- 19,451
- 40
- 8 Ноя 2022
Июньский дайджест трендовых уязвимостей.
Специалисты Positive Technologies Для просмотра ссылки Войдиили Зарегистрируйся трендовых уязвимостей, добавив семь новых проблем в популярных ИТ-продуктах — от компонентов Windows до Apache, 7-Zip и почтовых серверов MDaemon и Zimbra. Большинство уязвимостей позволяют злоумышленникам получить контроль над устройствами пользователей или серверами.
Наиболее опасной признана Для просмотра ссылки Войдиили Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS — 7,8) в DWM Core Library от Microsoft. Преступник, получивший первичный доступ, может повысить привилегии до уровня SYSTEM и захватить систему.
Сразу две аналогичные уязвимости — Для просмотра ссылки Войдиили Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся — затрагивают драйвер CLFS.sys в Windows. Они связаны с некорректной работой с памятью ( Для просмотра ссылки Войди или Зарегистрируйся ) и отсутствием валидации ввода ( Для просмотра ссылки Войди или Зарегистрируйся ). Аналогичная уязвимость Для просмотра ссылки Войди или Зарегистрируйся ранее уже использовалась в атаках вымогателей, таких как Для просмотра ссылки Войди или Зарегистрируйся , о чём также упоминал Для просмотра ссылки Войди или Зарегистрируйся .
Из числа удалённых атак наиболее серьёзной стала Для просмотра ссылки Войдиили Зарегистрируйся в HTTP-сервере Apache (CVSS — 9,8). Она связана с некорректной обработкой URL-переписываний ( Для просмотра ссылки Войди или Зарегистрируйся ) и может привести к удалённому выполнению кода или утечке файлов. По данным Для просмотра ссылки Войди или Зарегистрируйся , уязвимыми могут быть почти 4 миллиона IP-адресов. Apache Для просмотра ссылки Войди или Зарегистрируйся обновиться до версии 2.4.60, а SonicWall — до Для просмотра ссылки Войди или Зарегистрируйся .
Новая уязвимость в архиваторе 7-Zip ( Для просмотра ссылки Войдиили Зарегистрируйся , CVSS — 5,7) связана с некорректной работой механизма Mark of the Web. Из-за этого Windows не помечает опасные файлы, извлечённые из архивов, как потенциально вредоносные. Для просмотра ссылки Войди или Зарегистрируйся зафиксировал более 430 млн загрузок 7-Zip. Для защиты рекомендуется включить параметр Propagate Zone.Id stream и использовать Для просмотра ссылки Войди или Зарегистрируйся .
Также в дайджест попала XSS-уязвимость Для просмотра ссылки Войдиили Зарегистрируйся (CVSS — 6,1) в почтовом сервере MDaemon. Она позволяет внедрять JavaScript в письма через тег <code><img></code>, открывая путь к краже сессий и доступу к контактам. По Для просмотра ссылки Войди или Зарегистрируйся , сервер работает более чем на 42 тыс. IP. Разработчик Для просмотра ссылки Войди или Зарегистрируйся обновление до версии 24.5.1.
Наконец, XSS-уязвимость Для просмотра ссылки Войдиили Зарегистрируйся в веб-интерфейсе Zimbra связана с функцией CalendarInvite и ошибкой в заголовке <code>X-Zimbra-Calendar-Intended-For</code>. Уязвимость позволяет внедрять JavaScript в письма. По Для просмотра ссылки Войди или Зарегистрируйся , затронуто до 130 тыс. экземпляров Zimbra. Защита возможна путём обновления до версий Для просмотра ссылки Войди или Зарегистрируйся или Для просмотра ссылки Войди или Зарегистрируйся .
Специалисты Positive Technologies Для просмотра ссылки Войди
Наиболее опасной признана Для просмотра ссылки Войди
Сразу две аналогичные уязвимости — Для просмотра ссылки Войди
Из числа удалённых атак наиболее серьёзной стала Для просмотра ссылки Войди
Новая уязвимость в архиваторе 7-Zip ( Для просмотра ссылки Войди
Также в дайджест попала XSS-уязвимость Для просмотра ссылки Войди
Наконец, XSS-уязвимость Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
