Сторонние обновления — Сентябрь 2021

По данным на конец сентября, было обнаружено почти в два раза больше эксплойтов нулевого дня, чем за весь 2020 год, и таких показателей до этого не наблюдалось ни разу. В новостях за сентябрь электронный журнал ZDNet сообщил о появлении новой международной APT-группы , известной как FamousSparrow, однако эксперты считают, что она участвовала в различных кибератаках по всему миру как минимум с 2019 года. Между тем, в связи с изменениями в организации рабочих процессов, вызванными антиковидными ограничениями, злоумышленники продолжают разрабатывать эксплойты, нацеленные на удаленных сотрудников.

Теперь предлагаем вам ознакомиться с рядом исправлений, выпущенных другими производителями программного обеспечения в сентябре.

Apple

Сентябрь выдался особенно насыщенным для Apple в плане выпуска исправлений. Всего было выпущено 14 исправлений для операционных систем, пять из которых были выпущены 13 сентября, а шесть — 20 сентября.

• Обновление безопасности 2021-006 Catalina для macOS Catalina — устраняет одну уязвимость, связанную с путаницей типов данных.
• IOS 12.5.5 для устройств iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 и IPod Touch (6-го поколения) — устраняет две уязвимости: упомянутую выше уязвимость, связанную с путаницей типов данных, и проблему, связанную с обращением к освобожденной области памяти, которая может вести к выполнению произвольного кода.
• iTunes 12.12 для Windows 10 и более поздних версий — устраняет уязвимость в ImageIO, которая может привести к выполнению произвольного кода и ряду проблем с повреждением данных в памяти.
• Safari 15 для macOS Big Sur и macOS Catalina — устраняет четыре уязвимости, связанные с повреждением данных в памяти компонента WebKit, которые могут вести к выполнению произвольного кода.
• Xcode 13 для macOS Big Sur 11.3 и более поздних версий — устраняет восемь проблем в nginx.
• tvOS 15 для Apple TV 4К и Apple TV HD — устраняет 14 уязвимостей в различных компонентах ОС, включая Accessory Manager, FontParser, ImageIO, kernel, libexpat, Preferences, sandbox, WebKit и Wi-Fi. Уязвимости включают проблемы, связанные с повреждением данных в памяти, доступом, логикой и авторизацией. Некоторые из них могут вести к выполнению произвольного кода.
• watchOS 8 для часов Apple Watch Series 3 и более поздних версий — устраняет 15 уязвимостей, большая часть из которых исправлена в tvOS 15, как указано выше.
• IOS 15 и iPadOS 15 для iPhone 6s и более поздних версий, iPad Pro (все модели), iPad Air 2 и более поздних моделей, iPad 5-го поколения и более поздних версий, iPad mini 4 и более поздних версий и IPod Touch (7-го поколения) — устраняет 22 уязвимости, большая часть из которых исправлена в tvOS 15, как указано выше, а также проблемы, связанные с компонентами Siri, Model I/O и Telephony.
• iTunes U 3.8.3 для ОС IOS 12.4 и более поздних версий или iPadOS 12.4 и более поздних версий — устранена одна проблема, связанная с проверкой в программе iTunes U.
• Safari 14.1.2 для macOS Catalina и macOS Mojave — устраняет проблему, связанную с обращением к освобожденной области памяти в WebKit.
• Обновление безопасности 2021-005 Catalina для macOS Catalina — устраняет 22 уязвимости в различных компонентах ОС, включая многочисленные проблемы в CUPS и несколько проблем в ядре ОС.
• macOS Big Sur 11.6 для macOS Big Sur — устраняет 21 уязвимость в различных компонентах ОС, большинство из которых аналогичны уязвимостям в Catalina, как описано выше.
• watchOS 7.6.2 для часов Apple Watch Series 3 и более поздних версий устранена одна проблема, связанная с переполнением целочисленных значений, которая может вести к выполнению произвольного кода.
• IOS 14.8 и iPadOS 14.8 для iPhone 6s и более поздних версий, iPad Pro (все модели), iPad Air 2 и более поздних моделей, iPad 5-го поколения и более поздних версий, iPad mini 4 и более поздних версий, а также IPod Touch (7-го поколения) — устраняет 13 уязвимостей в различных компонентах ОС, включая две проблемы в ядре ОС и несколько проблем в WebKit.

