Поиск

Во вторник, 11 сентября, компания Microsoft выпустила плановые ежемесячные обновления для своих программных продуктов, в том числе для Windows, Microsoft Office и Edge. Сентябрьские обновления безопасности исправляют в общей сложности 62 известные уязвимости. В пакет обновлений вошел патч для уязвимости нулевого дня в ALPC-интерфейсе планировщика задач Windows. О проблеме стало известно в прошлом месяце, и тогда же был опубликован PoC-эксплоит. По данным ИБ-экспертов, уязвимость активно эксплуатировалась киберпреступной группировкой PowerPool . Третьи стороны выпустили свои патчи для ее исправления, однако пользователям рекомендуется установить обновление от Microsoft. Из 62 исправленных уязвимостей 17 помечены как критические и позволяют удаленно выполнить код: CVE-2018-0965 – уязвимость в Windows Hyper-V; CVE-2018-8465 – уязвимость повреждения памяти в скриптовом движке Chakra в Microsoft Edge; CVE-2018-8420 – уязвимость в сервисах Microsoft XML; CVE-2018-8461 – уязвимость повреждения памяти в Internet Explorer 11; CVE-2018-8475 – уязвимость, затрагивающая все версии Windows, начиная от Windows 10 и заканчивая Windows Server; CVE-2018-8332 – уязвимость в Win32k Graphics, затрагивающая все версии Windows, от Windows 10 до Windows Server; CVE-2018-8391 – уязвимость повреждения памяти в скриптовом движке Chakra в Microsoft Edge; CVE-2018-8421 – уязвимость в .NET Framework; CVE-2018-8439 – уязвимость в Windows Hyper-V; CVE-2018-8456 – уязвимость повреждения памяти в скриптовом движке; CVE-2018-8457 – уязвимость повреждения памяти в скриптовом движке; CVE-2018-8459 – уязвимость повреждения памяти в скриптовом движке; CVE-2018-8464 – уязвимость в Microsoft Edge, позволяющая выполнить код с помощью PDF-документа; CVE-2018-8465 – уязвимость повреждения памяти в скриптовом движке Chakra в Microsoft Edge; CVE-2018-8466 – уязвимость повреждения памяти в скриптовом движке Chakra в Microsoft Edge; CVE-2018-8467 – уязвимость повреждения памяти в скриптовом движке Chakra в Microsoft Edge; ADV180023 – сентябрьские обновления для Adobe Flash.

Компания Cisco выпустила обновления безопасности, исправляющие 32 уязвимости в ее продуктах. Три из них обозначены как критические, в том числе нашумевшая уязвимость CVE-2018-11776 в Apache Struts, активно эксплуатируемая в реальных кибератаках. Остальные две затрагивают Cisco Umbrella API, а также интерфейс управления маршрутизаторами Cisco RV110W, RV130W и RV215W. Из оставшихся 29 уязвимостей 14 обозначены как высоко опасные и 15 – как средней опасности. Проблемы были исправлены в Cisco Routers, Cisco Webex, Cisco Umbrella, Cisco SD-WAN Solution, Cisco Cloud Services Platform, Cisco Data Center Network и других продуктах компании. Обнаруженная в прошлом месяце уязвимость CVE-2018-11776 затрагивает ядро Apache Struts и позволяет удаленно выполнить код. Проблема существует из-за отсутствия надлежащей проверки ядром вводимых пользователями данных при определенных конфигурациях фреймворка. Уязвимость была исправлена производителем в версиях Apache Struts 2.3.35 и 2.5.17, и теперь она также устранена в продуктах Cisco. Вторая исправленная Cisco критическая уязвимость (CVE-2018-0435) затрагивает Cisco Umbrella API. Cisco Umbrella представляет собой облачную платформу для обеспечения безопасности, выполняющую функции первой линии защиты портов и протоколов путем блокировки вредоносных доменов, URL, IP-адресов и файлов до установления подключения или загрузки. Проблема существует из-за неэффективных настроек аутентификации в интерфейсе Cisco Umbrella API. Третья уязвимость (CVE-2018-0423) затрагивает web-интерфейс управления маршрутизаторами Cisco RV110W Wireless-N VPN Firewall, Cisco RV130W Wireless-N Multifunction VPN Router и Cisco RV215W Wireless-N VPN Router. С ее помощью злоумышленник может выполнить произвольный код или вызвать отказ в обслуживании.

