سیستمهای سیسکو آسیبپذیری اجرای یک کد حیاتی Remote را در راهکار Unified Contact Center Express خود برطرف کردند که یکی از هزاران اختلال Patchها و باگهایی است که توسط بزرگان تکنولوژی نظیر Microsoft، Apple و Google اعلام شد.
شرکت سیسکو در یک بیانیه هشدار میدهد، نقص مورد نظر در Java Remote Management Interface از Unified CCX بوده – با رتبه CVSS 9.8 – و بخاطر فرآیند Deserialization ناامن محتوای کاربران است. هکرهای Remote که احرازهویت نشدند میتوانند با استفاده از یک هدف Serialize شده Java، این نقص را مورد سواستفاده قرار دهند تا کدهای دلخواه خود را به عنوان کاربر Root اجرا کنند.
سیسکو همچنین چهار باگ دیگر را نیز اصلاح کرد، آسیبپذیری مهم سرویس در سرور DHCP متعلق به Prime Network Registrar، و سه ایراد دیگر که از لحاظ اهمیت در حد عادی هستند.
آسیبپذیریها و Patchهای دیگری که این هفته اعلام شدند:
VMware یک Patch برای VMware Cloud Director خود منتشر کرد تا آسیبپذیری تزریق کد را بهبود بخشد. (CVE-2020-3956 با رتبه CVSS 8.8). در یکی از بیانیههای امنیتی شرکت آمده که « یک عامل احرازهویت نشده ممکن است قادر باشد ترافیک مخربی به VMware Cloud Director ارسال کند که منجر به اجرای کدهای Remote دلخواه بشود. این آسیبپذیری ممکن است از طریق HTML5 و UIهای Flex-Based، رابط کاربری API Explorer و دسترسی API مورد سواستفاده قرار گیرد.
Google مرورگر Chrome نسخه 83.0.4103.61 را برای ویندوز، Mac و لینوکس معرفی کرد. در این بازنویسی به 38 باگ اشاره میشود که پنج مورد از آنها رتبه بالایی دارند و شامل یک ایراد Use-after-free در حالت Reader است که جایزه کشف باگ 20.000 دلاری به آن تعلق گرفت.
Adobe Systems از بروزرسانیهای امنیتی برای سه مورد از باگهای فاشکننده اطلاعات مهم در Premiere Pro (CVE-2020-9616)، Audition (CVE-2020-9618) و Premiere Rush (CVE-2020-9617) پردهبرداری کرد.
Microsoft آسیبپذیری Elevation Of privilege در مرورگر Edge مبتنی بر Chromium (CVE-2020-1195) را برطرف کرده و یک بیانیه امنیتی منتشر کرد که در آن برای «آسیبپذیری مربوط به تقویت Packet» که سرورهای DNS Windows را تحت تاثیر قرار میدهند راهکارها و اصلاحاتی را پیشنهاد میکند.
Apple یک اصلاح واحد در Xcode 11.5 محیط توسعه یکپارچگی خود را اعلام کرد که برای macOS Catalina نسخه 10.15.2 و نسخههای بعدی قابل دسترسی است. این نوسازی از مشکل (CVE-2020-11008) در یک git URL کارآمد جلوگیری میکند که میتوانست اطلاعات اعتباری را برای میزبانان اشتباهی فراهم کند.