Сторонние обновления — Июль 2021

В 2021 году участились атаки с использованием программ-вымогателей, в праздничные выходные на четвертое июля мы стали свидетелями серии таких кибератак, а сам месяц запомнился рядом критических проблем у других производителей ПО.

29 июля вышел очередной доклад Uptycs Threat Research на тему того, как «злоумышленники внедряют новые тактики и методы использования сценариев командной строки Linux для отключения брандмауэров и средств мониторинга и изменения списков управления доступом».

В тот же день Apple назвала последнее обновление для системы безопасности операционной системы watchOS «срочным», отметив, что оно включает в себя исправление проблемы с памятью, которая уже активно эксплуатируется.

Тем временем Google выпустила обновление для системы безопасности Google Диска, чтобы сделать общий доступ к файлам более безопасным, а Mozilla в целях безопасности отказалась от поддержки FTP в Firefox 90.

Производители программного обеспечения изо всех сил стараются держать планку. Рассмотрим некоторые июльские патчи.

Apple

Для Apple июнь не был богат на исправления, их было всего лишь два, зато июль все с лихвой компенсировал. Было выпущено десять обновлений безопасности для различных операционных систем и устройств.

• watchOS 7.6.1 для Apple Watch Series 3 и более поздних моделей, 29 июля 2021 года. Устраняет уязвимость повреждения данных в памяти, при которой было возможно выполнение произвольного кода с привилегиями ядра.
• iOS 14.7.1 и iPadOS 14.7.1 для iPhone 6s и более поздних моделей, iPad Pro (всех моделей), iPad Air 2 и более поздних моделей, iPad 5-го поколения и более поздних моделей, iPad mini 4 и более поздних моделей, а также iPod touch (7-го поколения). Устраняет уязвимость повреждения данных в памяти, при которой было возможно выполнение произвольного кода с привилегиями ядра. Устраняет уязвимость повреждения данных в памяти, при которой было возможно выполнение произвольного кода с привилегиями ядра.
• macOS Big Sur 11.5.1 для macOS Big Sur, 26 июля 2021 года. Устраняет уязвимость повреждения данных в памяти, при которой было возможно выполнение произвольного кода с привилегиями ядра.
• macOS Big Sur 11.5 для macOS Big Sur, 21 июля 2021 года. Устраняет 36 уязвимостей в ряде компонентов операционной системы, включая выполнение произвольного кода, раскрытие информации, неожиданное завершение работы приложения, повышение уровня привилегий до корневого пользователя, обход ограничений «песочницы», отказ в обслуживании, частичное раскрытие содержимого памяти, доступ к контактам пользователя, выполнение кода на чипе безопасности Apple T2, обход настроек конфиденциальности и доступ к файлам ограниченного использования.
• Обновление системы безопасности 2021-004 Catalina для macOS Catalina, 21 июля 2021 года. Устраняет 26 уязвимостей в ряде компонентов операционной системы, включая многие из описанных выше.
• Обновление системы безопасности 2021-005 Mojave для macOS Mojave, 21 июля 2021 года. Устраняет 20 уязвимостей в ряде компонентов операционной системы, включая многие из описанных выше.
• iPadOS 14.7 для iPad Pro (всех моделей), iPad Air 2 и более поздних моделей, iPad 5-го поколения и более поздних моделей и iPad mini 4 и более поздних моделей, 21 июля 2021 года. Устраняет 37 уязвимостей в ряде компонентов операционной системы, включая многие из описанных выше.
• Safari 14.1.2 для macOS Catalina и macOS Mojave, 19 июля 2021 года. Устраняет три уязвимости в компоненте WebKit, которые могут быть использованы для выполнения произвольного кода.
• iOS 14.7 для iPhone 6s и более поздних моделей и iPod touch (7-го поколения), 19 июля 2021 года. Устраняет 37 уязвимостей в ряде компонентов операционной системы, включая многие из упомянутых в пункте об iPadOS 14.7.
• watchOS 7.6 для Apple Watch серии 3 и более поздних моделей, 19 июля 2021 года. Устраняет 21 уязвимость в ряде компонентов операционной системы, включая многие из упомянутых в разделах об iPadOS и iOS.
• tvOS 14.7 для Apple TV 4K и Apple TV HD, 19 июля 2021 года. Устраняет 20 уязвимостей в ряде компонентов операционной системы, включая многие из упомянутых в разделах о WatchOS, iOS и iPadOS.