Компания Microsoft выпустила пакет исправлений за июль 2018 года. В текущем месяце производитель исправил 53 уязвимости, в том числе 8 критических в 15 различных продуктах. Список приложений, получивших исправления в текущем месяце, включает: Internet Explorer Microsoft Edge Microsoft Windows Microsoft Office и Microsoft Office Services ChakraCore Adobe Flash Player .NET Framework ASP.NET Microsoft Research JavaScript Cryptography Library Skype for Business и Microsoft Lync Visual Studio Microsoft Wireless Display Adapter V2 Software PowerShell Editor Services PowerShell Extension for Visual Studio Code Web Customizations for Active Directory Federation Services Критические уязвимости, позволяющие удаленному злоумышленнику выполнить произвольный код, были исправлены в программной платформе .NET Framework (CVE-2018-8284, CVE-2018-8260), пакете Microsoft Office (CVE-2018-8281, CVE-2018-8300, CVE-2018-8312), Microsoft PowerShell (CVE-2018-8327), Skype for Business и Microsoft Lync (CVE-2018-8311), а также линейке продуктов Visual Studio (CVE-2018-8172). Помимо этого, в июльский пакет исправлений также включены обновления безопасности для Flash Player, недавно выпущенные компанией Adobe.

Корпорация Intel сообщила о том, что в рамках грядущей выставки Computex 2018 будет проведена презентация, посвящённая передовым продуктам и технологиям. «Присоединяйтесь к мероприятию Intel на Computex 2018, чтобы узнать, как компания создаёт будущее компьютеров, сетевых технологий и коммуникаций путём инноваций в сфере клиентских систем, искусственного интеллекта, Интернета вещей и связи 5G», — говорится в приглашении. В рамках предстоящей презентации выступит Грегори Брайант (Gregory Bryant), который руководит группой клиентских вычислительных систем (Client Computing Group). Эта группа является крупнейшей и наиболее прибыльной бизнес-единицей в структуре Intel и занимается развитием ПК, шлюзов для домашнего использования и других вычислительных систем. Добавим, что выставка Computex 2018 пройдёт с 5 по 9 июня на Тайване. Ежегодно ведущие IT-компании демонстрируют здесь собственные разработки. Здесь расположено большое количество исследовательских и производственных центров, что привлекает аналитиков, журналистов и исследователей индустрии информационных технологий со всего света.

Компания GoPro объявила о заключении многолетнего лицензионного соглашения с Jabil Inc. Ожидается, что договор позволит расширить сферу применения технологий и разработок GoPro, а также улучшить финансовое положение этого известного производителя экшен-камер. По условиям соглашения, Jabil будет использовать эталонные разработки и интеллектуальную собственность GoPro для создания датчиков изображения и оптических блоков. Эти решения затем будут применяться в продуктах сторонних производителей, которые «одобрит GoPro». Сетевые источники уточняют, что разработки GoPro могут быть востребованы в сферах робототехники и устройств для «умного» дома, а также в беспилотных летательных аппаратах и даже роботизированных автомобилях. Таким образом, GoPro сможет рассчитывать на дополнительные источники дохода. Сейчас дела у производителя экшен-камер идут не слишком хорошо. В четвёртом квартале 2017 года компания получила выручку в размере $334,8 млн: это на 38,1 % меньше результата за тот же период предыдущего года. Чистые квартальные убытки при этом составили $55,8 млн. В начале января стало известно, что GoPro сокращает штат: сообщалось, что будут уволены от 200 до 300 сотрудников. Позднее появилась информация, что компания покинула рынок беспилотных летательных аппаратов.

