Обзор уязвимостей за неделю: с 8 по 14 февраля 2021 года

На прошлой неделе IT-администраторы были заняты установкой большого количества обновлений безопасности, выпущенных рядом поставщиков в рамках планового ежемесячного процесса исправлений.

В частности, Microsoft исправила в общей сложности 56 уязвимостей, затрагивающих ее различные продукты, включая уязвимость нулевого дня в Windows ( CVE-2021-1732) . Проблема позволяла злоумышленникам или вредоносной программе повышать свои привилегии до уровня администратора.

По данным китайской компании по безопасности DBAPPSecurity, 0Day-уязвимость использовалась в кампаниях киберпреступной группировки Bitter, нацеленных на пакистанские и китайские организации и пользователей.

Помимо уязвимости нулевого дня Microsoft исправила шесть ранее раскрытых проблем, в том числе уязвимости повышения привилегий в установщике Windows ( CVE-2021-1727 ) и Sysinternals PsExec ( CVE-2021-1733 ).

Во вторник исправлений Microsoft также устранила многочисленные опасные уязвимости в Microsoft Windows DNS Server , Microsoft Excel , Windows TCP/IP , Microsoft Package Managers Configurations и других продуктах.

Компания Adobe выпустила пакет обновлений безопасности, устраняющих многочисленные опасные уязвимости в Adobe Acrobat и Reader , Photoshop , Illustrator , Animate , Dreamweaver и платформе электронной коммерции Magento . Стоит отметить, что обновления для Adobe Acrobat и Reader включают исправление для уязвимости нулевого дня, которая использовалась в реальных атаках. Проблема ( CVE-2021-21017 ) описывается как уязвимость переполнения буфера на основе кучи и связана с граничной ошибкой при обработке файлов PDF. Злоумышленник мог использовать данную уязвимость для удаленного выполнения кода, обманом заставив жертву открыть вредоносный документ PDF.

Mozilla выпустила обновление для Firefox, исправляющее ​​ уязвимость переполнения буфера, которая может быть использована вместе с другими проблемами для выполнения произвольного кода. Уязвимость существует из-за граничной ошибки в графической библиотеке Angle при вычислении шага глубины для сжатых текстур. Удаленный злоумышленник может обманом заставить жертву открыть специально созданную web-страницу, чтобы вызвать повреждение памяти и выполнить произвольный код на целевой системе.

Немецкий производитель ПО SAP исправил опасную уязвимость проверки вводимых данных ( CVE-2021-21477 ) в SAP Commerce. Проблема связана с другой уязвимостью в SAP Commerce, не получившей идентификатор. Удаленный аутентифицированный пользователь может послать приложению специально созданный запрос и выполнить произвольный код на системе. Проблема затрагивает версии SAP Commerce 1808, 1811, 1905, 2005 и 2011.

Компания Siemens устранила более 20 уязвимостей в инструменте для просмотра данных JT в 3D JT2Go и решении Teamcenter Visualization, которое позволяет корпоративным пользователям получать доступ к документам, 2D-чертежам и 3D-моделям. Более половины проблем могут привести к удаленному выполнению кода. Проблемы затрагивают версии Drawings SDK старше 2021.11, версии JT2Go старше 13.1.0.1 и версии Teamcenter Visualization старше 13.1.0.1.