Сторонние обновления — Август 2021

Несмотря на то, что лето заканчивается, горячий сезон у ИТ-специалистов в самом разгаре, ведь им необходимо как можно быстрее подготовить обновления, чтобы опередить хакеров и не дать им воспользоваться обнаруженными программными уязвимостями. Многие компании и их ИТ-отделы никак не придут в себя после разрушительных последствий урагана «Ида», в результате которого было отключено электричество в Новом Орлеане. А что может быть лучше для атак злоумышленников, чем полный беспорядок, который возникает после стихийных бедствий? Начиная с фишинга и заканчивая атаками на основе социальной инженерии, преступники никогда не упустят шанс воспользоваться кризисной ситуацией. Они также хорошо знают, что в таких условиях компании и частные лица могут быть заняты подготовкой к стихийным бедствиям и устранением их последствий и поэтому могут забыть установить последние обновления программного обеспечения.

Разработчики программного обеспечения, как всегда, выпускают исправления сразу после того, как уязвимости обнаружены. Рассмотрим некоторые из исправлений, выпущенных в августе.

Apple

В июле было выпущено десять обновлений безопасности, но август стал для Apple гораздо более спокойным месяцем. Они выпустили три обновления, но только два из них касались опубликованных уязвимостей CVE.

• 16 августа было выпущено исправление iCloud для Windows 12.5 для Windows 10 и более поздних версий (доступно в Microsoft Store). Оно устраняет две уязвимости в ImageIO, обе из которых могут привести к выполнению произвольного кода.
• 11 августа было выпущено исправление macOS Big Sur 11.5.2. Для этого обновления нет опубликованных записей CVE.
• Исправление iTunes 12.11.4 для Windows 10 и более поздних версий было выпущено 9 августа. Это обновление устраняет те же две уязвимости ImageIO, описанные выше.

Более подробную информацию о текущих и прошлых исправлениях, а также об уязвимостях, которые они устраняют, можно найти на сайте службы поддержки Apple.

Adobe

Семь исправлений предназначены для различных продуктов компании, но в этот раз не было исправлений для Acrobat и Reader, что довольно необычно.

10 августа компания выпустила следующие два исправления:

• APSB21-66 — обновление безопасности для Adobe Connect. Устраняет две уязвимости, обход функции безопасности и проблему выполнения произвольного кода, обе из которых оцениваются как важные.
• APSB21-64 для Magento. Устраняет десять уязвимостей, которые включают как критические, так и важные проблемы: обход средств защиты, выполнение произвольного кода, отказ в обслуживании, повышение привилегий и проблемы произвольного чтения файловой системы.

17 августа компания выпустила следующие пять исправлений:

• APSB21-70 — обновление безопасности для Adobe Media Encoder. Устраняет проблему выполнения произвольного кода, которая оценивается как критическая.
• APSB21-69 — обновление безопасности для Adobe Bridge. Устраняет девять уязвимостей, относящихся к категориям критических, важных и умеренных, включая проблемы произвольного выполнения кода, отказа в обслуживании, утечки памяти и произвольного чтения файловой системы.
• APSB21-68 — обновление безопасности для Adobe Photoshop. Устраняет две уязвимости произвольного выполнения кода, обе из которых оцениваются как критические.
• APSB21-65 — обновления безопасности для Adobe XMP Toolkit SDK. Устраняют одиннадцать уязвимостей, относящихся к категориям критических и важных, включая проблемы произвольного выполнения кода и отказа в обслуживании.
• APSB21-60 — обновление безопасности для Adobe Captivate. Устраняет одну уязвимость повышения привилегий, которая оценивается как важная.

Дополнительную информацию см. в сводке бюллетеней по безопасности.

Google

Chrome OS

Последнее стабильное обновление для Chrome OS было выпущено 30 июня. В июле Google не выпускала стабильного обновления для Chrome OS.

