Сторонние обновления — Май 2021

Злоумышленники, которые используют уязвимости программного обеспечения, продолжают свою незаконную деятельность, и вопросы компьютерной безопасности и целостности наших операционных систем и приложений стали еще важнее, поскольку беспрецедентное количество людей внезапно перешло из контролируемой офисной среды к работе из дома. Как отдельные лица, так и корпоративные отделы ИТ столкнулись со значительными трудностями, им было нелегко предвосхищать атаки нулевого дня, а также обновлять и защищать все эти системы, которые теперь могли находиться где угодно.

При удаленном управлении таким количеством систем возникали неизвестные ранее проблемы. По данным Statistica, в 2020 году было зарегистрировано более тысячи утечек данных, при этом была раскрыта личная информация более 155 миллионов человек. Эта тенденция сохранилась и в 2021 году. В течение первых пяти месяцев произошло множество серьезных нарушений. Многие из них связаны с крупными и широко известными компаниями, вложившими огромные средства в безопасность. Конечно, малые и средние организации не являются первостепенными целями для злоумышленников, тем не менее они столь же уязвимы.

Установка обновлений для систем безопасности — это первый и один из самых важных шагов в защите вашего бизнеса от такой незавидной участи.

Давайте рассмотрим исправления, выпущенные в мае некоторыми крупными поставщиками программного обеспечения.

Apple

В мае корпорация Apple выпустила тринадцать обновлений безопасности для своей линейки продуктов. Это внушительное количество.

24мая были выпущены следующие обновления:

• Safari 14.1.1 для macOS Catalina и macOS Mojave. Исправляет десять уязвимостей в WebKit и WebRTC, включая возможный отказ в обслуживании, раскрытие информации, выполнение межсайтовых сценариев и произвольного кода.
• Обновление безопасности Security Update 2021-003 Catalina для macOS Catalina. Устраняет сорок восемь уязвимостей в различных компонентах операционной системы, включая валидацию, раскрытие информации, отказ в обслуживании, повышение привилегий, раскрытие содержимого памяти, завершение работы приложения, обход систем безопасности и выполнение произвольного кода.
• Обновление безопасности Security Update 2021-004 Mojave для macOS Mojave. Исправляет тридцать уязвимостей в различных компонентах операционной системы, включая валидацию, раскрытие информации, отказ в обслуживании, повышение привилегий, раскрытие содержимого памяти, завершение работы приложения, обход систем безопасности и выполнение произвольного кода.
• macOS Big Sur 11.4 для macOS Big Sur. Это обновление решает многие из проблем, аналогичных таковым для Catalina и Mojave. Была обнаружена уязвимость нулевого дня — XCSSET Malware Access, — из-за которой эксперты посоветовали немедленно установить это обновление.
• iOS 14.6 и iPadOS 14.6 для iPhone 6s и более новых моделей, iPad Pro (всех моделей), iPad Air 2 и более новых моделей, iPad 5-го поколения и более новых моделей, iPad mini 4 и более новых моделей, а также iPod touch (7-го поколения). Устраняет сорок три уязвимости в различных компонентах мобильной операционной системы, многие из которых аналогичны тем, которые устраняют пакеты исправлений для настольных операционных систем Apple, описанные выше.
• tvOS 14.6 для Apple TV 4K и Apple TV HD. Устраняет двадцать шесть уязвимостей в различных компонентах операционной системы телевизора, включая многие из проблем, которые устранены в операционных системах для настольных компьютеров и мобильных устройств (см. описание выше).
• watchOS 7.5 для Apple Watch Series 3 и более новых моделей. Устраняет двадцать пять уязвимостей в различных компонентах операционной системы умных часов, включая многие из проблем, которые устранены в операционных системах для настольных компьютеров и мобильных устройств (см. описание выше).

