3 ноября 2015

Критическая сводка: важные патчи от крупнейших вендоров

Бизнес

С середины октября несколько крупнейших вендоров программного обеспечения сделали ряд заявлений и обновлений, касающихся безопасности и в большинстве своём являющихся серьезными или даже критическими. Давайте пройдёмся по всему списку, так как большая часть обновленных продуктов прочно внедрилась в сети компаний.

Microsoft

Microsoft выпустила шесть бюллетеней безопасности 13 октября, три из которых были помечены «критическими». Но, как писал Threatpost, настоящей новостью стал отказ от устаревшего алгоритма шифрования RC4 в Windows 10.

Windows 10 — система новая и, как водится, проходит стадию отладки, этот процесс, скорее всего, займёт какое-то время. Тем не менее, отказ от RC4 — очень своевременный ход.

RC4 — потоковый шифр, известный своей простотой и быстротой. К сожалению, он оказался уязвим, так что отрасль постепенно от него избавляется. Ранее Microsoft уже отказалась от него в .NET, а теперь и в Windows 10.

Рекомендовано также обновить транспортное шифрование по умолчанию в Windows до TLS 1.2.

Что касается критических обновлений, то они включали «неизменный» набор исправлений Internet Explorer и патчи для уязвимостей удалённого исполнения кода в движках VBScript и JScript в Windows. Подробности доступны на Threatpost.

Apple

Apple также залатала партию уязвимостей в своем программном обеспечении, в том числе в Keynote, Pages, Numbers и iWork.

Самая серьёзная брешь позволяла злоумышленнику выполнить код на скомпрометированном компьютере под управлением OS X Yosemite версии 10.10.4 и выше, либо на мобильных устройствах под iOS версии 8.4 или выше.

Ошибки проверки ввода и повреждения памяти в вышеупомянутом программном обеспечении также позволяли злоумышленникам запускать произвольный код или красть данные. Подробная информация доступна здесь.

Adobe

Adobe выпустила срочный, экстренный, авральный патч для уязвимости нулевого дня во Flash на неделю раньше, чем первоначально планировалось.

Баг нулевого дня, известный как CVE-2015-7645, был уже использован в сети, хоть и ограниченно.

«Уязвимость вида некорректной проверки на принадлежность к типу Object была cвязана с нападениями, совершенными русскоязычной APT-группой, действующей под именем Pawn Storm или APT 28. Некорректная проверка происходит, когда код не проверяет тип переданного ему объекта и использует его без проверки типа», — пишет Threatpost.

Эксплойты CVE-2015-7645 использовали в спиэрфишинговых письмах.

Патч Adobe исправил также две других уязвимости некорректной проверки на принадлежность к типу: CVE-2015-7647 и CVE-2015-7648. Подробная информация доступна здесь.

Oracle

Oracle, по-видимому, стал в октябре «королём патчей», если учитывать количество исправленных изъянов: 154 уязвимости в 54 различных продуктах были устранены на прошлой неделе в рамках Critical Patch Update.

84 патча выпущены для уязвимостей, которые, как сказали в Oracle, могли дистанционно эксплуатироваться в обход авторизации.

24 уязвимости исправлены ​​в Java SE, причем семь из них были отмечены как чрезвычайно опасные. В Oracle предупредили, что, если баги использовать должным образом, это может привести к полной компрометации целевой системы.

Обнаружились серьёзные ошибки в Oracle Fusion Middleware и Oracle Database, а также в Siebel, Pillar Axiom, Applications for Work и Asset Management. Многие из багов «явно» допускают дистанционную эксплуатацию без аутентификации, хотя фактических эксплойтов Oracle в сети не встречала на момент выпуска патчей.

Подробная информация доступна здесь.

wide

WordPress

Akismet, критичный антиспамовый плагин для WordPress, был обновлён ​​с целью устранения серьёзной ошибки межсайтового скриптинга.

Уязвимость эксплуатировалась через раздел комментариев на сайтах, работающих под управлением версий плагина Akismet после 2.5.0, и допускала инъекции вредоносных скриптов в раздел комментариев админской панели. Это теоретически могло привести к полной компрометации сайта, хотя Akismet технически заблокировал все попытки во время тестовой проверки API комментариями.

Эксплойтов пока в сети не встречалось, и разработчики плагина к WordPress на прошлой неделе включили автоматическое обновление любых сайтов, работающих под управлением уязвимых версий, для устранения бага.

В начале октября была исправлена ещё одна ошибка XSS в WordPress.

Joomla

Другая система управления контентом, пользующаяся популярностью у бизнес-пользователей, была обновлена с целью исправления неприятного бага. Критического, по сути, так как эта уязвимость для SQL-инъекции позволяла злоумышленникам получить доступ к данным в интерфейсе любого сайта, работающего на данной платформе.

Ошибка закралась в основной модуль Joomla, таким образом, любой сайт, который на ней работает, в том числе различные сайты электронной коммерции, оказался уязвимым. Злоумышленники могут получить привилегии администратора, поэтому предельно ясно, какими последствиями для сайта это могло грозить.

Вывод

Не бывает идеального, безупречного программного обеспечения. По сути, ошибки различной степени опасности существуют везде, поэтому их исправление в количествах и на регулярной основе — это на самом деле хорошо для пользователей, хотя мы все и предпочли бы, чтобы багов везде было поменьше.

С некоторыми программами, однако, надо постоянно держать ухо востро, сохраняя в работе с ними «презумпцию виновности», а именно с Flash и Java. Они особенно кишат багами, к сожалению, и из-за своей чрезвычайной популярности всегда находятся под пристальным вниманием киберпреступников.

Время Flash, может быть, и подходит к концу, но пока он всё ещё с нами, так что следить за ним надо вовсю.

Наши читатели ведь уже установили все эти критические обновления, правда?