Подробная информации о текущих и прошлых исправлениях и уязвимостях, которые они устраняют, размещена на сайте службы поддержки Apple.

Adobe

Кто-то может подумать, что для Adobe июнь, в течение которого было выпущено 10 обновлений для системы безопасности, выдался напряженным, однако июль побил этот рекорд. Было выпущено 12 обновлений для системы безопасности, касающихся следующих программных продуктов:

• Обновление системы безопасности APSB21-63 для Adobe Photoshop — устраняет одну критическую и одну умеренную уязвимость в Photoshop 2020 и 2021, возможность выполнения произвольного кода и возможность чтения произвольных файлов.
• Обновление системы безопасности APSB21-62 для Adobe Audition — устраняет умеренную уязвимость чтения за пределами буфера в звуковом редакторе Audition, работающем в среде Windows и macOS.
• Обновление системы безопасности APSB21-59 для Adobe Character Animator — устраняет одну критическую и одну важную уязвимость в программе Character Animator, работающей в среде Windows, проблему утечки памяти и проблему выполнения произвольного кода.
• Обновление системы безопасности APSB21-58 для Adobe Prelude — устраняет одну критическую и одну умеренную проблему выполнения произвольного кода в программе Prelude, работающей в среде Windows.
• Обновление системы безопасности APSB21-56 для Adobe Premiere Pro — устраняет критическую уязвимость в среде Windows и macOS, которая может привести к выполнению произвольного кода.
• Обновление системы безопасности APSB21-54 для Adobe After Effects — устраняет одну умеренную и четыре критические уязвимости в Premiere Pro, работающей в среде Windows, включая проблему чтения произвольных файлов и четыре проблемы выполнения произвольного кода.
• Обновление системы безопасности APSB21-43 для Adobe Media Encoder — устраняет одну критическую и три умеренные уязвимости в программе Media Encoder, работающей в среде Windows, включая две проблемы утечки памяти, проблему чтения произвольных файлов и проблему выполнения произвольного кода.
• Обновление системы безопасности APSB21-53 для Adobe Bridge — устраняет одну умеренную и три критические уязвимости в программе Adobe Bridge, работающей в среде Windows, включая одну проблему чтения произвольных файлов и три проблемы выполнения произвольного кода.
• Обновление системы безопасности APSB21-51 для Adobe Acrobat и Reader — устраняет в общей сложности тринадцать уязвимостей в Acrobat и Reader, работающих в среде Windows и macOS, 10 из которых оцениваются как критические и три как важные. К ним относятся восемь проблем выполнения произвольного кода, две проблемы утечки памяти, одна проблема добавления в систему произвольных файлов, одна проблема чтения произвольных файлов и одна проблема отказа приложения в обслуживании.
• Обновление системы безопасности APSB21-45 для Adobe Framemaker — устраняет одну критическую уязвимость в программе Framemaker, работающей в среде Windows, которая представляет собой проблему выполнения произвольного кода.
• Обновление системы безопасности APSB21-42 для Adobe Illustrator — устраняет пять уязвимостей, три критические, и две важные, в программе Illustrator, работающей в среде Windows. К ним относятся три проблемы выполнения произвольного кода и две проблемы чтения произвольных файлов.
• Обновление системы безопасности APSB21-40 для Adobe Dimension — устраняет критическую уязвимость в программе Dimension, работающей в среде Windows и macOS, которая представляет собой проблему выполнения произвольного кода.

Дополнительную информацию см. в сводке бюллетеней по безопасности.

Google

Chrome OS

Последнее стабильное обновление для Chrome OS было выпущено 30 июня. В июле Google не выпускала стабильного обновления для OS.

