Обзор сторонних исправлений — декабрь 2019 г.

Автор: Дебра Литлджон Шиндер (Debra Littlejohn Shinder), 6 января 2020 г.

Декабрь — месяц волшебства не только для детей, но и для взрослых. Это начало зимы, когда во многих местах (обычно не здесь в центральной части северного Техаса) окружающий пейзаж покрыт мягким, белым снегом, а обычные дома и деревья принимают первозданный, таинственный вид. Это время праздников со сладостями, трудолюбивыми эльфами и летающими оленями.

Это время, когда (давайте признаем это) многие немного расслабляются на работе, налегают на эгг-ног (рождественский напиток на основе яиц, молока и алкоголя), проводят время за чтением книг и просмотром фильмов, закутавшись в теплый плед — если только не мечутся по магазинам в поисках подарков.

Однако даже в это время хакеры и злоумышленники не оставляют попыток проникнуть в наши сети или нарушить их работу, чтобы украсть данные и потребовать выкуп. Поэтому мы, ИТ-специалисты, не должны расслабляться в этот месяц.

Вот лишь несколько инцидентов, которые произошли в сфере кибербезопасности за последний месяц 2019 года. Поставщик умных устройств и камер наблюдения Wyze Labs пострадал от утечки данных, содержащих сведения о почти двух с половиной миллионах пользователей. Бухгалтерская фирма Moss Adams объявила о том, что злоумышленники получили доступ к неустановленному числу документов сотрудников и клиентов, содержащих номера социального страхования. Телемаркетинговая компания Heritage Company приостановила деятельность из-за атаки вируса-вымогателя.

Известно, что применение последних обновлений для системы безопасности — одно из основных средств защиты против взломов и атак. Однако это может быть непросто, учитывая большое количество поставщиков ПО на рынке, которые пытаются вовремя устранить уязвимости, обнаруженные в своих продуктах. Они также не знают отдыха в декабре и пытаются устранить уязвимости, которые хакеры могут использовать, чтобы испортить праздники компаниям и людям.

Давайте посмотрим, какие исправления вышли в прошлом месяце.

Apple

В ноябре Apple выпустила только два обновления. Следовательно, декабрь должен был стать для компании месяцем исправлений. Так и получилось. Сразу восемь исправлений вышли 10-го декабря. На следующий день появились еще три. Среди них:

• iCloud для Windows 10.9 для Windows 10 и более поздних версий (доступен через магазин Microsoft Store);
• iCloud для Windows 7.16 (содержит AAS 8.2) для Windows 7 и более поздних версий ;
• iTunes 12.10.3 для Windows для Windows 7 и более поздних версий ;
• Xcode 11.3 для macOS Mojave 10.14.4 и более поздних версий;
• watchOS 5.3.4 для Apple Watch Series 1, Apple Watch Series 2, Apple Watch Series 3 и Apple Watch Series 4 присопряжениисустройствамиподуправлением iOS 12;
• watchOS 6.1.1 для Apple Watch Series 1 и более поздних версий;
• tvOS 13.3 для Apple TV 4K и Apple TV HD;
• macOS Catalina 10.15.2, обновление** системы **безопасности 2019-002 Mojave и** обновление системы безопасности ** 2019-007 для High Sierra macOS Catalina 10.15, macOS Mojave 10.14.6, macOS High Sierra 10.13.6;
• Safari 13.0.4 для macOS Mojave и macOS High Sierra, такжевключенов macOS Catalina;
• iOS 12.4.4 для iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 и iPod touch 6-гопоколения;
• iOS 13.3 и iPadOS 13.3 для iPhone 6s, iPad Air 2, iPad mini 4 и более поздних моделей и iPod touch 7-го поколения.

Обновления системы безопасности iCloud и iTunes для Windows устраняют пять уязвимостей, связанных с получением повышенных привилегий, разглашением информации, рядом проблем с повреждением памяти и ее использованием после освобождения. Самые серьезные из этих проблем очень опасны, поскольку могут вести к выполнению произвольного кода.

Обновление для XCode устраняет проблему чтения за границами выделенной области памяти, которая может вести к выполнению произвольного кода.