Для получения дополнительной информации о текущих и предыдущих исправлениях и уязвимостях, которые они устраняют, посетите веб-сайт службы поддержки Apple.

Adobe

В этом месяце компания Adobe выпустила даже больше обновлений, чем Apple — в общей сложности 15 исправлений в широком спектре продуктов компании. Наибольшее количество исправлений уязвимостей получили самые распространенные продукты, Acrobat и Reader. Ниже перечислены продукты, которые получили обновления.

14 сентября компания Adobe выпустила следующие исправления:

• APSB21-85 Обновление безопасности для Adobe XMP Toolkit SDK. Устранена одна важная уязвимость, связанная с чтением данных вне границ выделенной памяти.
• APSB21-84 Обновление системы безопасности для Adobe Photoshop. Устранена одна критическая уязвимость, связанная с переполнением буфера.
• APSB21-82 Обновление системы безопасности для Adobe Experience Manager. Устраняет одну критическую уязвимость межсайтового скриптинга и три важные уязвимости, связанные с некорректной валидацией входных данных, некорректной валидацией сертификатов и межсайтовым скриптингом.
• APSB21-81 Обновление системы безопасности для службы Adobe Genuine. Устранена одна важная уязвимость, связанная с повышением привилегий.
• APSB21-80 Обновление системы безопасности для Adobe Digital Editions. Устранены две критические уязвимости, одна из которых может вести к произвольной записи в файловую систему, другая — к выполнению произвольного кода, а также одна важная уязвимость, связанная с повышением привилегий.
• APSB21-78 Обновление системы безопасности для Adobe Premiere Elements. Устраняет две критические уязвимости, связанные с выполнением произвольного кода, и одну важную уязвимость.
• APSB21-77 Обновление системы безопасности для Adobe Photoshop Elements. Устранена одна критическая уязвимость, связанная с записью за границами выделенной области памяти, которая может привести к выполнению произвольного кода.
• APSB21-76 Обновление безопасности для приложений AdobeCreative Cloud для настольных ПК. Устранена одна критическая уязвимость, связанная с записью в произвольную файловую систему.
• APSB21-75 Обновление системы безопасности для Adobe CoolFusion. Устранены две критические уязвимости, связанные с обходом функций безопасности.
• APSB21-74 Обновление системы безопасности для Adobe Framemaker. Устраняет семь уязвимостей, включая три критические проблемы, связанные с выполнением произвольного кода; три проблемы, связанные с чтением произвольных файлов (важные или умеренные); и одну важную уязвимость, связанную с повышением привилегий.
• APSB21-73 Обновление системы безопасности для Adobe InDesign. Устраняет три критические уязвимости, связанные с выполнением произвольного кода.
• APSB21-72 Обновление безопасности для Adobe SVG-Native-Viewer. Устранена одна критическая уязвимость, связанная с выполнением произвольного кода.
• APSB21-71 Обновление системы безопасности для Adobe InCopy. Устранены две критические уязвимости, связанные с произвольной записью в файловую систему.
• APSB21-67 Обновление системы безопасности для Adobe Premiere Pro. Устранена одна критическая уязвимость, связанная с выполнением произвольного кода.
• APSB21-55 Обновление безопасности для Adobe Acrobat и Reader. Устраняет 15 уязвимостей, включая семь критических уязвимостей, связанных с выполнением произвольного кода, утечкой памяти и отказом в обслуживании приложений. Также устранены две умеренные уязвимости, связанные с чтением произвольных файлов и шесть важных проблем, связанных с выполнением произвольного кода, отказом в обслуживании приложений и утечкой памяти.

Для получения дополнительной информацию см. бюллетень по безопасности Adobe.

Google

Chrome OS

Последнее стабильное обновление для Chrome OS было выпущено 29 сентября (версия 93.0.4577.95). Это обновление включает исправления ошибок и обновления безопасности.

Веб-браузер Chrome

30 сентября Google объявила о выпуске последнего стабильного обновления для настольной версии браузера Chrome для Windows, Mac и Linux. Это обновление включает четыре исправления проблем безопасности:

• CVE-2021-37974: обращение к освобожденной области памяти в службе Safe Browsing (высокая степень опасности);
• CVE-2021-37975: обращение к освобожденной области памяти в движке V8 (высокая степень опасности);
• CVE-2021-37976: утечка информации в ядре ОС (средняя степень опасности);
• различные исправления по результатам внутренних проверок, фаззинга и других инициатив.

