Сторонние обновления — Октябрь 2021

Месяц начался с крупного сбоя в работе Facebook 4 октября, в результате которого фанатичные пользователи социальных сетей начали страдать от тяжелой абстиненции, поскольку больше не могли ежечасно (или еще чаще) проверять свои ленты. WhatsApp и Instagram, принадлежащие Facebook, также не работали. Распространились слухи о том, что это была атака. Всему виной оказалось изменение конфигурации на магистральном роутере.

Тем не менее в октябре было много реальных атак. Среди них утечка исходного кода сервиса потокового видео Twitch, взлом системы хранения данных Tesla и многое другое. В исследовании, проведенном Институтом Infosec, утверждается, что октябрь является любимым месяцем для злоумышленников, особенно тех, кто связан с Россией, Китаем, Северной Кореей и Ираном.

Поставщики программного обеспечения активизируются, чтобы попытаться опередить плохих парней. Корпорация Google провела свою ежегодную конференцию Cloud Next '21 (исключительно в режиме онлайн, без личного участия) и объявила о формировании команды специалистов по кибербезопасности Google Cybersecurity Action Team.

Прелагаем вам ознакомиться с рядом исправлений, выпущенных другими производителями программного обеспечения в октябре.

Apple

В октябре у Apple вышло довольно много патчей, хотя и меньше, чем в сентябре. Они выпустили в общей сложности 11 обновлений для операционных систем для всей своей линейки продуктов, причем первое обновление было выпущено 1 октября, а последнее — 27 октября. К ним относится исправление уязвимости нулевого дня, которой успели воспользоваться злоумышленники.

• Safari 15.1 для macOS Big Sur и macOS Catalina были выпущены 27 октября. Устранены четыре уязвимости в WebKit, включая проблему с выполнением произвольного кода.
• iOS 14.8.1 и iPadOS 14.8.1 для iPhone 6s и более новых моделей, iPad Pro (всех моделей), iPad Air 2 и более новых моделей, iPad 5-го поколения и более новых моделей, iPad mini 4 и более новых моделей, а также iPod touch (7-го поколения) были выпущены 26 октября. Устранено большое число уязвимостей во многих компонентах операционной системы, включая проблемы, связанные с выполнением произвольного кода.
• Версия macOS Monterey 12.0.1 для Mac Pro (2013 г. и более поздние модели), MacBook Air (начало 2015 г. и более поздние модели), MacBook Pro (начало 2015 г. и более поздние модели), Mac mini (конец 2014 г. и более поздние модели), iMac (конец 2015 г. и более поздние модели), MacBook (начало 2016 г. и более поздние модели), iMac Pro (2017 г. и более поздние модели) выпущена 25 октября. Устранено большое число уязвимостей во многих компонентах операционной системы, включая проблемы, связанные с выполнением произвольного кода.
• Версия macOS Big Sur 11.6.1 для macOS Big Sur выпущена 25 октября. Устранено большое число уязвимостей во многих компонентах операционной системы, включая проблемы, связанные с выполнением произвольного кода.
• Обновление безопасности Security Update 2021-007 Catalina для macOS Catalina выпущено 25 октября. Устранено большое число уязвимостей во многих компонентах операционной системы, включая проблемы, связанные с выполнением произвольного кода.
• Версия watchOS 8.1 для Apple Watch Series 3 и более поздних моделей выпущена 25 октября. Устранено большое число уязвимостей во многих компонентах операционной системы, включая проблемы, связанные с выполнением произвольного кода.
• iOS 15.1 и iPadOS 15.1 для iPhone 6s и более новых моделей, iPad Pro (всех моделей), iPad Air 2 и более новых моделей, iPad 5-го поколения и более новых моделей, iPad mini 4 и более новых моделей, а также iPod touch (7-го поколения) были выпущены 25 октября. Устранено большое число уязвимостей во многих компонентах операционной системы, включая проблемы, связанные с выполнением произвольного кода.
• Версия tvOS 15.1 для Apple TV 4K и Apple TV HD выпущена 25 октября. Устранено большое число уязвимостей во многих компонентах операционной системы, включая проблемы, связанные с выполнением произвольного кода.
• Версия watchOS 8.0.1 для Apple Watch Series 3 и более поздних моделей выпущена 11 октября.
• iOS 15.0.2 и iPadOS 15.0.2 для iPhone 6s и более новых моделей, iPad Pro (всех моделей), iPad Air 2 и более новых моделей, iPad 5-го поколения и более новых моделей, iPad mini 4 и более новых моделей, а также iPod touch (7-го поколения) были выпущены 11 октября. Устранены три уязвимости в игровом центре и компонентах IOMobileFrameBuffer операционной системы, одной из которых была проблема, связанная с выполнением произвольного кода.
• iOS 15.0.1 и iPadOS 15.0.1 для iPhone 6s и более новых моделей, iPad Pro (всех моделей), iPad Air 2 и более новых моделей, iPad 5-го поколения и более новых моделей, iPad mini 4 и более новых моделей, а также iPod touch (7-го поколения) были выпущены 1 октября. Устранена одна уязвимость в строке состояния, которая могла позволить пользователю просматривать ограниченное содержимое на экране блокировки.