Браузер Chrome

31 августа Google объявила о выпуске последнего стабильного обновления для настольной версии браузера Chrome для Windows, Mac и Linux. Обновление Chrome 93.0.4577.63 включает 27 исправлений безопасности, в том числе пять с высокой степенью опасности.

• CVE-2021-30606: устраняет уязвимость Use-After-Free в Blink.
• CVE-2021-30607: устраняет уязвимость Use-After-Free в Разрешениях.
• CVE-2021-30608: устраняет уязвимость Use-After-Free в Web Share.
• CVE-2021-30609: устраняет уязвимость Use-After-Free в функции входа в учетную запись.
• CVE-2021-30610: устраняет уязвимость Use-After-Free в Extensions API.

В этой версии также исправлены следующие 12 уязвимостей со средней степенью опасности.

• CVE-2021-30611: устраняет уязвимость Use-After-Free в WebRTC.
• CVE-2021-30612: устраняет уязвимость Use-After-Free в WebRTC.
• CVE-2021-30613: устраняет уязвимость Use-After-Free в Base internals.
• CVE-2021-30614: переполнение буфера динамической памяти в TabStrip. Информация об уязвимости была предоставлена Хуэйняном Яном (@vmth6) из компании Amber Security Lab, OPPO Mobile Telecommunications Corp. Ltd. 10.05.2021 г.
• CVE-2021-30615: утечка данных из нескольких источников в Navigation.
• CVE-2021-30616: устраняет уязвимость Use-After-Free в Media.
• CVE-2021-30617: обход политики в Blink.
• CVE-2021-30618: неправильная реализация в DevTools.
• CVE-2021-30619: подделка пользовательского интерфейса в функции «Автозаполнение».
• CVE-2021-30620: недостаточное применение политик в Blink.
• CVE-2021-30621: подделка пользовательского интерфейса в функции «Автозаполнение».
• CVE-2021-30622: устраняет уязвимость Use-After-Free в WebApp Installs.

Также исправлены следующие две уязвимости с низкой степенью опасности:

• CVE-2021-30623: устраняет уязвимость Use-After-Free в Bookmarks;
• CVE-2021-30624: устраняет уязвимость Use-After-Free в функции «Автозаполнение».

31 августа Google также выпустила обновление Chrome 93 для Android и iOS.

Дополнительную информацию см. в блоге Google.

Android

Исправления системы безопасности Android за август устраняют уязвимости в Framework, Media Framework и системных компонентах. Все имеют высокую степень опасности. Самой опасной является уязвимость высокого уровня безопасности в компоненте Media Framework, которая может позволить локальному вредоносному приложению обойти защиту операционной системы, изолирующую данные приложения от других приложений. Дополнительные сведения об уязвимостях, устраненных в обновлениях Android, см. в Бюллетене по безопасности Android за август 2021 года.

Oracle

Компания Oracle обычно выпускает критические важные обновления раз в квартал: в январе, апреле, июле и октябре. Последнее обновление было выпущено 20 июля.

Следующий пакет критических обновлений будет выпущен 19 октября.

Узнать больше о текущем обновлении можно на сайте Oracle.

Mozilla Firefox

11 августа Mozilla выпустила Firefox 91, который содержит исправления для следующих девяти уязвимостей.