Google известны случаи эксплуатации уязвимостей CVE-2021-37975 и CVE-2021-37976.

Для получения дополнительной информации см. блог Google.

Android OS

Обновление для системы безопасности от 01.09.2021 устраняет проблемы в нескольких компонентах среды, включая семь в Framework, две в Media Framework, семь в System и еще одну — в Google Play. К наиболее серьезным относятся уязвимость типа «отказ в обслуживании» в компоненте Framework, проблема обхода безопасности в Media Framework, которая может быть использована локальным вредоносным приложением, а также уязвимость в System, которая позволяет обойти требования к взаимодействию с пользователем для получения доступа к дополнительным разрешениям.

Более подробная информация представлена на сайте Google.

Oracle

Oracle, как правило, выпускает критические обновления ежеквартально — в январе, апреле, июле и октябре. Последнее обновление было выпущено 20 июля. Следующее критическое обновление будет выпущено 19 октября. Узнать больше о текущем обновлении можно на сайте Oracle.

Mozilla FireFox

7 сентября компания Mozilla выпустила исправления уязвимостей в следующих продуктах:

• Thunderbird 78.14
• Thunderbird 91.1
• Firefox ESR 91.1
• Firefox ESR 78.14
• Firefox 92

Уязвимости, исправленные в Firefox 92, включают:

• CVE-2021-29993: перенаправление намерений может вести к сбоям и подделке пользовательского интерфейса (высокая степень опасности). В браузере Firefox для Android разрешена навигация по протоколу intent://, что может вести к сбоям и подделке пользовательского интерфейса.
• CVE-2021-38491: процесс блокировки смешанного содержимого не смог выполнить проверку непрозрачного происхождения (умеренная степень опасности). Проверка блокировки смешанного содержимого не позволила проанализировать непрозрачное происхождение, что привело к загрузке смешанного содержимого.
• CVE-2021-38492: при переходе к схеме URL mk: возможна загрузка Internet Explorer (умеренная степень опасности). При делегировании навигации операционной системе, Firefox принимает схему mk, которая может позволить злоумышленникам запускать страницы и выполнять скрипты в Internet Explorer в обычном пользовательском режиме.
  Данная ошибка встречается только в Firefox для Windows. Она не распространяется на другие операционные системы.
• CVE-2021-38493: исправление ошибок безопасности в Firefox 92, Firefox ESR 78.14 и Firefox ESR 91.1 (высокая степень опасности). Разработчики Mozilla Габриэле Свельто и Тайсон Смит сообщили об ошибках безопасности памяти, присутствующих в Firefox 91 и Firefox ESR 78.13. Некоторые из этих ошибок свидетельствовали о повреждении данных в памяти, и, предположительно, при должных усилиях некоторые из них могли быть использованы для запуска произвольного кода.
• CVE-2021-38494: исправление ошибок безопасности в Firefox 92 (высокая степень опасности). ​Разработчики Mozilla Кристиан Холлер и Ларс Т. Хансен сообщили об ошибках безопасности памяти, присутствующих в Firefox 91. Некоторые из этих ошибок свидетельствовали о повреждении данных в памяти, и, предположительно, при должных усилиях некоторые из них могли быть использованы для запуска произвольного кода.
• CVE-2021-29991: возможность разделения заголовков при ответах HTTP/3. Firefox некорректно принимал новую строку в заголовке HTTP/3, интерпретируя ее как два отдельных заголовка. Это позволило бы провести атаку с разделением заголовка на серверы, использующие HTTP/3.

Linux

Как обычно, в этом месяце вышли очередные рекомендации по безопасности и обновления популярных дистрибутивов Linux. В мае Ubuntu выпустила 56 рекомендаций по безопасности (для сравнения — в августе было выпущено 27 рекомендаций). Некоторые из этих рекомендаций устраняют сразу несколько уязвимостей. В некоторых случаях одна и та же уязвимость встречается в нескольких рекомендациях, относящихся к разным версиям ОС. Аналогичное количество обновлений выпустили другие поставщики коммерческих продуктов Linux.

Многие из исправлений в этом месяце касаются уязвимостей в ядре ОС Linux.

Подробная информация об уязвимостях, перечисленных ниже, содержится здесь: Security notices | Ubuntu.