Браузер Chrome

20 июля Google объявила о выпуске браузера Chrome 92 для Windows, Mac и Linux. Обновление содержит 35 исправлений безопасности, в том числе девять с высокой степенью опасности:

• 1210985 CVE-2021-30565: запись за пределами буфера в группах вкладок;
• 1202661 CVE-2021-30566: переполнение буфера стека при печати;
• 1211326 CVE-2021-30567: использование данных после освобождения памяти в пункте меню «Инструменты разработчика»;
• 1219886 CVE-2021-30568: переполнение буфера динамической памяти в WebGL;
• 1218707 CVE-2021-30569: использование данных после освобождения памяти в sqlite;
• 1101897 CVE-2021-30571: недостаточно строгая реализация политик безопасности в пункте меню «Инструменты разработчика»;
• 1214234 CVE-2021-30572: использование данных после освобождения памяти в автозаполнении;
• 1216822 CVE-2021-30573: использование данных после освобождения памяти в GPU;
• 1227315 CVE-2021-30574: использование данных после освобождения памяти при обработке протоколов.

23 июля Google выпустила Chrome 92 для Android, но новая версия браузера содержит только улучшения стабильности и производительности.

Chrome 92 для iOS был выпущен 20 июля, но он также содержит только улучшения стабильности и производительности.

Дополнительная информация содержится здесь.

Android

Исправления системы безопасности Android от 1 июля устраняют 17 уязвимостей в Framework, Media Framework и cистемных компонентах. Всем присвоен высокий уровень опасности. Наиболее серьезные из них включают проблему безопасности, которая может позволить локальному вредоносному приложению выполнить произвольный код в контексте привилегированного процесса, а также уязвимости, которые могут позволить локальному вредоносному приложению получить дополнительные разрешения без участия пользователя.

Дополнительные сведения об уязвимостях, устраненных в обновлениях Android, см. в Бюллетене по безопасности Android за июль 2021 года.

Oracle

Компания Oracle обычно выпускает критические важные обновления раз в квартал: в январе, апреле, июле и октябре. Последнее обновление было выпущено 20 июля.

342 обновления за этот месяц содержат исправления для 231 новой уязвимости в системе безопасности множества продуктов Oracle.

Затронутые продукты включают в себя Database Server, Oracle Big Data Graph, Oracle Essbase, Oracle Commerce, Oracle Communications Applications, Oracle Communications, Oracle Construction and Engineering, Oracle E-Business Suite, Oracle Enterprise Manager, Oracle Financial Services Applications, Oracle Food and Beverage Applications, Oracle Fusion Middleware, Oracle Hospitality Applications, Oracle Hyperion, Oracle Insurance Applications, Oracle Java SE, Oracle JD Edwards, Oracle MySQL, Oracle PeopleSoft, Oracle Policy Automation, Oracle Retail Applications, Oracle Siebel CRM, Oracle Supply Chain, Oracle Support Tools, Oracle Systems и Oracle Virtualization.

49 обновлений (30 уязвимостей) оцениваются как критические, а 158 обновлений (85 уязвимостей) являются опасными.

Следующий пакет критических обновлений будет выпущен 19 октября.

Узнать больше о текущем обновлении можно на сайте Oracle.

Mozilla Firefox

13 июля Mozilla выпустила Firefox 90, который содержит исправления для следующих девяти уязвимостей:

Серьезные уязвимости

CVE-2021-29970: использование данных после освобождения памяти в специальных возможностях документа — вредоносная веб-страница могла спровоцировать использование данных после освобождения памяти, повреждение данных в памяти и аварийное закрытие браузера. Эта ошибка проявлялась в Firefox только при включении специальных возможностей.

CVE-2021-29971: на Android при предоставлении разрешения происходила сверка только хоста, без учета схемы и порта — если пользователь предоставлял веб-странице разрешение и сохранял его, любая веб-страница, размещенная на том же хосте, получала это разрешение, независимо от схемы или порта. Данная ошибка встречается только в Firefox для Android. Она не распространяется на другие операционные системы.

