’єкції у своєму продукті MOVEit Transfer, яка може призвести до підвищення привілеїв та несанкціонованого доступу. Ця вразливість, що отримала код CVE-2023-34362, була використана в реальних атаках у травні та червні 2023 року.
«Залежно від використовуваного движка бази даних, зловмисник може отримати інформацію про структуру та вміст бази даних і виконати SQL-запити, які змінюють або видаляють елементи бази даних», — попереджає «Прогрес» у своїй консультативній записці.
Незабаром з’ясувалося, що атаки були здійснені групою зловмисників Clop, яка погрожувала витоком даних, якщо організації-жертви, серед яких є кілька урядових установ США, не відреагують на них до середини червня. Однак, поки дослідники з компанії Huntress відстежували експлуатацію вразливості, вони виявили додаткові вразливості, що призвело до випуску чергового патчу. У другому раунді виправлених багів — уразливості SQL ін’єкцій, що відслідковуються як CVE-2023-35036.
Найпопулярніші
Усі серії «Чорного дзеркала»: від найгіршої до найкращої
Аміт Катвала
41 найкращий фільм на Netflix цього тижня
Метт Кеймен
Як «Індіана Джонс і дзиґа долі» омолодили Гаррісона Форда
Вілл Бедінгфілд
11 найкращих фільмів на Amazon Prime прямо зараз
Потім, 15 червня, з’явився третій раунд помилок, відстежуваних як CVE-2023-35708, що призвело до випуску чергового патчу.
Зрозуміло, що якщо ви ще не встановили патч, необхідно зробити це якнайшвидше.
Гігант програмного забезпечення VMWare випустив патчі для недоліків у своїй Aria Operations for Networks, які вже використовуються в атаках. Перша з них, що відслідковується як CVE-2023-20887, позначена як критична з оцінкою CVSS 9,8. «Зловмисник, який має мережевий доступ до VMware Aria Operations for Networks, може виконати атаку на впровадження команд, що призведе до віддаленого виконання коду», — попереджає VMWare у своєму повідомленні.
CVE-2023-20888 є автентифікованою уразливістю десеріалізації з оцінкою CVSS 9.1. Тим часом, CVE-2023-20889 є вразливістю до розкриття інформації у важкому діапазоні серйозності з оцінкою CVSS 8.8.
Пізніше в червні компанія VMWare випустила виправлення в сервері vCenter Server. Перша з них, що відслідковується як CVE-2023-20892, є уразливістю переповнення динамічної пам’яті, яка може дозволити зловмиснику виконати код.
CVE-2023-20893 — це уразливість в реалізації протоколу DCERPC, що дозволяє зловмиснику виконати довільний код в операційній системі.
CVE-2023-20894 — це уразливість запису за межами встановлених меж з оцінкою CVSS 8.1, а CVE-2023-20895 — пошкодження пам’яті, що може дозволити зловмиснику обійти аутентифікацію.
Компанія Cisco виправила вразливість у процесі оновлення клієнтського програмного забезпечення AnyConnect Secure Mobility Client Software для Windows та Cisco Secure Client Software для Windows. Вразливість, що отримала код CVE-2023-20178, могла дозволити локальному зловмиснику з низькими привілеями, який пройшов аутентифікацію, виконати код з привілеями адміністратора системи. Виправлення є особливо актуальним, оскільки дослідник безпеки Філіп Драгович (Filip Dragović) нещодавно опублікував експлойт, що підтверджує концепцію цієї вразливості.
Інший важливий патч включає CVE-2023-20105, який має оцінку CVSS 9.6 і оцінюється як такий, що має критичний вплив. Вразливість в Cisco Expressway Series та Cisco TelePresence Video Communication Server могла дозволити зловмиснику змінити паролі будь-якого користувача в системі, в тому числі адміністративного користувача з правами на читання та запис, а потім видати себе за нього.
У червні компанія Fortinet виправила вразливість, яка, як вона попереджає, може бути використана для атак. Вразливість переповнення буфера на основі динамічної пам’яті, що відслідковується як CVE-2023-27997, може дозволити віддаленому зловмиснику виконати довільний код або команди через спеціально створені запити. Серйозність вразливості відображена в її CVSS оцінці 9.8, тому переконайтеся, що ви встановили патч якомога швидше.
Червневий пакет оновлень SAP включає виправлення низки недоліків, у тому числі двох з високим ступенем серйозності. Серед виправлень — CVE-2021-42063, міжсайтова скриптова вразливість у SAP Knowledge Warehouse версій 7.30, 7.31, 7.40, 7.50.
Вразливість може дозволити зловмисникам провести XSS-атаки, які можуть призвести до розкриття конфіденційних даних. «Ця вразливість дозволяє зловмиснику отримати доступ на рівні користувача і поставити під загрозу конфіденційність, цілісність і доступність додатку UI5 Varian Management», — повідомляє компанія Onapsis, що займається безпекою.
