В данный момент, возможно, некоторые ИТ-отделы работают в минимальном составе. Но все больше людей имеют возможность работать из дома, так что сеть должна функционировать и сейчас. А значит, люди продолжают создавать исправления для систем и защищать их от злоумышленников, которые, к сожалению, делают свое грязное дело из самых разных уголков планеты, и наши холода им не помеха.

Безопасность Apple стала предметом обсуждения в новостях не с самой лучшей стороны. Пользователям стало известно об ошибке в приложении FaceTime, в результате которой звук и даже видео передавались вызывающему абоненту еще до того, как вызываемый абонент нажимал кнопку ответа на вызов. Компания отключила функцию, запускавшую этот сценарий.
Тем временем Министерство внутренней безопасности (DHS) выпустило в этом месяце внеочередную директиву по безопасности, предписывающую федеральным агентствам провести аудит безопасности DNS своих доменов. Директива стала результатом многочисленных атак на агентства, связанных с перехватом DNS.

Securonix предупреждает об увеличении количества многовекторных и мультиплатформенных автоматизированных атак облачной инфраструктуры, во многих из которых были совмещены майнинг криптовалют, программы-вымогатели и ботнеты. Тем временем в исследовании, проведенном в рамках сингапурского проекта Cyber Risk Management (CyRiM), сообщалось о крупной глобальной атаке программ-вымогателей, которая могла привести к потерям со стороны различных организаций в размере 193 миллиардов долларов США. В целом большинство экспертов по безопасности сходятся во мнении, что нарастание тенденции в отношении взлома и утечек данных — многие из них были организованы хакерами, использующими уязвимые места программного обеспечения — может продолжиться в 2019 году.

Давайте посмотрим, какие пакеты исправлений выпустили в этом месяце основные поставщики программного обеспечения.

Apple

Компания Apple выпустила новые версии операционных систем для своих мобильных, настольных устройств, часов и ТВ-приставок, а также новую версию интернет-браузера Safari. Кроме этого, вышли новые версии iCloud и iTunes для Windows. Среди них:

• iTunes 12.9.3 для Windows версии 7 и более поздних, выпущенная 24 января.
  Следующее программное обеспечение было выпущено 22 января:

• iCloud для Windows 7.10 и более поздних версий.

• Safari 12.0.3 для macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14.3.

• watchOS 5.1.3 для Apple Watch серии 1 и более поздних серий.

• tvOS 12.1.2 для Apple TV 4K и Apple TV четвертого поколения.

• macOS Mojave 10.14.3, обновление безопасности 2019-001 для High Sierra, macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14.2.

• iOS 12.1.3 для iPhone 5s и более поздних версий, iPad Air и более поздних версий, а также iPod touch шестого поколения.

Эти обновления содержат пакеты исправлений для широкого спектра проблем безопасности AppleKeyStore, Bluetooth, Core Media, CoreAnimation, IOKit, the kernel, WebKit и других компонентов. Многие из этих уязвимостей были связаны с удаленным выполнением кода.

Среди вышеуказанного также есть обновление для устранения проблемы переполнения буфера в FaceTime и улучшения управления памятью с целью помешать удаленным злоумышленникам в создании вызова в FaceTime посредством выполнения произвольного кода.

Дополнительную информацию о текущих и прошлых пакетах исправлений, а также о том, какие уязвимости ими устранены, можно найти на сайте поддержки Apple: https://support.apple.com/en-us/HT201222

Adobe

В этом месяце вышло много обновлений программных продуктов Adobe, в том числе стандартные пакеты исправления для Flash Player, Reader и Acrobat. Среди них — три обновления, выпущенные, как обычно, во «вторник патчей» (8 января), а также два внеочередных (оба для Experience Manager), которые вышли 22 января. Только одно из этих обновлений устраняет критически важную уязвимость в Adobe Acrobat и Reader.

• APSB19-09. Обновление безопасности Adobe Experience Manager — приоритет 2. устраняет две уязвимости межсайтового скриптинга.
• APSB19-03. Обновление безопасности Adobe Experience Manager Forms — приоритет 2. устраняет одну уязвимость межсайтового скриптинга.
• APSB19-05. Обновление безопасности Adobe Connect — приоритет 3. устраняет важную уязвимость, связанную с недостаточной защитой токена сессии.
• APSB19-04. Обновление безопасности Adobe Digital Editions — приоритет 3. устраняет важную уязвимость, связанную с недостаточной защитой информации.
• APSB19-01. Обновление безопасности Adobe Flash Player — приоритет 3. устраняет ошибки производительности (несмотря на название, не относится к уязвимостям, связанным с безопасностью).
• APSB19-02. Обновления безопасности Adobe Acrobat и Reader — приоритет 2. устраняет две критически важные уязвимости, одна из которых связана с проблемой использования освобожденной памяти для выполнения произвольного кода, а другая — с возможностью обхода защиты для повышения привилегий.

