Новости Обзор уязвимостей за неделю

Ахилл

Профессионал
Ветеран пробива
Private Club
Старожил
️Платиновый меценат💰️💰️💰️💰️
Регистрация
27/7/18
Сообщения
3.851
Репутация
15.431
Реакции
23.684
RUB
0
Сделок через гаранта
16
Были обнаружены уязвимости в протоколе BLE, в протоколе Netlogon, в продуктах Adobe и пр.

Исследователи безопасности предупредили об уязвимости ( ), затрагивающей устройства с поддержкой Bluetooth с низким энергопотреблением (BLE). Проблема потенциально затрагивает миллиарды IoT-устройств, а также смартфоны, планшеты и ноутбуки, использующие программные стеки Bluetooth.

Уязвимость, получившая название BLESA (Bluetooth Low Energy Spoofing Attack), связана с процессом повторного подключения, который происходит, когда устройство выходит за пределы диапазона, а затем снова возвращается в зону действия. Уязвимость может быть использована злоумышленником для обхода проверок повторного подключения и отправки поддельных данных на устройствах с поддержкой BLE.

Компания Apple исправила проблему в июне нынешнего года, однако Android-устройства все еще подвержены данной проблеме.

В удаленном протоколе Netlogon была обнаружена опасная уязвимость ( ). Уязвимость, получившая название Zerologon, связана с использованием ненадежного криптографического алгоритма в механизме аутентификации Netlogon. Уязвимость может использоваться для перехвата управления серверами Windows Server, работающими в качестве контроллера домена в корпоративной сети. С ее помощью атакующий может имитировать любой компьютер в сети при аутентификаци на контроллере домена, отключить функции безопасности Netlogon или изменить пароль в базе данных Active Directory контроллера домена.

Компания Adobe выпустила обновление безопасности, устраняющее три уязвимости ( ) в программном обеспечении Media Encoder. Проблемы представляют собой уязвимости чтения за пределами поля, «которые могут привести к раскрытию информации в контексте текущего пользователя».

В решениях MobileIron для управления мобильными устройствами были исправлены многочисленные , наиболее опасные из которых позволяли удаленно выполнить код (CVE-2020-15505), читать произвольные файлы на целевой системе (CVE-2020-15507) или удаленно обойти механизмы аутентификации (CVE-2020-15506). Проблемы затрагивают ПО MobileIron Core (версии 10.6 и старше), MobileIron Sentry, MobileIron Cloud, Enterprise Connector и Reporting Database.

Кроме того, были исправлены уязвимости записи за пределами поля (CVE-2020-16304) и переполнения буфера в стеке (CVE-2020-16302) в наборе программного обеспечения Ghostscript, уязвимости удаленного выполнения кода ( ) в Apache Superset, обхода аутентификации ( ) в Apache ActiveMQ, удаленного внедрения команд ( ) в промышленном шлюзе 3G/4G Atop Technology и проблема повышения привилегий в Zoho ManageEngine Desktop Central.
 
Сверху Снизу