Обновление безопасности для watchOS 6.11 устраняет десять отдельных уязвимостей внутри нескольких компонентов OS, в том числе связанных с повреждением памяти (три из них внутри ядра), что может вести к выполнению произвольного кода, проблемы с раскрытием данных пользователя, уязвимости в FaceTime, связанной с возможностью удаленного выполнения кода, проблемы возможного получения повышенных привилегий в CFNetwork Proxies и уязвимости в CallKit Siri.

Обновления для tvOS устраняют те же уязвимости, что и обновления для watchOS.

Самое крупное обновление вышло для macOS Catalina, Mojave и High Sierra. Оно устраняет 52 уязвимости, большинство из которых находятся внутри компонента tcpdump. Большое количество этих уязвимостей ведет к выполнению произвольного кода. Получение повышенных привилегий или доступа к защищенным файлам или памяти также указаны как возможные варианты воздействия.

Обновление для Safari устраняет три уязвимости внутри компонента WebKit, которые злоумышленники могут использовать для выполнения произвольного кода.

Два обновления для iOS устраняют 15пятнадцать уязвимостей в CallKit, FaceTime, WebKit, ядре ОС и других ее компонентах. Наиболее серьезные из этих уязвимостей связаны с выполнением произвольного кода.

Дополнительную информацию о текущих и прошлых пакетах исправлений, а также о том, какие уязвимости ими устранены, можно найти на сайте поддержки Apple: https://support.apple.com/en-us/HT201222.

Adobe

В этом месяце компания Adobe выпустила четыре обновления, ровно столько же, сколько в октябре и ноябре. Все они были стандартно представлены во вторник — «день исправлений», 10-го декабря.

• Обновление системы безопасности APSB19-58 для Adobe ColdFusion — устраняет одну уязвимость на всех платформах, которая могла привести к повышению уровня полномочий. Это важное обновление с рейтингом приоритета, равным 2.
• Обновление системы безопасности APSB19-57 для Brackets — обновление для Brackets на Windows, macOS и Linux устраняет уязвимость, связанную с выполнением произвольного кода . Рейтинг ее приоритета равен 3.
• Обновление системы безопасности APSB19-56 для Adobe Photoshop CC — обновление предназначено для редактора Photoshop CC, работающего под Windows и macOS. Оно устраняет многочисленные уязвимости, связанные с повреждением памяти, которые злоумышленники могли использовать для выполнения произвольного кода. Это обновление имеет рейтинг приоритета, равный 3.
• APSB19-55 — обновление системы безопасности для Adobe Acrobat и Reader — обновление предназначено для Acrobat и Reader, работающих под управлением Windows и macOS. Оно устраняет 21 уязвимость, 14 из которых имеют статус критических, а семь —имеют статус важных. Среди них уязвимости, связанные с чтением и записью за границами выделенной области памяти, использованием памяти после освобождения, переполнением кучи, несанкционированным разыменованием указателя, внедрением двоичного кода, ошибкой буфера и возможностью обхода системы безопасности. Злоумышленники могли использовать самые серьезные из этих уязвимостей для выполнения произвольного кода. На обеих платформах обновление имеет рейтинг приоритета, равный 2.

Дополнительную информацию можно найти в обзоре бюллетеня по безопасности:
https://helpx.adobe.com/security.html

Google

Google выпустила последнее обновление для стабильного канала Chrome OS 18 декабря (v. 79.0.3945.86 — версия платформы: 12607.58.0). Оно содержит новые функции, исправления ошибок и обновления системы безопасности.

Последнее обновление для стабильного канала браузера Chrome для настольных компьютеров под управлением Windows, Mac и Linux вышло 17 декабря. Это версия v.79.0.3945.88. Она содержит одно исправление безопасности для серьезной уязвимости в средстве выбора мультимедиа, связанной с использованием памяти после освобождения.

Дополнительную информацию см. на сайте https://chromereleases.googleblog.com/.

Android

Декабрьское обновление безопасности для операционной системы Android устраняет 20двадцать уязвимостей в ее фреймворке, мультимедиа-фреймворке, магазине Google Play и ядре. Также компания выпустила исправления для уязвимостей в компонентах Qualcomm. Шесть уязвимостей имели статус критических. Наиболее опасные из них были связаны с удаленным выполнением кода и отказом в обслуживании.