«Лаборатория Касперского» объявила о двадцатикратном увеличении денежного вознаграждения за поиск уязвимостей в своих программных продуктах. Теперь энтузиасты и эксперты по безопасности за обнаружение серьёзного «бага» в защитных решениях компании могут получить до 100 тысяч долларов США. Сообщается, что в поиске уязвимостей могут участвовать все члены международной платформы HackerOne, являющейся партнёром «Лаборатории Касперского» в программе bug bounty. Максимальная награда предусмотрена за всесторонний анализ новейших бета-версий Kaspersky Internet Security 2019, Kaspersky Endpoint Security 11 и обнаружение в них ошибок, которые позволяют удалённо выполнить какой-либо код через канал обновления продуктовых баз. В случае нахождения уязвимостей, допускающих другие варианты удалённого выполнения кода, исследователи могут рассчитывать на вознаграждение в размере от 5 до 20 тысяч долларов (в зависимости от сложности найденной бреши). Также денежные выплаты предусмотрены за обнаружение «багов», позволяющих повысить локальные привилегии или ведущих к раскрытию конфиденциальных данных. В «Лаборатории Касперского» уверены, что внесённые в программу премирования корректировки помогут компании разрабатывать как можно более защищённое и безопасное ПО. «Находить и закрывать уязвимости — очевидный приоритет для нас. Поэтому мы приглашаем независимых исследователей присоединиться к проверке наших продуктов. Обеспечение целостности кода — фундамент нашего бизнеса и недавно запущенной программы информационной открытости», — прокомментировал нововведения генеральный директор компании Евгений Касперский. Впервые программа bug bounty была запущена «Лабораторией Касперского» в августе 2016 года. За время её действия антивирусный вендор обработал более 70 отчётов о недочётах в своих решениях и внёс в них соответствующие исправления. Аналогичные программы премирования за информацию об особо опасных «дырах» действуют в Google, Mozilla, «Яндексе», Microsoft и других софтверных компаниях.

Компания Oracle представила плановый выпуск обновлений своих продуктов, устраняющих в общей сложности 308 уязвимостей, причем 165 проблем в 90 решениях могут эксплуатироваться удаленно. В выпуске Java SE устранены 32 уязвимости, 28 из них могут эксплуатироваться удаленно без проведения аутентификации. 10 уязвимостям присвоен критический уровень опасности (CVSS 9.0 и выше). В Solaris устранено 8 уязвимостей (максимальный уровень опасности 9.8), в том числе проблема CVE-2017-3632, позволяющая удаленному злоумышленнику выполнить произвольный код с правами суперпользователя. Проэксплуатировав остальные уязвимости, атакующий может осуществить DDoS-атаку или модифицировать данные. В комплексе Oracle E-Business Suite исправлено более 120 уязвимостей, 118 из них могут эксплуатироваться удаленно. Также устранено 30 уязвимостей в Oracle MySQL, 9 из них могут быть проэксплуатированы удаленно без аутентификации. Кроме того, компания исправила 37 проблем в решении Oracle Financial Services Applications (для 14 из них возможна дистанционная эксплуатация), и 4 уязвимости в Oracle FLEXCUBE (максимальная степень опасности 8.1), но только одна из проблем может эксплуатироваться удаленно. Oracle - американская корпорация, специализирующаяся на производстве систем управления базами данных, программного обеспечения для организаций, а также бизнес-приложений. Наиболее известным продуктом компании является объектно-реляционная система управления базами данных Oracle Database.