Подробная информации о текущих и прошлых исправлениях и уязвимостях, которые они устраняют, размещена на сайте службы поддержки Apple.

Adobe

В прошлом месяце компания Adobe выпустила множество бюллетеней по безопасности, которые затронули широкий спектр их продуктов. Обычно Adobe выпускает свои исправления безопасности во второй вторник месяца, в тот же день, что и Microsoft. На этот раз, в дополнение к обновлениям, выпущенным во вторник 12 октября, еще 14 патчей было выпущено 26 октября. Всего устранено 92 уязвимости, причем 66 из них были оценены как критические. Ниже перечислены продукты, которые получили обновления.

• APSB21-79: обновление безопасности для Adobe After Effects в Windows. Это критическое обновление с приоритетом 3, устраняющее девять уязвимостей, восемь из которых являются проблемами выполнения произвольного кода, а одна — проблемой отказа в обслуживании.
• APSB21-92: обновление безопасности для Adobe Audition в Windows и macOS. Это критическое обновление с приоритетом 3, устраняющее девять уязвимостей, восемь из которых являются проблемами выполнения произвольного кода, а одна — проблемой отказа в обслуживании.
• APSB21-94: обновление безопасности для Adobe Bridge в Windows. Это критическое обновление с приоритетом 2, устраняющее девять уязвимостей, восемь из которых являются проблемами выполнения произвольного кода, а одна — проблемой раскрытия содержимого памяти.
• APSB21-95: обновление безопасности для Adobe Character Animator в Windows и macOS. Это критическое обновление с приоритетом 3, устраняющее восемь уязвимостей, три из которых связаны с проблемами выполнения произвольного кода, а остальные — с отказом в обслуживании, произвольным чтением файловой системы и уязвимостями эскалации привилегий.
• APSB21-96: обновление безопасности для Adobe Prelude в Windows. Это критическое обновление с приоритетом 3, устраняющее девять уязвимостей, шесть из которых связаны с проблемами выполнения произвольного кода, а остальные — с отказом в обслуживании приложений и раскрытием содержимого памяти.
• APSB21-97: обновление безопасности для Adobe Lightroom Classic в Windows. Это критическое обновление с приоритетом 2, устраняющее одну уязвимость, связанную с повышением привилегий.
• APSB21-98: обновление безопасности для Adobe Illustrator в Windows и macOS. Это критическое обновление с приоритетом 3, устраняющее пять уязвимостей, включая одну проблему выполнения произвольного кода, три проблемы отказа в обслуживании приложений и одну уязвимость, связанную с раскрытием содержимого памяти.
• APSB21-99: обновление безопасности для Adobe Media Encoder в Windows и macOS. Это критическое обновление с приоритетом 3, устраняющее шесть уязвимостей, три из которых связаны с проблемами выполнения произвольного кода, одна — с раскрытием содержимого памяти, а еще две — с отказом в обслуживании приложений.
• APSB21-100: обновление безопасности для Adobe Premiere Pro в Windows и macOS. Это критическое обновление с приоритетом 3, устраняющее шесть уязвимостей, три из которых являются проблемами выполнения произвольного кода, а еще три — уязвимостями, связанными с отказом в обслуживании приложений.
• APSB21-105: обновление безопасности для Adobe Animate в Windows. Это критическое обновление с приоритетом 3, устраняющее десять уязвимостей, девять из которых являются проблемами выполнения произвольного кода, а одна — уязвимостью, связанной с повышением привилегий.
• APSB21-106: обновление безопасности для Adobe Premiere Elements в Windows и macOS. Это критическое обновление с приоритетом 3, устраняющее семь уязвимостей, четыре из которых связаны с проблемами выполнения произвольного кода, одна — с раскрытием содержимого памяти, а еще две — с отказом в обслуживании приложений.
• APSB21-107: обновление безопасности для Adobe InDesign в Windows и macOS. Это критическое обновление с приоритетом 3, устраняющее три уязвимости, две из которых являются проблемами выполнения произвольного кода, а одна — проблемой отказа в обслуживании приложений.
• APSB21-108: обновление безопасности для Adobe XMP Toolkit SDK на всех платформах. Это критическое обновление с приоритетом 2, устраняющее пять уязвимостей, четыре из которых являются проблемами выполнения произвольного кода, а одна — проблемой отказа в обслуживании приложений.
• APSB21-109: обновление безопасности для Adobe Photoshop в Windows и macOS. Это критическое обновление с приоритетом 3, устраняющее три уязвимости, две из которых являются проблемами выполнения произвольного кода, а одна — проблемой повышения привилегий.