• USN-5094-2: уязвимости ядра ОС (Raspberry Pi). CVE-2021-38204, CVE-2021-38205, CVE-2021-3679 и две других.
• USN-5091-2: уязвимости ядра ОС (Raspberry Pi). CVE-2021-3679, CVE-2021-38160, CVE-2021-33624 и две других.
• USN-5096-1: уязвимости ядра ОС (OEM).CVE-2021-38204, CVE-2021-3679, CVE-2021-34556 и 13 других.
• USN-5095-1: уязвимость Apache Commons IO. При получении специально созданных данных Apache Commons IO может привести к раскрытию конфиденциальной информации. CVE-2021-29425.
• USN-5092-2: уязвимости ядра ОС. CVE-2021-41073, CVE-2021-38160, CVE-2021-35477 и девять других.
• USN-5094-1: уязвимости ядра ОС.CVE-2021-3732, CVE-2021-3679, CVE-2021-37576 и три других.
• USN-5090-4: регрессия сервера Apache HTTP. В USN-5090-1 введена регрессия в сервере Apache HTTP.
• USN-5090-3: регрессия сервера Apache HTTP. В USN-5090-1 введена регрессия в сервере Apache HTTP.
• USN-5093-1: уязвимости Vim.CVE-2021-3796, CVE-2021-3778, CVE-2021-3770.
• USN-5092-1: уязвимости ядра ОС.CVE-2021-41073, CVE-2021-37576, CVE-2021-38204 и девять других.
• USN-5091-1: уязвимости ядра ОС.CVE-2021-38160, CVE-2021-3679, CVE-2021-38199 и три других.
• USN-5090-2: уязвимости сервера Apache HTTP. CVE-2021-39275, CVE-2021-40438, CVE-2021-34798
• USN-5090-1: уязвимости сервера Apache HTTP. CVE-2021-34798, CVE-2021-33193, CVE-2021-40438 и две других.
• USN-5089-2: обновление CA-сертификатов. Сертификат, срок действия которого истекает, был удален из CA-сертификатов.
• USN-5089-1: обновление CA-сертификатов. Сертификат, срок действия которого истекает, был удален из CA-сертификатов.
• USN-5088-1: уязвимости EDK II .CVE-2019-11098, CVE-2021-3712, CVE-2021-23840 и одна другая.
• USN-5087-1: уязвимости WebKitGTK. В WebKitGTK исправлено несколько проблем безопасности, включая CVE-2021-30858.
• USN-5086-1: уязвимость ядра Linux. Система IBM s390x может дать сбой или запустить программы от имени администратора.
• USN-5085-1: Уязвимость синтаксического анализа SQL. При получении специально созданного регулярного выражения может быть выполнен синтаксический анализ кода. Исправлена ошибка CVE-2021-32839.
• USN-5071-3: уязвимости ядра ОС (Raspberry Pi).CVE-2021-3612, CVE-2021-22543.
• USN-5073-3: уязвимости ядра ОС (Raspberry Pi).CVE-2021-38160, CVE-2021-34693, CVE-2021-3612. В USN-5079-2 введена регрессия в локализации.
• USN-5084-1: Уязвимость в LibTIFF. При открытии специально созданного файла может произойти сбой или запуск программы. Исправлена ошибка CVE-2020-19143.
• USN-5079-3: уязвимости в локализации. В USN-5079-1 введена регрессия в локализации.
• USN-5073-2: уязвимости ядра ОС (GCP).CVE-2021-38160, CVE-2021-3656, CVE-2021-3653 и две других.
• USN-5083-1: уязвимости в Python. Исправлено несколько проблем безопасности. Устранены уязвимости: CVE-2021-3733, CVE-2021-3737.
• USN-5071-2: уязвимости ядра ОС (HWE).CVE-2021-3656, CVE-2021-3612, CVE-2021-3653 и две других.
• USN-5082-1: уязвимости ядра ОС (OEM).CVE-2021-3653, CVE-2021-3656, CVE-2021-3609.
• USN-5081-1: Уязвимости в Qt. Исправлено несколько проблем безопасности в Qt. Устранены уязвимости: CVE-2021-38593, CVE-2020-17507.
• USN-5080-2: Уязвимости в Libgcrypt. Libgcrypt может использоваться для раскрытия конфиденциальной информации. Устранены уязвимости: CVE-2021-33560, CVE-2021-40528.
• USN-5080-1: Уязвимости в Libgcrypt. Libgcrypt может использоваться для раскрытия конфиденциальной информации. Устранены уязвимости: CVE-2021-33560, CVE-2021-40528.