17 мая корпорация Apple выпустила:

• Boot Camp 6.1.14 для Mac Pro (конец 2013 года и позже), MacBook Pro (конец 2013 года и позже), MacBook Air (середина 2013 года и позже), Mac mini (середина 2014 года и позже), iMac (середина 2014 года и позже), MacBook (начало 2015 года и позже), iMac Pro (конец 2017 года). Устраняет одну уязвимость, приводящую к повреждению содержимого памяти и возможному несанкционированному повышению привилегий.

4 мая корпорация Apple выпустила:

• Safari 14.1 для macOS Catalina и macOS Mojave. Устраняет две уязвимости в веб-браузере Apple; обе относятся к компоненту WebKit и могут допускать выполнение произвольного кода.

3 мая корпорация Apple выпустила:

• macOS Big Sur 11.3.1 для macOS Big Sur. Заменено на версию 11.4.
• iOS 14.5.1 и iPadOS 14.5.1 для iPhone 6s и более новых моделей, iPad Pro (всех моделей), iPad Air 2 и более новых моделей, iPad 5-го поколения и более новых моделей, iPad mini 4 и более новых моделей, а также iPod touch (7-го поколения). Заменено на версию 14.6.
• iOS 12.5.3 для iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 и iPod touch (6-го поколения). Устраняет четыре уязвимости в старых версиях мобильной операционной системы Apple. Все уязвимости относятся к WebKit и WebKit Storage и допускают выполнение произвольного кода.
• watchOS 7.4.1 для Apple Watch Series 3 и более новых моделей. Заменено на версию 7.5.

Дополнительную информацию о текущих и прошлых пакетах исправлений, а также о том, какие уязвимости ими устранены, можно найти на сайте поддержки Apple.

Adobe

Как и Apple, Adobe выпустила в мае необычно большое количество обновлений безопасности, затронувших множество различных продуктов компании. Все двенадцать обновлений были выпущены 11мая по обычному графику в рамках Adobe Patch Tuesday.

• Обновление безопасности APSB21-15 для Adobe Experience Manager — две уязвимости, одна важная и одна критичная.
• Обновления безопасности APSB21-22 для Adobe InDesign — три критичные уязвимости.
• Обновление безопасности APSB21-24 для Adobe Illustrator — пять критичных уязвимостей.
• Обновления безопасности APSB21-25 для Adobe InCopy — одна критичная уязвимость.
• Обновление безопасности APSB21-27 для Adobe Genuine Service — одна важная уязвимость.
• Обновление безопасности APSB21-29 для Adobe Acrobat и Reader — десять уязвимостей, шесть критичных и четыре важных.
• Обновления безопасности APSB21-30 для Magento — семь уязвимостей, одна важная и шесть умеренных.
• Обновление безопасности APSB21-31 для Adobe Creative Cloud Desktop Application — одна критичная уязвимость.
• Обновление безопасности APSB21-32 для Adobe Media Encoder — одна важная уязвимость.
• Обновление безопасности APSB21-33 для Adobe After Effects — три уязвимости, две критичных и одна важная.
• Обновления безопасности APSB21-34 для Adobe Medium — одна критичная уязвимость.
• Обновление безопасности APSB21-35 для Adobe Animate — семь уязвимостей, две критичные и пять важных.

Наиболее широко используемые из этих продуктов — Adobe Acrobat и Reader. Пакет исправлений для этих продуктов устраняет десять уязвимостей, шесть из которых являются критичными, при этом восемь из них дают возможность выполнения произвольного кода. Также указанные уязвимости приводили к раскрытию содержимого памяти и повышению привилегий.

Уязвимости, исправленные в других продуктах Adobe, были связаны с такими проблемами, как отказ в обслуживании, произвольное выполнение JavaScript, раскрытие информации, ненадлежащая авторизация, межсайтовый скриптинг, несанкционированный доступ к ресурсам ограниченного пользования и обход функций безопасности.

Дополнительную информацию можно найти в обзоре бюллетеня по безопасности.