В рамках «вторника исправлений» Microsoft выпустила обновления безопасности, устраняющие три уязвимости нулевого дня в MS Office и Internet Explorer, в том числе проблему CVE-2015-0199, получившую широкий резонанс по всему миру. Речь идет об уязвимости в MS Office, позволяющей выполнить произвольный код, загрузить вредоносное ПО и получить контроль над компьютером жертвы. Как ранее сообщали специалисты в области кибербезопасности, уязвимость активно используется злоумышленниками для распространения вредоносного ПО, в том числе банковского трояна Dridex, вредоносов Godzilla и Latentbot. Исследователь Райан Хэнсон проинформировал Microsoft о данной проблеме еще в октябре минувшего года, однако компания устранила ее только спустя шесть месяцев. Помимо вышеуказанной, техногигант исправил проблему CVE-2017-0210 в Internet Explorer, позволяющую повысить права в браузере.Для эксплуатации уязвимости злоумышленнику нужно всего лишь заманить жертву на вредоносный сайт. Сама по себе проблема не является критической, однако в сочетании с другой уязвимостью (например, позволяющей выполнить произвольный код) может предоставить атакующему возможность выполнить произвольный код с правами текущего пользователя. Третья уязвимость (Microsoft указывает ее под номером 2017-2605) затрагивает фильтр Encapsulated PostScript (EPS) в MS Office. Согласно аннотации, для эксплуатации данной проблемы злоумышленнику потребуется заманить жертву на подконтрольный ему сайт и заставить ее открыть вредоносный файл Office, содержащий специально сформированное EPS изображение. В качестве временной меры по предотвращению эксплуатации проблемы Microsoft отключила EPS-фильтр до тех пор, пока не будет готов патч, исправляющий проблему.

Компания Adobe Systems выпустила обновления безопасности, исправляющие в общей сложности 24 уязвимости в решениях Adobe Flash Player, Adobe Digital Editions и Adobe Campaign. В обновлении Flash Player производитель устранил критических 13 уязвимостей, которые позволяли атакующему выполнить произвольный код и получить контроль над целевой системой. Проблемы затрагивают версии Adobe Flash Player Desktop Runtime (24.0.0.221) для Windows и Mac, Adobe Flash Player для Google Chrome (24.0.0.221), Adobe Flash Player для Microsoft Edge и IE 11 (24.0.0.221), а также Adobe Flash Player Desktop Runtime (24.0.0.221) для Linux. Обновление безопасности Adobe Digital Editions исправляет 9 уязвимостей, в том числе одну критическую (CVE-2017-2973).Остальные проблемы связаны с переполнением буфера и могут привести к утечке памяти. Указанным уязвимостям подвержена версия Adobe Digital Editions 4.5.3 и ниже. Наконец, в Adobe Campaign были устранены две уязвимости. Первая (CVE-2017-2968) проблема позволяла атакующему получить доступ с правом чтения и записи на системе, вторая (CVE-2017-2969) - осуществить XSS-атаку. Проблемы затрагивают Adobe Campaign v6.11 16.4 Build 8724 и более ранние версии.

Компания Oracle выпустила январские обновления для своих продуктов. Патчи исправляют 270 уязвимостей, более ста из которых можно проэксплуатировать удаленно без авторизации. Это значит, что, в зависимости от продукта, злоумышленник может либо удаленно осуществить атаку на него с помощью специального ПО, либо проэксплуатировать уязвимость, используя вредоносный web-сайт.В результате атакующий сможет без ведома жертвы выполнить на ее системе произвольные команды.Больше всего проблем с безопасностью Oracle исправила в двух продуктах – E-Business Suite Executive (121 уязвимость) и Financial Services Applications (37 уязвимостей). В Java было исправлено 17 проблем с безопасностью, и 16 из них можно было проэксплуатировать удаленно.Помимо прочих продуктов, исправлен ряд уязвимостей в Oracle Database Server, Oracle Enterprise Manager Grid Control, Oracle E-Business Suite, Oracle Industry Applications, Oracle Fusion Middleware, Oracle Sun Products, Oracle Java SE, and Oracle MySQL.Как сообщает Oracle, компания часто получает уведомления об эксплуатации уже исправленных уязвимостей, поскольку администраторы своевременно не устанавливают обновления. В связи с этим, рекомендуется применить патчи как можно скорее.