Дополнительную информацию можно найти в обзоре бюллетеня по безопасности: https://helpx.adobe.com/security.html

Google

Компания Google выпустила 29 января Chrome 72.0.3626.81 — последнюю версию Chrome 72 для Windows, Linux и Mac, в которой устранено 58 уязвимостей, связанных с безопасностью. Одна из них был оценена как критически важная, а еще 17 — как дающие возможность сильного воздействия. Уровень серьезности остальных считается средним или низким. Вышеупомянутые уязвимости включают в себя проблемы использования освобожденной памяти, недостаточного выполнения политик, переполнения буфера, некорректной реализации, смешения типов и т.п.

Дополнительную информацию об этом обновлении и устраненных с его помощью уязвимостях можно найти в блоге, посвященном выпускам Chrome: https://chromereleases.googleblog.com/2019/01/stable-channel-update-for-desktop.html.

7 января был опубликован бюллетень по безопасности Android с информацией об устраненных за прошедший месяц уязвимостях. Были исправлены уязвимости Framework, System, компонентов Kernel, NVIDIA и Qualcomm. Наиболее серьезной является критическая уязвимость системы безопасности, из-за которой удаленный злоумышленник может выполнить произвольный код в рамках привилегированного процесса с помощью специально созданного файла.

Дополнительную информацию об уязвимостях, устраненных с помощью обновлений Android, можно найти здесь: https://source.android.com/security/bulletin/2018-11-01.

Oracle

Компания Oracle обычно выпускает обновления безопасности ежеквартально: в январе, апреле, июле и октябре. В этом месяце компания Oracle выпустила критическое обновление, чтобы устранить 284 уязвимости в семействе своих программных продуктов.

Клиенты Oracle могут получить дополнительную информацию об этом обновлении в пояснительной записке, выложенной здесь: https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html.

Mozilla

Компания Mozilla 29 января выпустила пакеты исправлений для Thunderbird 60.5, Firefox ESR 60.5 и Firefox 65. Обновление Firefox устранило семь уязвимостей, три из которых были отнесены к критически важным. Среди них:

Уязвимость использования освобожденной памяти (CVE-2018-18500), которая могла возникать при разборе потока HTML5 при взаимодействии с собственными HTML-элементами.

Ошибки безопасности памяти (CVE-2018-18501 и 18502), которые можно было использовать для выполнения произвольного кода.

Из остальных четырех уязвимостей три имели высокую степень серьезности, а одна — низкую.

Дополнительную информацию об этих и других уязвимостях, исправленных Mozilla, можно найти здесь: https://www.mozilla.org/en-US/security/advisories/mfsa2018-26/.

Linux

Как обычно, в этом месяце вышли очередные рекомендации по безопасности и обновления популярных дистрибутивов Linux.

В течение ноября были выпущены следующие инструкции по безопасности для Ubuntu, выявленные с момента выхода обзора за прошедший месяц. Некоторые из этих инструкций сами по себе относятся к большому количеству уязвимостей. В некоторых случаях к одной и той же уязвимости относится несколько инструкций по безопасности. Аналогичное количество обновлений выпустили другие поставщики коммерческих продуктов Linux.

• USN-3875-1: уязвимость OpenJDK. Было обнаружено, что в подсистеме библиотеки OpenJDK существует проблема недостаточной защиты содержимого памяти. Злоумышленник может воспользоваться этим, сделав доступной конфиденциальную информацию с возможным обходом ограничений безопасной среды Java.

• USN-3874-1: уязвимости Firefox. В Firefox было обнаружено несколько проблем безопасности. Если злоумышленнику удавалось убедить пользователя открыть специально созданный сайт, у первого появлялась возможность организовать отказ в обслуживании, получить дополнительные привилегии вне безопасной среды или выполнить произвольный код.

• USN-3873-1: уязвимости Open vSwitch. Было обнаружено, что в Open vSwitch неправильно декодировались определенные пакеты. Злоумышленник мог удаленно воспользоваться этим, чтобы вызвать закрытие Open vSwitch с последующим отказом в обслуживании (CVE-2018-17204). Установлено, что в Open vSwitch неправильно обрабатывались некоторые потоки.

