На прошедшей неделе ИБ-эксперты нашли серьезные уязвимости в Mozilla Firefox, Apache Guacamole, FreeRDP, DOPSoft и других программных продуктах.
Разработчики Firefox объявили об исправлении большого количества уязвимостей в браузерах и программе Thunderbird. В частности, были устранены баги, которые позволяли в полной мере произвести компрометацию пользовательской системы.
В известной мобильной программе Apache Guacamole, которой пользуются сисадмины для получения удаленного доступа и работы с устройствами под Linux и Windows, было найдено множество уязвимостей, с помощью которых киберпреступники контролируют сервер Guacamole, перехватывают и управляют сеансами, осуществляют загрузку и скачивают файлы с хоста, запускать удаленно программы и команды на скомпрометированном хосте.
Несколько уязвимостей ИБ-специалисты нашли в протоколе FreeRDP, некоторые из которых помогают киберпреступникам в получении доступа к защищенным данным. Один из багов позволяет исполнять произвольный код удаленно.
В ПО DOPSoft найдено несколько серьезных уязвимостей, позволяющих удаленно исполнять код, раскрывать и изменять данные, выводить из строя процессы функционирования программного обеспечения. Также были обнаружены баги чтения за пределами поля.
В поисковом продукте YARA нескольких версий есть уязвимости. Одна из них критическая – с помощью нее киберпреступники потенциально способны удаленно исполнить произвольный код в атакуемой системе.
В популярной ОС PAN-OS для корпоративных VPN-установок и межсетевых экранов от Palo Alto найдена критическая уязвимость, за счет использования которой неавторизованный киберпреступник может обойти процедуру аутентификации. Баг был обнаружен во множестве версий операционной системы. На данный момент он полностью устранен разработчиками.
Корпорация Microsoft представила обновления безопасности, которые призваны устранить серьезные уязвимости в Codecs Library. Эксплуатация одной уязвимости киберпреступниками позволяет им скомпрометировать данные для последующего взлома пользовательской системы, а второй – удаленно исполнить код.