CVE-2021-30547: запись за пределами буфера в ANGLE — запись за пределами буфера в ANGLE могла позволить злоумышленнику повредить данные в памяти, что приводило к аварийному закрытию браузера.

CVE-2021-29976: исправление ошибок безопасности памяти в Firefox 90 и Firefox ESR 78.12 — разработчики Mozilla Эмиль Гитта (Emil Ghitta), Тайсон Смит (Tyson Smith), Валентин Госу (Valentin Gosu), Олли Петтай (Olli Pettay) и Рэнделл Джесуп (Randell Jesup) сообщили об ошибках безопасности памяти, присутствующих в Firefox 89 и Firefox ESR 78.11. Некоторые из этих ошибок свидетельствовали о повреждении данных в памяти, и, предположительно, при должных усилиях некоторые из них могли быть использованы для запуска произвольного кода.

CVE-2021-29977: исправление ошибок безопасности памяти в Firefox 90 — разработчики Mozilla Эндрю Маккрайт (Andrew McCreight), Тайсон Смит (Tyson Smith), Кристиан Холлер (Christian Holler) и Габриэле Свельто (Gabriele Svelto) сообщили об ошибках безопасности памяти, присутствующих в Firefox 89. Некоторые из этих ошибок свидетельствовали о повреждении данных в памяти.

Подробная информация об обновлениях системы безопасности Mozilla содержится здесь.

Умеренные уязвимости

CVE-2021-29972: в устаревшей библиотеке содержалась уязвимость использования данных после освобождения памяти — в ходе тестирования была обнаружена уязвимость использования данных после освобождения памяти, и причиной оказалась устаревшая библиотека Cairo. Обновление библиотеки решило данную проблему, а также, возможно, устранило другие неизвестные уязвимости в системе безопасности.

CVE-2021-29973: на Android автозаполнение пароля на веб-сайтах HTTP происходило без участия пользователя — в Firefox для Android на небезопасных веб-сайтах автозаполнение пароля происходило без участия пользователя. Это было исправлено, и теперь автоматический ввод пароля происходит при участии пользователя. Данная ошибка встречается только в Firefox для Android. Она не распространяется на другие операционные системы.

CVE-2021-29974: ошибки HSTS игнорировались при включении режима сегментирования сети — при включении режима сегментирования сети, например, через настройку улучшенной защиты от отслеживания, страница ошибки TLS позволяла обойти ошибку на домене с активированным механизмом форсированного защищенного соединения по протоколу HTTPS (HTTP Strict Transport Security), при котором в нормальных условиях игнорировать ошибку невозможно. Эта проблема не затрагивала сетевые подключения, и для них автоматически задавался корректный протокол HTTPS.

CVE-2021-29975: текстовое сообщение могло быть наложено поверх другого сайта — в результате ряда манипуляций с DOM сообщение, с помощью которого злоумышленник управлял текстом страницы (не имея контроля над HTML или форматированием), могло быть наложено поверх другого домена, который при этом правильно отображался в адресной строке, что могло запутать пользователей.

Linux

Как обычно, в этом месяце вышли очередные рекомендации по безопасности и обновления популярных дистрибутивов. В мае Ubuntu, вслед за майскими обновлениями, выпустила 29 новых рекомендаций по безопасности. Некоторые из этих рекомендаций касаются целого ряда уязвимостей. А в отдельных случаях несколько рекомендаций направлены на одну и ту же уязвимость. Аналогичное количество обновлений выпустили другие поставщики коммерческих продуктов Linux.

К ним относятся уязвимость DjVuLibre, которую можно было использовать для выполнения произвольного кода, уязвимости PHP, уязвимость Avahi, эксплуатация которой могла привести к отказу в обслуживании, несколько уязвимостей в libslirp и в QEMU, уязвимости Firefox, уязвимости в ядре и уязвимости в следующих компонентах: containerd, systemd, графический драйвер NVIDIA, GNU binutils, Ruby, curl, MySQL, Aspell, WebKitGTK, MariaDB, libsndfile, QPDF и PEAR.

Подробная информация о данных уязвимостях содержится здесь: Security notices | buntu