Дополнительную информацию об уязвимостях, устраненных с помощью обновлений Android, можно найти здесь: https://source.android.com/security/bulletin/2019-12-01.

Oracle

Oracle, как правило, выпускает обновления безопасности раз в квартал — в январе, апреле, июле и октябре. Выпуск следующего обновления запланирован на 14-е января 2020 г.

Клиенты Oracle могут получить дополнительную информацию о выпущенных обновлениях в кратком обзоре на сайте службы поддержки Oracle: https://login.oracle.com/mysso/signon.jsp.

Mozilla

Mozilla выпустила исправления для 11 уязвимостей в Firefox 71 3-го декабря. Семь из них имеют статус высокой степени серьезности. Ни одна из них не является критической. Исправления включают в себя:

• CVE-2019-11756: Некорректное использование памяти после освобождения, связанное с объектом SFTKSession — неправильный подсчет ссылок на сеансовые объекты, связанные с программными маркерами, могло приводить к несанкционированному использованию памяти после освобождения и сбою (как правило, ограниченному отказом в обслуживании).
• CVE-2019-17008: Некорректное использование памяти после освобождения при уничтожении рабочего процесса — при использовании вложенных рабочих процессов, несанкционированное использование памяти после освобождения могло происходить при уничтожении такого процесса. Это приводило к аварийному завершению работы браузера, которым могли воспользоваться злоумышленники.
• CVE-2019-13722: Повреждение стека из-за неправильного количества аргументов в коде WebRTC — во время присвоения имени потоку WebRTC в Windows можно задать некорректное число аргументов, что приведет к повреждению стека и аварийному завершению работы браузера, которым могут воспользоваться злоумышленники. Эта проблема возникает только в Windows и не распространяется на другие операционные системы.
• CVE-2019-11745: Запись за границами выделенной области памяти в пакетах NSS при блочном шифровании — если при блочном шифровании вызов NSC_EncryptUpdate был сделан с использованием данных меньшего размера, чем размер блока, могла произойти запись за границами выделенной области памяти. Это могло приводить к повреждению кучи и аварийному завершению работы браузера, которым могли воспользоваться злоумышленники.
• CVE-2019-17014: Перетаскивание ресурсов из разных источников, неправильно загруженных в качестве изображений, может стать причиной раскрытия информации — если изображение не было загружено правильно (например, если оно фактически не является изображением), его можно перетащить из одной области в другую, что приведет к утечке информации.
• CVE-2019-17009: Временные файлы службы обновления становятся доступны непривилегированным процессам — при запуске служба обновления может записать файлы состояний и журнала в незащищенный каталог. В результате непривилегированный процесс может найти и использовать уязвимость в обработке файлов службой обновления. Эти атаки требуют локального доступа к системе и затрагивают только Windows. Они не распространяются на другие операционные системы.
• CVE-2019-17010: Некорректное использование памяти после освобождения во время проверки ориентации устройства — при определенных условиях во время просмотра параметров расширения Resist Fingerprinting в ходе проверки ориентации устройства, состояние гонки может вызвать некорректное использование памяти после освобождения и аварийное завершение работы браузера, которым могут воспользоваться злоумышленники.
• CVE-2019-17005: Переполнение буфера в преобразователе в простой текст — преобразователь в простой текст использует массив фиксированного размера для определенного количества элементов, которые он может обработать. Однако этот массив фиксированного размера может переполняться, что ведет к повреждению памяти и аварийному завершению работы браузера, которым могут воспользоваться злоумышленники.
• CVE-2019-17011: Некорректное использование памяти после освобождения при получении документа в режиме защиты от слежения — при определенных условиях во время получения документа из DocShell с использованием кода против слежения, состояние гонки может вызвать некорректное использование памяти после освобождения и аварийное завершение работы браузера, которым могут воспользоваться злоумышленники.
• CVE-2019-17012: Ошибки, связанные с безопасностью памяти, устраненные в Firefox 71 и Firefox ESR 68.3 — разработчики Mozilla Кристоф Диль (Christoph Diehl), Натан Фройд (Nathan Froyd), Джейсон Кратцер (Jason Kratzer), Кристиан Холлер (Christian Holler), Карл Томлинсон (Karl Tomlinson) и Тайсон Смит (Tyson Smith) выявили ошибки, связанные с безопасностью памяти в Firefox 70 и Firefox ESR 68.2. Некоторые из этих ошибок свидетельствовали о повреждении памяти, и мы предполагаем, что при достаточных усилиях некоторые из них могли быть использованы для выполнения произвольного кода.
• CVE-2019-17013: Ошибки, связанные с безопасностью памяти, устраненные в Firefox 71 — разработчики Mozilla Филип (Philipp), Диего Кайеха (Diego Calleja), Михаил Гаврилов (Mikhail Gavrilov), Джейсон Кратцер (Jason Kratzer), Кристиан Холлер (Christian Holler), Маркус Стейндж (Markus Stange) и Тайсон Смит (Tyson Smith) выявили ошибки, связанные с безопасностью памяти в Firefox 70. Некоторые из этих ошибок свидетельствовали о повреждении памяти, и мы предполагаем, что при достаточных усилиях некоторые из них могли быть использованы для выполнения произвольного кода.