Google

Веб-браузер Chrome

Chrome 91 для Windows, Mac и Linux был выпущен Google 25 мая и содержит тридцать два исправления безопасности. Исправленные проблемы включают переполнение буфера динамической памяти, неправильное использование динамической памяти (проблема Use-After-Free), запись за пределами буфера, чтение за пределами буфера, доступ к памяти за пределами буфера, недостаточные политики и некорректный пользовательский интерфейс безопасности при обработке платежей.

Дополнительную информацию см. на сайте.

Android OS

В майском бюллетене по безопасности Android Security Bulletin обсуждается ряд уязвимостей, устраняемых с помощью пакета исправлений от 05.05.2021 или более позднего. Наиболее серьезной является критическая уязвимость компонента System, которая позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла. К устраненным уязвимостям относятся проблемы с повышением привилегий, раскрытием информации и удаленным выполнением кода. Все это — уязвимости с высокой степенью серьезности. Они присутствовали в компонентах Framework, Kernel, AMLogic, MediaTek, Unisoc и Qualcomm и включали двадцать восемь отдельных уязвимостей.

Дополнительную информацию об уязвимостях, устраненных с помощью обновлений Android, можно найти здесь.

Oracle

Oracle обычно выпускает свои критичные исправления ежеквартально: в январе, апреле, июле и октябре. Последнее критичное обновление вышло 19 апреля. Следующий релиз запланирован на 20 июля.

Клиенты Oracle могут узнать больше о текущем релизе исправлений на веб-сайте компании.

Mozilla Firefox

5 мая Mozilla выпустила Firefox 88.0.1 и Firefox для Android 88.1.3. Они устранили две уязвимости безопасности:

CVE-2021-29953: универсальное межсайтовое выполнение сценариев (Universal Cross-Site Scripting, UXSS) — критичная. Вредоносная веб-страница могла вынудить пользователя Firefox для Android выполнить загруженный злоумышленником сценарий JavaScript в контексте другого домена, что приводило к возникновению уязвимости UXSS. Эта проблема касается только Firefox для Android. Не распространяется на другие операционные системы.

CVE-2021-29952: состояние гонки в компонентах Web Render — уязвимость с высоким уровнем опасности. После того, как компоненты веб-рендера были уничтожены, состояние гонки могло вызвать неопределенное поведение, и мы предполагаем, что при достаточных усилиях можно было бы использовать его для запуска произвольного кода.

Thunderbird

17 мая Mozilla выпустила Thunderbird 78.10.2. В этой версии исправлены две уязвимости безопасности:

CVE-2021-29957: частичная защита сообщения inline OpenPGP не указана — незначительное воздействие. Если электронное письмо с кодировкой MIME содержало подписанную или зашифрованную с помощью метода inline OpenPGP часть сообщения OpenPGP, но также содержало дополнительную незащищенную часть, Thunderbird не указывал, что защищена только часть сообщения.

CVE-2021-29956: Thunderbird хранило секретные ключи OpenPGP без защиты мастер-паролем — незначительное воздействие. Секретные ключи OpenPGP, которые были импортированы с помощью Thunderbird (от версии 78.8.1 до версии 78.10.1), хранились в незашифрованном виде на локальном диске пользователя. Для этих ключей не использовалась защита мастер-паролем. Версия 78.10.2 восстанавливает механизм защиты для вновь импортированных ключей и автоматически защищает ключи, которые были импортированы ранее с использованием уязвимых версий Thunderbird.

Дополнительную информацию об уязвимостях, устраненных с помощью обновлений безопасности Mozilla, можно найти здесь.

Linux

Как обычно, в этом месяце вышли очередные рекомендации по безопасности и обновления популярных дистрибутивов Linux. В мае Ubuntu, вслед за майскими обновлениями, выпустила пятьдесят пять новых рекомендаций по безопасности. Некоторые из этих инструкций решают целый ряд уязвимостей. А в отдельных случаях несколько рекомендаций направлены на одну и ту же уязвимость. Аналогичное количество обновлений выпустили другие поставщики коммерческих продуктов Linux. Подробнее об уязвимостях, перечисленных ниже, см. здесь.