• USN-3872-1: уязвимости ядра Linux (HWE). В реализации семейства адресов vsock ядра Linux было выявлено состояние гонки, которое могло приводить к возможности использования освобожденной памяти. Злоумышленник мог использовать это локально через гостевую виртуальную машину для раскрытия конфиденциальной информации (память ядра компьютера-хоста).

• USN-3871-1: уязвимости ядра Linux. Вэнь Сюй (Wen Xu) обнаружила уязвимость использования освобождаемой памяти в файловой системе ext4 ядра Linux. Злоумышленник мог воспользоваться этим для создания специального образа ext4, который после монтирования мог приводить к отказу в обслуживании (отказ системы) или к появлению возможности выполнения произвольного кода.

• USN-3870-1: уязвимость в Spice. Кристоф Ферго (Christophe Fergeau) выявил некорректную обработку памяти в Spice. Злоумышленник мог воспользоваться этим удаленно, вызывая сбой Spice с последующим отказом в обслуживании или возможностью выполнения произвольного кода.

• USN-3868-1: уязвимости Thunderbird. В Thunderbird обнаружено несколько проблем безопасности. Если злоумышленнику удавалось убедить пользователя открыть специально созданный сайт в браузере, у первого появлялась возможность организовать отказ в обслуживании, обойти правило ограничения домена или выполнить произвольный код.

• USN-3869-1: уязвимость Subversion. Иван Жаков обнаружил, что Subversion неправильно обрабатывает некоторые входные данные. Злоумышленник мог использовать эту проблему, чтобы организовать отказ в обслуживании.

• USN-3867-1: уязвимости MySQL. В MySQL было выявлено несколько проблем безопасности, которые устраняются в новой версии MySQL. В Ubuntu 16.04 LTS, Ubuntu 18.04 LTS и Ubuntu 18.10 теперь используется обновленная версия MySQL 5.7.25. Помимо устранения проблем безопасности, в обновленных пакетах имеются исправления ошибок, новые функции и корректировка возможной несовместимости.

• USN-3866-1: уязвимость Ghostscript. Тэвис Орманди (Tavis Ormandy) обнаружил, что Ghostscript неправильно обрабатывает некоторые файлы PostScript. Если злоумышленнику удается в удаленном режиме убедить пользователя или заставить автоматическую систему обработать специально созданный файл, у первого появляется возможность произвольного доступа к файлам, выполнения произвольного кода или организации отказа в обслуживании.

• USN-3707-2: уязвимости NTP. Некоторые уязвимости NTP были устранены в USN-3707-1 и USN-3349-1. Это специальное обновление для Ubuntu 12.04 ESM. Первоначальная инструкция по безопасности: Мирослав Лихвар (Miroslav Lichvar) обнаружил, что в NTP при ограничении скорости некорректно обрабатываются некоторые чужие (spoofed) адреса. Злоумышленник мог использовать эту проблему удаленно, чтобы организовать отказ в обслуживании.

• USN-3865-1: уязвимости Poppler. Было обнаружено, что в Poppler неправильно обрабатывались некоторые PDF-файлы. Злоумышленник мог использовать эту проблему, чтобы организовать отказ в обслуживании.

• USN-3864-1: уязвимости LibTIFF. Было обнаружено, что в LibTIFF неправильно обрабатывались некоторые недопустимые образы. Если злоумышленнику удавалось в удаленном режиме убедить пользователя или заставить автоматическую систему открыть специально созданный образ, злоумышленник мог вызвать сбой приложения с последующим отказом в обслуживании либо выполнить произвольный код с привилегиями данного пользователя.

• USN-3863-2: уязвимость APT. Уязвимость АРТ устранена в USN-3863-1. Это специальное обновление для Ubuntu 12.04 ESM. Первоначальная инструкция по безопасности: Макс Юстич (Max Justicz) обнаружил, что в APT неправильно обрабатывались определенные параметры во время перенаправления.

• USN-3863-1: уязвимость APT. Макс Юстич (Max Justicz) обнаружил, что в APT неправильно обрабатывались определенные параметры во время перенаправления. Если злоумышленнику удавалось провести удаленную атаку посредника, эту уязвимость можно было бы использовать для установки измененных пакетов.

• USN-3862-1: уязвимость Irssi. Было обнаружено, что в Irssi неправильно обрабатывались определенные входные данные. Злоумышленник мог использовать эту проблему, чтобы организовать отказ в обслуживании или выполнить произвольный код.