Дополнительную информацию об этих и других уязвимостях, исправленных Mozilla, можно найти здесь: https://www.mozilla.org/en-US/security/advisories/.

Linux

Как обычно, в этом месяце вышли очередные рекомендации по безопасности и обновления популярных дистрибутивов Linux. С момента прошлого обзора и до 31 октября разработчики Ubuntu выпустили 29 инструкций по безопасности (меньше, чем обычно). Некоторые из этих инструкций решают целый ряд уязвимостей. В других случаях для устранения одной и той же уязвимости выпущено несколько инструкций по безопасности. Аналогичное количество обновлений выпустили другие поставщики коммерческих продуктов Linux.

• USN-4224-1: Уязвимость в Django — Саймон Шарет (Simon Charette) обнаружил, что функция сброса пароля в Django использовала нечувствительный к регистру запрос, закодированный с помощью юникода, чтобы получать данные учетных записей, привязанных к адресам электронной почты. Злоумышленник мог использовать эту уязвимость, чтобы получить токены для сброса пароля и кражи учетной записи.
• USN-4223-1: Уязвимости в OpenJDK — Ян Янкар (Jan Jancar), Петр Свенда (Petr Svenda) и Владимир Седлачек (Vladimir Sedlacek) обнаружили уязвимость к атакам по сторонним каналам в реализации ECDSA в OpenJDK. Злоумышленник мог использовать эту уязвимость для раскрытия конфиденциальной информации.
• USN-4222-1: Уязвимости GraphicsMagick — было обнаружено, что набор инструментов GraphicsMagick неправильно обрабатывал некоторые файлы изображений. Злоумышленник мог использовать эту проблему, чтобы вызвать отказ в обслуживании или любое другое недокументированное воздействие.
• USN-4216-2: Уязвимости в Firefox — в обновлении USN-4216-1 были исправлены уязвимости в Firefox. Это обновление для Ubuntu 16.04 LTS. Исходная инструкция по безопасности: В Firefox было обнаружено несколько проблем безопасности. Если бы пользователь открыл специально созданный сайт, злоумышленник мог бы использовать эти уязвимости, чтобы вызвать отказ в обслуживании.
• USN-4214-2: Уязвимость в RabbitMQ — обновление USN-4214-1 устранило уязвимости в RabbitMQ. Это обновление для Ubuntu 16.04 LTS и Ubuntu 18.04 LTS. Исходная инструкция по безопасности.: Было обнаружено, что в RabbitMQ неправильно обрабатывались некоторые входные данные. Злоумышленник мог использовать эту уязвимость для выполнения произвольного кода.
• USN-4217-2: Уязвимости в Samba — обновление USN-4217-1 устранило уязвимости в Samba. Это специальное обновление для Ubuntu 14.04 ESM. Первоначальная инструкция по безопасности: Андреас Остер (Andreas Oster) обнаружил, что сервер управления DNS Samba некорректно обрабатывал некоторые записи. Аутентифицированный злоумышленник мог использовать эту уязвимость, чтобы вызвать сбой Samba, приводящий к отказу в обслуживании.
• USN-4221-1: Уязвимость в libpcap — было обнаружено, что в некоторых случаях библиотека libpcap некорректно устанавливала подлинность заголовков PHB. Злоумышленник мог использовать эту проблему, чтобы организовать отказ в обслуживании (исчерпание памяти).
• USN-4202-2: Регрессия в Thunderbird — обновление USN-4202-1 устранило уязвимости в Thunderbird. После обновления программа Thunderbird создавала новые профили для некоторых пользователей. Это обновление исправило проблему. Приносим свои извинения за доставленные неудобства.
