Обзор уязвимостей за неделю: 27 июля 2020 года

Были исправлены уязвимости в продуктах Adobe, маршрутизаторах Cisco и пр.

Компания Adobe выпустила ряд обновлений безопасности, исправляющих в общей сложности 13 уязвимостей в Bridge, Prelude и Photoshop.

Две проблемы в приложении Adobe Photoshop представляют собой уязвимости чтения за пределами выделенной области памяти ( CVE-2020-9683 и CVE-2020-9686 ), эксплуатация которых позволяет злоумышленнику получить доступ к конфиденциальной информации, а три другие — уязвимости записи за пределами выделенной области памяти ( CVE-2020-9684, CVE-2020-9685 и CVE-2020-9687 ), позволяющие удаленно выполнить код.

В приложении Bridge для управления активами исправлены три уязвимости, две из которых ( CVE-2020-9674 и CVE-2020-9676 ) могут быть использованы для удаленного выполнения кода. Проблемы затрагивают версии Adobe Bridge 10.0.3 и старше. Пользователям рекомендуется обновиться до версии 10.1.1.

Решение Adobe Prelude содержало две уязвимости чтения за пределами выделенной области памяти ( CVE-2020-9677 и CVE-2020-9679 ) и две уязвимости записи за пределами выделенной области памяти ( CVE-2020-9678 и CVE-2020-9680 ), которые могут быть использованы для выполнения кода. Проблемы затрагивают версии Adobe Prelude 9.0 и старше для Windows.

Компания Cisco Systems выпустила 33 исправления для уязвимостей в ряде своих продуктов, включая несколько маршрутизаторов серии RV, межсетевой экран VPN Firewal серии RV110W и программное обеспечение Cisco SD-WAN Solution.

Маршрутизаторы Cisco RV340, RV340W, RV345 и RV345P Dual WAN Gigabit VPN содержат несколько опасных уязвимостей ( CVE-2020-3357 и CVE-2020-3358 ). CVE-2020-3357 представляет собой уязвимость удаленного выполнения кода, а CVE-2020-3358 — DoS-уязвимость.

Программное обеспечение Cisco SD-WAN Solution содержит две уязвимости ( CVE-2020-3351 и CVE-2020-3379 ). Первая позволяет удаленному злоумышленнику осуществить DoS-атаку, в то время как вторая проблема может быть использована локальным пользователем для повышения привилегий на системе.

В ПО для эмуляции аппаратного обеспечения различных платформ QEMU обнаружено множество уязвимостей , большинство из которых могут быть проэксплуатированы для осуществления DoS-атак или для получения доступа к конфиденциальной информации. Две проблемы (CVE-2020-13754 и CVE-2020-13361) позволяют удаленному злоумышленнику скомпрометировать уязвимую систему путем отправки вредоносного запроса. Уязвимости затрагивают версии QEMU 4.1.0, 4.1.1, 4.2.0, 4.2.1 и 5.0.0.

Компания Foxit исправила несколько уязвимостей в программном обеспечении Studio Photo. Самой опасной является уязвимость записи за пределами выделенной области памяти (CVE-2020-15629), позволяющая удаленному злоумышленнику выполнить произвольный код с помощью специально созданного файла. Для эксплуатации уязвимости злоумышленнику необходимо убедить жертву открыть вредоносный файл. Проблема затрагивает версии Foxit Studio Photo 3.6.6.918, 3.6.6.922 и 3.6.6.924.

Источник