• USN-4973-1: уязвимость Python — 1 июня 2021 г. Python мог непреднамеренно разрешить доступ к сетевым службам. CVE-2021-29921.
• USN-4972-1: уязвимости PostgreSQL — 1 июня 2021 г. В PostgreSQL исправлено несколько проблем безопасности. CVE-2021-32029, CVE-2021-32028, CVE-2021-32027.
• USN-4971-1: уязвимости libwebp — 1 июня 2021 г. libwebp можно было заставить аварийно завершить работу или запустить программу под вашим логином — для этого достаточно было открыть специально созданный файл. CVE-2020-36331, CVE-2018-25010, CVE-2018-25011 и восемь других.
• USN-4970-1: уязвимость GUPnP — 1 июня 2021 г. GUPnP могла непреднамеренно разрешить доступ к сетевым службам. CVE-2021-33516.
• USN-4968-2: уязвимость LZ4 — 31 мая 2021 г. LZ4 можно было заставить аварийно завершить работу или запустить программу, если он открывал специально созданный файл. CVE-2021-3520.
• USN-4967-2: уязвимость nginx — 27 мая 2021 г. nginx можно было заставить аварийно завершить работу или запустить программу, передав ему специальным образом сформированный сетевой трафик. CVE-2021-23017.
• USN-4969-2: уязвимость DHCP — 27 мая 2021 г. DHCP можно было заставить аварийно завершить работу, передав ему специальным образом сформированный сетевой трафик. CVE-2021-25217.
• USN-4969-1: уязвимость DHCP — 27 мая 2021 г. DHCP можно было заставить аварийно завершить работу, передав ему специальным образом сформированный сетевой трафик. CVE-2021-25217.
• USN-4968-1: уязвимость LZ4 — 26 мая 2021 г. LZ4 можно было заставить аварийно завершить работу или запустить программу, если он открывал специально созданный файл. CVE-2021-3520.
• USN-4967-1: уязвимость nginx — 26 мая 2021 г. nginx можно было заставить аварийно завершить работу или запустить программу, передав ему специальным образом сформированный сетевой трафик. CVE-2021-23017.
• USN-4966-2: уязвимость libx11 — 25 мая 2021 г. libx11 мог непреднамеренно разрешить доступ к службам. CVE-2021-31535.
• USN-4965-2: уязвимости Apport — 25 мая 2021 г. В Apport исправлено несколько проблем безопасности. CVE-2021-32549, CVE-2021-32555, CVE-2021-32551 и восемь других.
• USN-4966-1: уязвимость libx11 — 25 мая 2021 г. libx11 мог непреднамеренно разрешить доступ к службам. CVE-2021-31535.
• USN-4965-1: уязвимости Apport — 25 мая 2021 г. В Apport исправлено несколько проблем безопасности. CVE-2021-32549, CVE-2021-32554, CVE-2021-32547 и восемь других.
• USN-4964-1: уязвимость Exiv2 — 25 мая 2021 г. В Exiv2 исправлено несколько проблем безопасности. CVE-2021-29464, CVE-2021-29463, CVE-2021-32617 и две другие.
• USN-4962-1: уязвимость Babel — 19 мая 2021 г. Код Babel можно было заставить выполнять произвольный код, если передать ему специально подготовленные входные данные. CVE-2021-20095.
• USN-4963-1: уязвимости Pillow — 19 мая 2021 г. Pillow могла выйти из строя или «зависнуть», если открывала специально созданный файл. CVE-2021-28677, CVE-2021-28675, CVE-2021-28678 и три другие.
• USN-4961-1: уязвимость pip — 19 мая 2021 г. pip можно было использовать для установки различных версий git.
