Ъпдейти и пачове за критични уязвимости в Microsoft, Adobe, VMware и Oracle продукти – април 2020
Април се очертава да бъде особено стресиращ за системните администратори месец, дори и без да вземаме под внимание ситуацията с предизвикателствата, свързани с масовата работа от вкъщи.
Последен ъпдейт на 4 май 2020 в 12:08 ч.
Microsoft
С редовния Patch Tuesday за Април 2020 Microsoft поправят 113 (CVEs) уязвимости в Microsoft Windows, Microsoft Edge (EdgeHTML-based and Chromium-based), ChakraCore, Internet Explorer, Office and Office Services and Web Apps, Windows Defender, Visual Studio, Microsoft Dynamics, Microsoft Apps for Android, and Microsoft Apps for Mac.
17 от тези CVE са категоризирани като критични (Critical), а останалите 96 от тях са важни (Important). Три от уязвимостите за Windows вече се експлоатират „in the wild“, т.е. активно се извършват атаки чрез тях и опасността е реална! Администраторите трябва да приоритизират прилагането на обновленията.
По–интересните уязвимости, които са „закърпени“ с този ъпдейт, включват:
CVE-2020-1020 | Adobe Font Manager Library Remote Code Execution Vulnerability
Засегнати са всички Windows операционни системи, като за по–старите (Windows 7-8.х и Windows Server 2008 – 2012) сериозността е Critical, а за по–новите (Windows 10 и Windows server 2016-2019) – е с ниво Important. Операционните системи, които са извън поддръжка (Windows 7 и Server 2008.X) ще получат обновленията само ако имат активиран ESU лиценз.
Ако сте приложили заобиколните решения (workarounds) за справяне с тази уязвимост, след прилагане на обновлението може да върнете настройките към първоначалното им състояние.
CVE-2020-0993 | Windows DNS Denial of Service Vulnerability
Засегнати са всички Windows версии, но понеже тази уязвимост не позволява отдалечено изпълнение на код (RCE), е категоризирана с Important. Трябва да се отбележи, че засегнатият сервиз е DNS service, а не DNS Server, т.е. уязвими са не само DNS сървърите, но и клиентите. Все още не е известно да има PoC и не са засечени активни атаки, но успешната експлоатация на тази уязвимост би довела до огромни поражения.
CVE-2020-0981 | Windows Token Security Feature Bypass Vulnerability
Рядко се случва така, че прескачането на механизъм за сигурност директно да води до бягство от sandbox, но точно това позволява тази грешка.
Уязвимостта е резултат от неправилно управление на свързани тоукъни в Windows. Нападателите биха могли да злоупотребят с това, за да позволят на приложение с определено ниво на интегритет да изпълни код на различно, вероятно по-високо ниво. Резултатът е бягство от sandbox средата. Това засяга само Windows 10 версия 1903 и по-нови, тъй като кодът, позволяващ тази уязвимост е сравнително отскоро.
В този ъпдейт също са отстранени бъгове, свързани с win32k, както и 16 уязвимости, свързани с разкриване на чувствителни данни (information disclosure). Един от тях е в Microsoft Dynamics Business Central, като интересното при него е, че позволява директното разкриване на иначе замаскирана информация в полета… например пароли!
Вижте пълен списък на обновленията и информация за тях.
VMware
Уязвимост CVE-2020-3952 във vCenter Server отбелязва „перфектните“ 10 CVSS точки! Този проблем със сигурността засяга VMware Directory Service (vmdir) само при надстроени (upgraded) инсталации и се дължи на неправилно внедрени контроли за достъп.
Поради критичния характер на тази уязвимост и рисковете за сигурността, силно се препоръчва да приложите обновленията за vCenter Server възможно най-скоро.
Adobe
Обновленията за Април включват подобрения в Adobe ColdFusion, After Effects, and Digital Editions. Уязвимостите могат да се нарекат „скучни“, понеже всички CVEs, свързани с тях, са категоризирани с Important и няма информация за активната им експлоатация. Актуализацията за ColdFusion трябва да бъде приоритетна за внедряване, тъй като включва отсраняване на локална ескалация на привилегиите (LPE), грешка за разкриване на информация (information disclosure) и отказ от услуга (DoS).
Oracle
Гигантите от Oracle Corp. „смачкват“ 405 буболечки (bugs) с пуснатите през този месец обновления.Те разкриха, че 286 от тези уязвимости могат да бъдат експлоатирани отдалечено и засягат близо две дузини продуктови линии.
Впечатление правят множество критични недостатъци, оценени с 9,8 CVSS, в 13 ключови продукта на Oracle, включително Financial Services Applications, Oracle MySQL, Retail Applications и Oracle Support Tools.
Актуализациите отстраняват и недостатъци със средна тежест за Oracle Java платформата, стандартно издание (Java SE), използвана за разработване и внедряване на Java приложения. Петнадесет грешки с CVSS рейтинг 8,5 могат да бъдат експлоатирани отдалечено (по мрежата) от неоторизиран нападател, тоест не се изискват потребителски идентификационни данни.
В заключение, екипът на freedomonline.bg може да посъветва – прилагайте обновления навреме и редовно. Ъпдейтите не са като виното и не стават по–добри с отлежаването! Напротив!