Дополнительную информацию см. в сводке бюллетеней по безопасности Adobe.

Google

Chrome OS

20 октября Google выпустила новую стабильную версию своего канала для Chrome OS в виде версии 94.0.4606.104. Это обновление включает исправления ошибок и обновления безопасности. Вы можете узнать больше здесь. (Обратите внимание, что еще одна новая стабильная версия канала для Chrome OS была выпущена 1 ноября.)

Браузер Chrome

28 октября Google объявила о выпуске последнего стабильного обновления для настольной версии браузера Chrome для Windows, Mac и Linux. Это обновление включает в себя указанные ниже исправления безопасности, каждое из которых имеет высокий уровень серьезности.

• CVE-2021-37997: устраняет уязвимость Use-After-Free в функции входа в учетную запись.
• CVE-2021-37998: устраняет уязвимость Use-After-Free при чистке памяти.
• CVE-2021-37999: устраняет уязвимость, связанную с недостаточной проверкой данных на странице «Новая вкладка».
• CVE-2021-38000: устраняет уязвимость, связанную с недостаточной проверкой ненадежных входных данных в Intents.
• CVE-2021-38001: устраняет уязвимость, связанную с путаницей типов в V8.
• CVE-2021-38002: устраняет уязвимость Use-After-Free в Web Transport.
• CVE-2021-38003: устраняет неправильную реализацию в V8.

Google известны случаи эксплуатации уязвимостей CVE-2021-37975 и CVE-2021-37976.

Для получения дополнительной информации см. блог Google.

Android OS

Патч безопасности от 05.10.2021 устраняет уязвимость с высокой степенью серьезности, связанную с выполнением произвольного кода / несанкционированным получением прав в среде выполнения Android; шесть уязвимостей в Framework, к которым относятся три проблемы несанкционированного получения прав, две уязвимости, связанные с раскрытием информации, и одна проблема отказа в обслуживании; уязвимость, связанную с выполнением произвольного кода / несанкционированным получением прав в Media Framework; и две уязвимости в системе, которые связаны с раскрытием информации и отказом в обслуживании.

Для получения дополнительной информацию см. бюллетень по безопасности Android.

Oracle

Компания Oracle обычно выпускает критически важные обновления раз в квартал: в январе, апреле, июле и октябре. Последнее обновление было выпущено 19 октября. Оно устраняет 231 уязвимость, устанавливая 419 исправлений безопасности в 28 семействах продуктов Oracle. Тридцать шесть патчей оценены как критические.

Следующий пакет критических обновлений будет выпущен 18 января 2022 г.

Узнать больше о текущем обновлении можно на сайте Oracle.

Mozilla Firefox

5 октября Mozilla выпустила версию Firefox 93, которая содержит исправления для пяти уязвимостей высокой степени серьезности и трех уязвимостей средней степени серьезности.

Перечисленные ниже уязвимости имеют высокую степень серьезности.