• USN-4960-1: уязвимость runC — 19 мая 2021 г. runC можно было заставить перезаписать файлы от имени администратора. CVE-2021-30465.
• USN-4945-2: уязвимости ядра Linux (Raspberry Pi) — 19 мая 2021 г. В ядре Linux исправлено несколько проблем безопасности. CVE-2021-29265, CVE-2021-28660, CVE-2021-30002 и четыре другие.
• USN-4959-1: уязвимость подключаемых модулей GStreamer Base — 18 мая 2021 г. Подключаемые модули GStreamer Base могли использоваться для раскрытия конфиденциальной информации, если им передавались специальным образом сформированные входные данные. CVE-2021-3522.
• USN-4957-2: уязвимости DjVuLibre — 18 мая 2021 г. В DjVuLibre исправлено несколько проблем безопасности. CVE-2021-32491, CVE-2021-32492, CVE-2021-32493 и две другие.
• USN-4958-1: уязвимость Caribou — 17 мая 2021 г. Приложения, использующие Caribou, можно было заставить аварийно завершить работу, если им передавались специальным образом подготовленные данные.
• USN-4957-1: уязвимости DjVuLibre — 17 мая 2021 г. В DjVuLibre исправлено несколько проблем безопасности. CVE-2021-32493, CVE-2021-32490, CVE-2021-3500 и две другие.
• USN-4956-1: уязвимость Eventlet — 17 мая 2021 г. В Eventlet мог возникнуть отказ в обслуживании при передаче ему специально созданного запроса. CVE-2021-21419.
• USN-4955-1: уязвимости Please — 17 мая 2021 г. В Please исправлено несколько проблем безопасности. CVE-2021-31155, CVE-2021-31154, CVE-2021-31153.
• USN-4628-3: уязвимости микрокода Intel — 17 мая 2021 г. В микрокоде Intel исправлено несколько проблем безопасности. CVE-2020-8698, CVE-2020-8696, CVE-2020-8695.
• USN-4954-1: уязвимости библиотеки GNU C — 14 мая 2021 г. В библиотеке GNU C было исправлено несколько проблем безопасности. CVE-2009-5155, CVE-2020-6096.
• USN-4953-1: уязвимости AWStats — 13 мая 2021 г. В AWStats исправлено несколько проблем безопасности. CVE-2020-35176, CVE-2017-1000501, CVE-2020-29600.
• USN-4932-2: уязвимость Django — 13 мая 2021 г. Django можно было заставить перезаписывать файлы. CVE-2021-31542.
• USN-4952-1: уязвимости MySQL — 12 мая 2021 г. В MySQL исправлено несколько проблем безопасности. CVE-2021-2154, CVE-2021-2293, CVE-2021-2203 и тридцать других.
• USN-4951-1: уязвимость Flatpak — 12 мая 2021 г. Приложение Flatpak могло получить доступ к файлам, к которым у него обычно доступа не было. CVE-2021-21381.
• USN-4950-1: уязвимости ядра Linux — 11 мая 2021 г. В ядре Linux исправлено несколько проблем безопасности. CVE-2021-3489, CVE-2021-3490.
• USN-4949-1: уязвимости ядра Linux — 11 мая 2021 г. В ядре Linux исправлено несколько проблем безопасности. CVE-2021-29265, CVE-2021-29264, CVE-2021-3489 и девять других.
• USN-4948-1: уязвимости ядра Linux (OEM) — 11 мая 2021 г. В ядре Linux исправлено несколько проблем безопасности. CVE-2021-3489, CVE-2021-29649, CVE-2021-28951 и восемнадцать других.
• USN-4946-1: уязвимости ядра Linux — 11 мая 2021 г. В ядре Linux исправлено несколько проблем безопасности. CVE-2021-20292, CVE-2021-26930, CVE-2021-29264 и шесть других.