Серьезные уязвимости

• CVE-2021-29986: состояние гонки при разрешении конфликта имен DNS могло привести к повреждению памяти. Предполагаемое состояние гонки при вызове getaddrinfo приводило к повреждению памяти и возможному сбою в системе.
• CVE-2021-29981: разделение диапазона в реальном времени могло привести к конфликтующим назначениям в JIT. Проблема, присутствующая в понижении/распределении регистров, могла привести к неясным, но детерминированным сбоям из-за смешения регистров в JIT-коде, что привело бы к возможному сбою в системе.
• CVE-2021-29988: повреждение памяти в результате некорректной обработки стиля. Thunderbird некорректно обрабатывал строчный элемент списка как блочный элемент, что приводило к чтению за пределами границ или повреждению памяти, а также к возможному сбою в системе.
• CVE-2021-29984: неправильное переупорядочивание инструкций при оптимизации JIT. Переупорядочивание инструкций приводило к возникновению последовательности инструкций, которая могла вызвать неправильную оценку объекта при чистке памяти. Это повлекло бы повреждение памяти и возможный сбой в системе.
• CVE-2021-29980: неинициализированная память в объекте Canvas могла привести к повреждению памяти. Неинициализированная память в объекте Canvas могла вызвать некорректное освобождение памяти, что вызвало бы повреждение памяти, а также возможный сбой в системе.
• CVE-2021-29989: в Thunderbird 91 исправлены ошибки безопасности памяти. Разработчики Mozilla Кершоу Чанг, Филипп, Крис Петерсон, Себастьян Хенгст, Кристоф Кершбаумер, Олли Петтай, Шандор Молнар и Саймон Гизеке сообщили об ошибках безопасности памяти, присутствующих в версиях Thunderbird до версии 91. Некоторые из этих ошибок свидетельствовали о повреждении памяти, и мы предполагаем, что при достаточном желании некоторые из них можно было использовать для запуска произвольного кода.

Умеренные уязвимости

• CVE-2021-29987: пользователей могли обманом заставить принять нежелательные разрешения в Linux. После запроса нескольких разрешений и закрытия первой панели разрешений последующие панели разрешений будут отображаться в другом месте, но по-прежнему фиксировать нажатие кнопки мыши в месте по умолчанию, что позволяет обманом заставить пользователя принять разрешение, которое он не хотел принимать.
• CVE-2021-29985: устраняет уязвимость Use-After-Free в media channels. Уязвимость Use-After-Free в media channels могла привести к повреждению памяти, а также возможному сбою в системе.

Незначительные уязвимости

• CVE-2021-29982: утечка одного бита данных из-за неправильной оптимизации JIT и путаницы типов. Из-за неправильной оптимизации JIT мы некорректно интерпретировали данные из объекта неправильного типа, что привело бы к потенциальной утечке одного бита памяти.

16 августа Mozilla выпустила версию Firefox 91.0.1, которая содержала исправления для одной уязвимости с высокой степенью опасности:

• CVE-2021-29991: возможность разделения заголовков при ответах HTTP/3. Firefox некорректно принимал новую строку в заголовке HTTP/3, интерпретируя ее как два отдельных заголовка. Это позволило бы провести атаку с разделением заголовка на серверы, использующие HTTP/3.

Linux

Как обычно, в этом месяце вышли очередные рекомендации по безопасности и обновления популярных дистрибутивов Linux. В мае Ubuntu выпустила 38 новых рекомендаций по безопасности. Некоторые из этих рекомендаций касаются целого ряда уязвимостей. А в отдельных случаях несколько рекомендаций направлены на одну и ту же уязвимость. Аналогичное количество обновлений выпустили другие поставщики коммерческих продуктов Linux.