• CVE-2021-38496: устраняет уязвимость Use-After-Free в MessageTask. Во время операций с MessageTasks задача могла быть удалена, но при этом оставалась запланированной, что приводило к повреждению памяти и потенциальному сбою.
• CVE-2021-38497: проверочное сообщение могло быть наложено на другой источник. При использовании reportValidity() и window.open() проверочное текстовое сообщение могло быть наложено на другой источник, что приводило к возможной путанице пользователей и атакам на основе спуфинга.
• CVE-2021-38500: исправлены ошибки защиты памяти в Firefox 93, Firefox ESR 78.15 и Firefox ESR 91.2. Разработчики Mozilla и члены сообщества Андреас Персон (Andreas Pehrson) и Кристиан Холлер (Christian Holler) сообщили об ошибках защиты памяти в Firefox 92 и Firefox ESR 91.1. Некоторые из этих ошибок свидетельствовали о повреждении памяти, и мы предполагаем, что при достаточном желании некоторые из них можно было использовать для запуска произвольного кода.
• CVE-2021-38501: исправлены ошибки защиты памяти в Firefox 93 и Firefox ESR 91.2. Разработчики Mozilla и члены сообщества Кевин Броснан (Kevin Brosnan), Михай Александру Мичис (Mihai Alexandru Michis) и Кристиан Холлер (Christian Holler) сообщили об ошибках защиты памяти в Firefox 92 и Firefox ESR 91.1. Некоторые из этих ошибок свидетельствовали о повреждении памяти, и мы предполагаем, что при достаточном желании некоторые из них можно было использовать для запуска произвольного кода.
• CVE-2021-38499: исправлены ошибки защиты памяти в Firefox 93. Разработчики Mozilla и члены сообщества Жюльен Кристо (Julien Cristau) и Кристиан Холлер (Christian Holler) сообщили об ошибках защиты памяти в Firefox 92. Некоторые из этих ошибок свидетельствовали о повреждении памяти, и мы предполагаем, что при достаточном желании некоторые из них можно было использовать для запуска произвольного кода.

Указанные ниже уязвимости имеют среднюю степень серьезности.

• CVE-2021-38498: устранена уязвимость Use-After-Free в объекте nsLanguageAtomService. Во время завершения работы процесса документ мог вызвать использование освобожденной памяти объектом службы языков, что влекло за собой повреждение памяти и потенциальный сбой.
• CVE-2021-32810: гонка по данным в crossbeam-deque. В крейте crossbeam одна или несколько задач в рабочей очереди могли быть извлечены дважды вместо других задач, которые были забыты и никогда не извлекались. Если задачи размещались в куче, это могло привести к двойному высвобождению и раскрытию содержимого памяти.

Linux

Как обычно, в октябре вышли очередные рекомендации по безопасности и обновления популярных дистрибутивов Linux. В октябре Ubuntu выпустила 36 рекомендаций по безопасности (значительно меньше, чем в сентябре). Некоторые из этих рекомендаций устраняют сразу несколько уязвимостей. В ряде случаев одна и та же уязвимость встречается в нескольких рекомендациях, относящихся к разным версиям ОС. Аналогичное количество обновлений выпустили другие поставщики коммерческих продуктов Linux.

Многие исправления в октябре касаются уязвимостей в ядре ОС Linux.

Подробнее об уязвимостях, перечисленных ниже, см. здесь: Security notices | Ubuntu.