• USN-4220-1: Уязвимости в Git — Хоэрн Шнэевайс (Joern Schneeweisz) и Николас Джоли (Nicolas Joly) обнаружили несколько брешей в системе безопасности Git. Злоумышленник мог использовать эти уязвимости, чтобы переписывать произвольные пути, выполнять произвольный код, переписывать файлы в директории .git.
• USN-4219-1: Уязвимость libssh — было обнаружено, что библиотека libssh неправильно обрабатывала определенные команды scp. Если бы удаленные злоумышленники заставили пользователя или автоматизированную систему применить специально созданную команду scp, они могли бы выполнять произвольные команды на сервере.
• USN-4218-1: Уязвимость в GNU C Library — Якуб Вилк (Jakub Wilk) обнаружил, что библиотека GNU C Library некорректно обрабатывала некоторые случаи выравнивания данных в памяти. Злоумышленник мог использовать эту уязвимость, чтобы вызвать выполнение произвольного кода или отказ системы.
• USN-4217-1: Уязвимости в Samba — Андреас Остер (Andreas Oster) обнаружил, что сервер управления DNS Samba некорректно обрабатывал некоторые записи. Аутентифицированный злоумышленник мог использовать эту уязвимость, чтобы вызвать сбой Samba, приводящий к отказу в обслуживании.
• USN-4216-1: Уязвимости в Firefox
• В Firefox было обнаружено несколько проблем безопасности. Если злоумышленнику удавалось убедить пользователя открыть специально созданный сайт, у первого появлялась возможность организовать отказ в обслуживании, получить конфиденциальную информацию или выполнить произвольный код.
• USN-4215-1: Уязвимость в NSS — было обнаружено, что набор библиотек NSS неправильно обрабатывал определенные сертификаты. Злоумышленник мог использовать эту проблему, чтобы организовать отказ в обслуживании.
• USN-4214-1: Уязвимость в RabbitMQ — было обнаружено, что в RabbitMQ неправильно обрабатывались некоторые входные данные. Злоумышленник мог использовать эту уязвимость для выполнения произвольного кода.
• USN-4213-1: Уязвимости в Squid — Джерико Ван (Jeriko One) и Кристофер Даниэльсон (Kristoffer Danielsson) обнаружили, что Squid неправильно обрабатывал определенные запросы URN. Удаленный злоумышленник мог использовать эти уязвимости, чтобы обходить проверки доступа и серверы с ограниченным доступом. Эта уязвимость относилась только к Ubuntu 19.04 и Ubuntu 19.10.
• USN-4212-1: Уязвимость в HAProxy — Тим Дюстерхус (Tim Düsterhus) обнаружил, что HAProxy неправильно обрабатывал определенные заголовки HTTP/2. Злоумышленник мог использовать эту уязвимость для выполнения произвольного кода с помощью CRLF-инъекции.
• USN-4182-4: Регрессия микрокода Intel — USN-4182-2 содержит обновления для микрокода процессоров Intel. Была обнаружена регрессия, из-за которой некоторые процессоры Skylake зависали после перезагрузки без отключения. Это обновление меняет микрокод для этого семейства процессоров. Приносим свои извинения за доставленные неудобства.
• USN-4182-3: Регрессия микрокода Intel — USN-4182-1 содержит обновления для микрокода процессоров Intel. Была обнаружена регрессия, из-за которой некоторые процессоры Skylake зависали после перезагрузки без отключения. Это обновление меняет микрокод для этого семейства процессоров. Приносим свои извинения за доставленные неудобства.