• USN-5078-2: уязвимости в Squashfs-Tools. Squashfs-Tools может быть использован для перезаписи файлов. Устранены уязвимости: CVE-2021-40153, CVE-2021-41072.
• USN-5079-2: уязвимости в curl. исправлено несколько проблем безопасности в curl. Устранены уязвимости: CVE-2021-22946, CVE-2021-22947.
• USN-5079-1: уязвимости в curl. исправлено несколько проблем безопасности в curl. Устранены уязвимости: CVE-2021-22947, CVE-2021-22945, CVE-2021-22946.
• USN-5078-1: уязвимость Squashfs-Tools. Squashfs-Tools может быть использован для перезаписи файлов. Устранены уязвимости: CVE-2021-41072.
• USN-5077-2: уязвимости Apport. исправлено несколько проблем безопасности в Apport. Устранены уязвимости: CVE-2021-3709, CVE-2021-3710.
• USN-5077-1: уязвимости Apport. Исправлено несколько проблем безопасности в Apport. Устранены уязвимости: CVE-2021-3710, CVE-2021-3709.
• USN-5076-1: Уязвимость Git. Некорректная передача определенных путей к хранилищу в Git. Устранены уязвимости: CVE-2021-40330.
• LSN-0081-1: предупреждение о безопасности Kernel Live Patch Security Notice.CVE-2021-3653, CVE-2021-22555, CVE-2021-3656 и еще одна.
• USN-5075-1: Уязвимость Ghostscript. при открытии специально созданного файла может произойти сбой, доступ к файлам или запуск программы. Устранена уязвимость: CVE-2021-3781.
• USN-5074-1: уязвимости в Firefox. Firefox мог дать сбой или запустить программы под вашей учетной записью, если он открыл вредоносный веб-сайт. Устранены уязвимости: CVE-2021-38493, CVE-2021-38494, CVE-2021-38491.
• USN-5073-1: уязвимости ядра Linux.CVE-2021-3612, CVE-2021-34693, CVE-2021-38160 и две других.
• USN-5072-1: уязвимости ядра Linux.CVE-2021-3656, CVE-2021-3653.
• USN-5071-1: уязвимости ядра Linux.CVE-2020-36311, CVE-2021-22543, CVE-2021-3653 и еще две.
• USN-5070-1: уязвимости ядра Linux.CVE-2021-3612, CVE-2021-38198, CVE-2021-22543 и семь других.
• USN-5069-2: уязвимость mod-auth-mellon.mod-auth-mellon может быть перенаправлен на произвольные сайты. Устранена уязвимость: CVE-2021-3639.
• USN-5066-2: уязвимость PySAML2. PySAML2 может принимать недействительные документы SAML. Устранена уязвимость: CVE-2021-21239.
• USN-5068-1: уязвимости библиотеки GD. Исправлено несколько проблем безопасности в библиотеке GD. Устранены уязвимости: CVE-2021-40145, CVE-2021-38115, CVE-2017-6363.
• USN-5069-1: уязвимость mod-auth-mellon. mod-auth-mellon может быть перенаправлен на произвольные сайты. Устранена уязвимость: CVE-2021-3639.
• USN-5067-1: уязвимости SSSD. Исправлено несколько проблем с безопасностью в sssd. Устранены уязвимости: CVE-2021-3621, CVE-2018-10852, CVE-2019-3811 и одна другая
• USN-5066-1: уязвимость PySAML2. PySAML2 можно заставить принимать недействительные документы SAML. Устранена уязвимость: CVE-2021-21239.
• USN-5065-1: уязвимость Open vSwitch. Open vSwitch можно заставить аварийно завершить работу или запустить программы с помощью специально созданного сетевого трафика. Устранена уязвимость: CVE-2021-36980.
• USN-5064-1: Уязвимость GNU cpio. При открытии специально созданного файла может произойти сбой или запуск программы. Устранена уязвимость: CVE-2021-38185.
• USN-5063-1: уязвимости HAProxy. HAProxy может использоваться для раскрытия конфиденциальной информации по сети. Устранена уязвимость: CVE-2021-40346.
• USN-5062-1: уязвимость ядра Linux.Система может дать сбой или запустить программы от имени администратора. Устранена уязвимость: CVE-2021-3653.
• USN-5051-4: регрессия OpenSSL. USN-5051-2 введена регрессия в OpenSSL.