• USN-5060-1: уязвимости драйвера NTFS-3G. Драйвер NTFS-3G можно заставить выполнить произвольный код, если он получит специально созданный файл изображения.
• USN-5058-1: уязвимости в Thunderbird. В Thunderbird было исправлено несколько проблем безопасности.
• USN-5057-1: уязвимость в Squashfs-Tools. Squashfs-Tools можно заставить перезаписывать файлы.
• USN-5054-1: уязвимость в uWSGI. Работа сервера uWSGI может быть аварийно завершена, если он получает специально созданные данные.
• USN-5056-1: уязвимость в APR. APR можно заставить раскрыть конфиденциальную информацию, если он получает специально созданные данные.
• USN-5055-1: уязвимость в GNOME grilo. grilo может разрешить атаки MITM.
• USN-5053-1: уязвимость в libssh. libssh можно заставить аварийно завершить работу или запустить программы с помощью специально созданного сетевого трафика.
• USN-5051-3: уязвимость в OpenSSL. OpenSSL можно заставить аварийно завершить работу или раскрыть конфиденциальную информацию с помощью специально созданной строки ASN.1.
• USN-5051-2: уязвимость в OpenSSL. OpenSSL можно заставить аварийно завершить работу или раскрыть конфиденциальную информацию с помощью специально созданной строки ASN.1.
• USN-5052-1: уязвимость в MongoDB. MongoDB может непреднамеренно разрешить доступ.
• USN-5037-2: регрессия Firefox. USN-5037-1 вызывал регрессию Firefox.
• USN-5051-1: уязвимости в OpenSSL. В OpenSSL было исправлено несколько проблем безопасности.
• USN-5044-1: уязвимости ядра Linux. В ядре Linux было исправлено несколько проблем безопасности.
• USN-5050-1: уязвимости ядра Linux. В ядре Linux было исправлено несколько проблем безопасности.
• USN-5048-1: уязвимость в Inetutils. Inetutils можно заставить аварийно завершить работу, если он получает специально созданные данные.
• USN-5047-1: уязвимость в Firefox. Firefox можно заставить неправильно принимать новые строки в заголовках ответов HTTP/3.
• USN-5045-1: уязвимости ядра Linux. В ядре Linux было исправлено несколько проблем безопасности.
• USN-5046-1: уязвимости ядра Linux. В ядре Linux было исправлено несколько проблем безопасности.
• USN-5043-1: уязвимости в Exiv2. В Exiv2 было исправлено несколько проблем безопасности.
• USN-5042-1: уязвимости в HAProxy. В HAProxy было исправлено несколько проблем безопасности.
• LSN-0080-1: предупреждение о безопасности Kernel Live Patch Security Notice. В ядре было исправлено несколько проблем безопасности.
• USN-5022-2: уязвимости в MariaDB. В MariaDB было исправлено несколько проблем безопасности.
• USN-5039-1: уязвимость ядра Linux. Система может дать сбой или запустить программы от имени администратора.
• USN-5038-1: уязвимости в PostgreSQL. В PostgreSQL было исправлено несколько проблем безопасности.
• USN-3809-2: регрессия OpenSSH. USN-3809-1 внес регрессию в OpenSSH.
• USN-5037-1: уязвимости в Firefox. Firefox мог дать сбой или запустить программы под вашей учетной записью, если он открыл вредоносный веб-сайт.
• USN-5034-2: уязвимость в c-ares. c-ares можно было заставить возвращать неправильные домены.
• USN-5035-1: уязвимость в GPSd. GPSd могла возвращать данные с неправильным временем.
• USN-5034-1: уязвимость в c-ares. c-ares можно было заставить возвращать неправильные домены.
• USN-5033-1: уязвимость в Perl. Perl можно было заставить выполнять произвольные программы.
• USN-5032-2: уязвимости в Docker. Это обновление содержит новую версию ПО.
• USN-5032-1: уязвимости в Docker. Это обновление содержит новую версию ПО.
• USN-5031-1: уязвимость в openCryptoki. openCryptoki мог быть использован для проведения атак методом неверной кривой, если он получал специально созданный ключ.
• USN-5027-2: уязвимость в PEAR. PEAR можно было заставить перезаписывать файлы от имени администратора.
• USN-5030-1: уязвимости в модуле Perl DBI. В модуле Perl DBI было исправлено несколько проблем безопасности.
• USN-5029-1: уязвимости в GnuTLS. В GnuTLS было исправлено несколько проблем безопасности.
• USN-5028-1: уязвимость в Exiv2. Exiv2 можно было довести до отказа в обслуживании, если он получал специально созданное изображение.
• USN-5026-2: уязвимости в QPDF. В QPDF было исправлено несколько проблем безопасности.