• USN-4947-1: уязвимости ядра Linux (OEM) — 11 мая 2021 г. В ядре Linux исправлено несколько проблем безопасности. CVE-2020-35519, CVE-2021-29650, CVE-2021-29646 и две другие.
• USN-4945-1: уязвимости ядра Linux — 11 мая 2021 г. В ядре Linux исправлено несколько проблем безопасности. CVE-2021-29265, CVE-2021-28660, CVE-2021-28375 и четыре другие.
• USN-4944-1: уязвимости MariaDB — 11 мая 2021 г. В MariaDB исправлено несколько проблем безопасности.
• USN-4943-1: уязвимости XStream — 11 мая 2021 г. В библиотеке XStream исправлено несколько проблем безопасности. CVE-2020-26258, CVE-2021-21351, CVE-2021-21342 и одиннадцать других.
• USN-4942-1: уязвимость Firefox — 10 мая 2021 г. Firefox можно было заставить аварийно завершить работу или запустить программу под вашим логином — для этого достаточно было открыть вредоносный сайт. CVE-2021-29952.
• USN-4941-1: уязвимость Exiv2 — 10 мая 2021 г. В Exiv2 исправлено несколько проблем безопасности. CVE-2021-29458, CVE-2021-3482, CVE-2021-29470 и одна другая.
• USN-4940-1: уязвимость PyYAML — 10 мая 2021 г. PyYAML можно было заставить запустить программу, открыв специально созданный файл YAML. CVE-2020-14343.
• USN-4939-1: уязвимость WebKitGTK — 10 мая 2021 г. В WebKitGTK исправлено несколько проблем безопасности. CVE-2021-1871, CVE-2021-1844, CVE-2021-1788.
• USN-4936-1: уязвимость Thunderbird — 6 мая 2021 г. В Thunderbird исправлено несколько проблем безопасности. CVE-2021-23969, CVE-2021-23978, CVE-2021-23968 и две другие.
• USN-4938-1: уязвимости Unbound — 6 мая 2021 г. В Unbound исправлено несколько проблем безопасности. CVE-2019-25031, CVE-2019-25035, CVE-2019-25040 и десять других.
• USN-4934-2: уязвимости Exim — 6 мая 2021 г. В Exim исправлено несколько проблем безопасности. CVE-2020-28011, CVE-2020-28009, CVE-2021-27216 и тринадцать других.
• USN-4937-1: уязвимость GNOME Autoar — 6 мая 2021 г. GNOME Autoar можно было заставить перезаписывать файлы. CVE-2021-28650.
• USN-4935-1: уязвимости драйверов видеокарт NVIDIA — 4 мая 2021 г. В драйверах видеокарт NVIDIA исправлено несколько проблем безопасности. CVE-2021-1076, CVE-2021-1077.
• USN −4934-1: уязвимости Exim — 4 мая 2021 г. В Exim исправлено несколько проблем безопасности. CVE-2020-28022, CVE-2020-28026, CVE-2020-28009 и восемнадцать других.
• USN-4932-1: уязвимость Django — 4 мая 2021 г. Django можно было заставить перезаписывать файлы. CVE-2021-31542.
• USN-4933-1: уязвимости OpenVPN — 4 мая 2021 г. В OpenVPN исправлено несколько проблем безопасности. CVE-2020-15078, CVE-2020-11810.
• USN-4918-3: регрессия ClamAV — 3 мая 2021 г. Из-за уязвимости USN-4918-1 возникла регрессия в ClamAV, которая могла привести к сбою сканирования.
• USN-4931-1: уязвимости Samba — 3 мая 2021 г. В Samba исправлено несколько проблем безопасности. CVE-2020-14318, CVE-2020-14323, CVE-2020-14383 и одна другая.
• LSN-0076-1: предупреждение о безопасности Kernel Live Patch Security Notice — 3 мая 2021 г. В Kernel исправлено несколько проблем безопасности. CVE-2021-29154, CVE-2021-3493.