• USN-5126-2: уязвимость Bind. Bind можно было заставить потреблять ресурсы, передавая ему специально сформированный сетевой трафик.
• USN-5125-1: уязвимость PHP. PHP-PFM в PHP можно заставить запускать программы от имени администратора, если передавать ему на вход специально сформированные данные. CVE-2021-21703.
• USN-5009-2: уязвимости libslirp. Несколько проблем безопасности были исправлены в libslirp. CVE-2021-3593, CVE-2021-3595, CVE-2021-3594.
• USN-5122-2: уязвимость в Apport. Apport можно было заставить создавать файлы от имени администратора.
• USN-5124-1: уязвимости GNU binutils. Несколько проблем безопасности были исправлены в GNU binutils. CVE-2021-3487, CVE-2020-16592.
• USN-5123-2: уязвимости MySQL. Несколько проблем безопасности были исправлены в MySQL. CVE-2021-35624, CVE-2021-35604.
• USN-5123-1: уязвимости MySQL. Несколько проблем безопасности были исправлены в MySQL. CVE-2021-35602, CVE-2021-35634, CVE-2021-35643 и еще 40.
• USN-5122-1: уязвимость в Apport. Apport можно было заставить создавать файлы от имени администратора.
• USN-5114-1: уязвимости ядра Linux. В ядре Linux было исправлено несколько проблем безопасности. CVE-2020-3702, CVE-2021-40490, CVE-2021-38198 и еще 1.
• USN-5121-1: уязвимости Mailman. Несколько проблем безопасности были исправлены в Mailman. CVE-2021-42096, CVE-2021-42097.
• USN-5116-2: уязвимости ядра Linux. В ядре Linux было исправлено несколько проблем безопасности. CVE-2020-3702, CVE-2021-3732, CVE-2021-38205 и еще 3.
• USN-5120-1: уязвимости ядра Linux (Azure). В ядре Linux было исправлено несколько проблем безопасности. CVE-2021-22543, CVE-2021-38199, CVE-2020-36311 и еще 6.
• USN-5119-1: уязвимости libcaca. Можно было вызвать сбой в libcaca, передав на вход специально созданное изображение. CVE-2021-30498, CVE-2021-30499.
• USN-5117-1: уязвимости ядра Linux (OEM). В ядре Linux было исправлено несколько проблем безопасности. CVE-2021-3753, CVE-2021-3743, CVE-2021-3739 и еще 1.
• USN-5116-1: уязвимости ядра Linux. В ядре Linux было исправлено несколько проблем безопасности. CVE-2021-38198, CVE-2020-3702, CVE-2021-3732 и еще 3.
• USN-5115-1: уязвимости ядра Linux (OEM) **. В ядре Linux было исправлено несколько проблем безопасности. CVE-2021-3679, CVE-2021-34556, CVE-2021-35477 и еще 13.
• USN-5113-1: уязвимости ядра Linux. В ядре Linux было исправлено несколько проблем безопасности. CVE-2021-42008, CVE-2021-38166, CVE-2021-40490 и еще 5.
• USN-5111-2: уязвимость strongSwan. Несколько проблем безопасности были исправлены в strongSwan. CVE-2021-41991.
• USN-5111-1: уязвимости strongSwan . Несколько проблем безопасности были исправлены в strongSwan. CVE-2021-41991, CVE-2021-41990.
• USN-5092-3: регрессия ядра Linux (Azure). В USN-5092-2 появилась регрессия в ядре Linux для облачных систем Microsoft Azure.
• USN-5110-1: уязвимость Ardour. Ardour можно было заставить аварийно завершить работу или, возможно, выполнить произвольный код, если он получал специально созданный XML-файл. CVE-2020-22617.
• USN-5109-1: уязвимость nginx. Проблема безопасности была исправлена в nginx. CVE-2017-20005.
• USN-5091-3: регрессия ядра Linux (Azure). В USN-5091-1 появилась регрессия в ядре Linux для облачных систем Microsoft Azure.
• USN-5078-3: уязвимость Squashfs-Tools. Squashfs-Tools мог быть использован для перезаписи файлов. CVE-2021-41072.
• USN-5108-1: уязвимость libntlm. libntlm можно было заставить аварийно завершить работу или, возможно, выполнить произвольный код. CVE-2019-17455.
• USN-5022-3: уязвимости MySQL . Несколько проблем безопасности были исправлены в MySQL. CVE-2021-2179, CVE-2021-2162, CVE-2021-2389 и еще 13.
• USN-5107-1: уязвимости Firefox. Открытие вредоносного сайта могло привести к аварийному завершению работы Firefox или запуску программ под вашим логином. CVE-2021-38497, CVE-2021-32810, CVE-2021-38501 и еще 4.
• USN-5106-1: уязвимости ядра Linux (OEM) . В ядре Linux было исправлено несколько проблем безопасности. CVE-2021-22543, CVE-2021-38160, CVE-2021-41073 и еще 3.
• USN-5105-1: уязвимость Bottle . Bottle можно было использовать для кэширования вредоносных запросов, если он получал специально созданный набор входных данных. CVE-2020-28473.
• USN-5104-1: уязвимость Squid. Squid можно было заставить аварийно завершить работу или передать конфиденциальную информацию по сети. CVE-2021-28116.
• USN-5103-1: уязвимость docker.io. Docker можно было заставить изменить разрешения для файлов. CVE-2021-41089.
• USN-5102-1: уязвимости Mercurial. Несколько проблем безопасности были исправлены в Mercurial. CVE-2019-3902, CVE-2018-17983.
• USN-5101-1: уязвимость MongoDB. MongoDB можно было заставить аварийно завершить работу, передав специально сформированный сетевой трафик. CVE-2019-20925.
• USN-5100-1: уязвимость containerd. containerd мог разрешать непреднамеренный доступ к файлам. CVE-2021-41103.
• USN-5099-1: уязвимость Imlib2 . Imlib2 можно было заставить отказывать в обслуживании и, возможно, выполнять произвольный код. CVE-2020-12761.
• USN-4973-2: уязвимость Python. Python разрешал непреднамеренный доступ к сетевым службам. CVE-2021-29921.