• USN-4194-2: Уязвимость в postgresql-common — обновление USN-4194-1 исправило уязвимость в postgresql-common. Это специальное обновление для Ubuntu 14.04 ESM. Первоначальная инструкция по безопасности: Рич Мерч (Rich Mirch) обнаружил, что сценарий postgresql-common pg_ctlcluster некорректно обрабатывает операцию создания каталога. Злоумышленник мог локально использовать эту уязвимость, чтобы повысить уровень прав.
• USN-4207-1: Уязвимости GraphicsMagick — было обнаружено, что набор инструментов GraphicsMagick неправильно обрабатывал некоторые файлы изображений. Злоумышленник мог использовать эту проблему, чтобы вызвать отказ в обслуживании или любое другое недокументированное воздействие.
• USN-4211-2: Уязвимости в ядре Linux (Xenial HWE) — обновление USN-4211-1 устранило уязвимости в ядре Linux для Ubuntu 16.04 LTS. Это обновление для ядра обеспечения работы оборудования (Hardware Enablement) Linux из Ubuntu 16.04 LTS для Ubuntu 14.04 ESM. Чжипэн Се (Zhipeng Xie) обнаружил, что в планировщике процессов ядра CFS Linux можно вызвать бесконечный цикл.
• USN-4211-1: Уязвимости в ядре Linux — Чжипэн Се (Zhipeng Xie) обнаружил, что в планировщике процессов ядра CFS Linux можно вызвать бесконечный цикл. Локальный злоумышленник мог использовать эту уязвимость, чтобы вызвать отказ в обслуживании. (CVE-2018-20784) Николас Вайсман (Nicolas Waisman) обнаружил, что стек драйверов Wi-Fi в ядре Linux некорректно подтверждал правильность длин SSID.
• USN-4210-1: Уязвимости в ядре Linux — была обнаружена возможность переполнения буфера, существующая в интерфейсе конфигурации Wi-Fi 802.11 для ядра Linux при обработке настроек передатчика. Локальный злоумышленник мог использовать эту проблему, чтобы вызвать отказ в обслуживании (сбой системы) или выполнить произвольный код.
• USN-4209-1: Уязвимости в ядре Linux — Ян Хорн (Jann Horn) обнаружил, что драйверы OverlayFS и ShiftFS в ядре Linux некорректно выполняли подсчет ссылок во время операций распределения памяти, если они использовались вместе с AUFS. Локальный злоумышленник мог использовать эту проблему, чтобы вызвать отказ в обслуживании (сбой системы) или выполнить произвольный код.
• USN-4208-1: Уязвимости в ядре Linux — Ян Хорн (Jann Horn) обнаружил, что драйвера OverlayFS и ShiftFS в ядре Linux некорректно выполняли подсчет ссылок во время операций распределения памяти, если они использовались вместе с AUFS. Локальный злоумышленник мог использовать эту проблему, чтобы вызвать отказ в обслуживании (сбой системы) или выполнить произвольный код.
• USN-4206-1: Уязвимости GraphicsMagick — было обнаружено, что набор инструментов GraphicsMagick неправильно обрабатывал некоторые файлы изображений. Злоумышленник мог использовать эти уязвимости, чтобы вызвать отказ в обслуживании. (CVE-2017-10794, CVE-2017-10799, CVE-2017-11102, CVE-2017-11140, CVE-2017-11403, CVE-2017-11636, CVE-2017-11637, CVE-2017-13147, CVE-2017-14042, CVE-2017-6335)
• USN-4205-1: Уязвимости в SQLite — было обнаружено, что SQLite неправильно обрабатывал некоторые схемы. Злоумышленник мог использовать эту проблему, чтобы организовать отказ в обслуживании. Эта проблема затрагивала только Ubuntu 12.04 ESM. (CVE-2018-8740) Было обнаружено, что SQLite неправильно обрабатывал некоторые схемы. Злоумышленник мог использовать эту проблему, чтобы организовать отказ в обслуживании.