• USN-3861-2: уязвимость PolicyKit. Уязвимость PolicyKit была устранена в USN-3861-1. Это специальное обновление для Ubuntu 12.04 ESM. Первоначальная инструкция по безопасности: было обнаружено, что в PolicyKit неправильно обрабатывались некоторые идентификаторы пользователей с высокими значениями. Злоумышленник с высоким значением идентификатора пользователя мог использовать эту проблему для выполнения действий с определенными привилегиями.

• USN-3861-1: уязвимость PolicyKit. Было обнаружено, что в PolicyKit неправильно обрабатывались некоторые идентификаторы пользователей с высокими значениями. Злоумышленник с высоким значением идентификатора пользователя мог использовать эту проблему для выполнения действий с определенными привилегиями.

• USN-3860-2: уязвимости libcaca. Уязвимость libcaca устранена в USN-3860-1. Это специальное обновление для Ubuntu 12.04 ESM. Первоначальная инструкция по безопасности: было обнаружено, что в libcaca неправильно обрабатывались некоторые образы. Злоумышленник мог использовать эту проблему, чтобы организовать отказ в обслуживании.

• USN-3860-1: уязвимости libcaca. Было обнаружено, что в libcaca неправильно обрабатывались некоторые образы. Злоумышленник мог использовать эту проблему для организации отказа в обслуживании (CVE-2018-20544). Было обнаружено, что в libcaca неправильно обрабатывались некоторые образы. Злоумышленник мог использовать это для выполнения произвольного кода. Было обнаружено, что в libarchive неправильно обрабатывались некоторые архивные файлы. Злоумышленник мог использовать эту проблему, чтобы организовать отказ в обслуживании.

• USN-3858-1: уязвимости HAProxy. Было обнаружено, что в HAProxy неправильно обрабатывались некоторые запросы. Злоумышленник мог использовать это для раскрытия конфиденциальной информации (CVE-2018-20102). Было обнаружено, что в HAProxy неправильно обрабатывались некоторые запросы. Злоумышленник мог использовать эту проблему, чтобы организовать отказ в обслуживании.

• USN-3857-1: уязвимость PEAR. Фарисхи Видьян (Fariskhi Vidyan) обнаружил, что PEAR Archive_Tar неправильно обрабатывает определенные архивные пути. Злоумышленник мог использовать это для выполнения произвольного кода.

• USN-3856-1: уязвимость GNOME Bluetooth. Крис Марчези (Chris Marchesi) обнаружил, что BlueZ неправильно обрабатывает выключение видимости Bluetooth. Злоумышленник мог удаленно и скрытно создавать пару с устройствами. В этом обновлении представлен обходной путь для устранения проблемы в GNOME Bluetooth.

• USN-3855-1: уязвимости systemd. Было обнаружено, что systemd-journald выделял буферы с различной длиной определенным полям сообщений в стеке. Злоумышленник мог использовать эту проблему, чтобы организовать отказ в обслуживании или выполнить произвольный код.

• USN-3854-1: уязвимости WebKitGTK+. Большое количество проблем безопасности выявлено в веб-подсистеме и механизме обработки JavaScript WebKitGTK+. Если пользователя удавалось обманным путем заставить открыть вредоносный веб-сайт, злоумышленник мог удаленно использовать различные проблемы безопасности веб-браузера, в том числе проводить атаки межсайтового скриптинга, отказа в обслуживании, а также выполнять произвольный код.

• USN-3853-1: уязвимость GnuPG. Бен Фюрманнек (Ben Fuhrmannek) обнаружил, что в GnuPG неправильно обрабатывается поиск каталога веб-ключей (Web Key Directory). Злоумышленник мог удаленно использовать эту проблему, чтобы организовать отказ в обслуживании или атаку с подделкой межсайтовых запросов.

• USN-3852-1: уязвимости Exiv2. Было обнаружено, что в Exiv2 неправильно обрабатывались некоторые файлы. Злоумышленник мог использовать эту проблему, чтобы организовать отказ в обслуживании.

• USN-3851-1: уязвимость Django. Было обнаружено, что в Django неправильно обрабатывалась стандартная страница 404. Злоумышленник мог удаленно использовать эту проблему для спуфинга контента через вредоносную URL-ссылку.

• USN-3850-1: уязвимости NSS. Киган Райан (Keegan Ryan) обнаружил, что в NSS неправильно обрабатывалась генерация ключей ECDSA. Злоумышленник мог локально использовать эту уязвимость для организации атаки по времени с использованием кэша и получения секретных ключей ECDSA. Было обнаружено, что в NSS неправильно обрабатывались некоторые сообщения ClientHello, совместимые с v2.