اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

رفع چند آسیب‌پذیری مهم سیسکو،گوگل، VMWare و Adobe

آسیب‌پذیری

سیستم‌های سیسکو آسیب‌پذیری اجرای یک کد حیاتی Remote را در راهکار Unified Contact Center Express خود برطرف کردند که یکی  از هزاران اختلال Patchها و باگهایی است که توسط بزرگان تکنولوژی نظیر Microsoft، Apple و Google اعلام شد.

شرکت سیسکو در یک بیانیه هشدار می‌دهد، نقص مورد نظر در Java Remote Management Interface از Unified CCX بوده – با رتبه CVSS 9.8  – و بخاطر فرآیند Deserialization ناامن محتوای کاربران است. هکرهای Remote که احرازهویت نشدند می‌توانند با استفاده از یک هدف Serialize شده Java، این نقص را مورد سواستفاده قرار دهند تا کدهای دلخواه خود را به عنوان کاربر Root اجرا کنند.

سیسکو همچنین چهار باگ دیگر را نیز اصلاح کرد، آسیب‌پذیری مهم سرویس در سرور DHCP متعلق به Prime Network Registrar، و سه ایراد دیگر که از لحاظ اهمیت در حد عادی هستند.

شرکت APK دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور


آسیب‌پذیری‌ها و Patchهای دیگری که این هفته اعلام شدند:

VMware یک Patch برای VMware Cloud Director خود منتشر کرد تا آسیب‌پذیری تزریق کد را بهبود بخشد. (CVE-2020-3956 با رتبه CVSS 8.8). در یکی از بیانیه‌های امنیتی شرکت آمده که « یک عامل احرازهویت نشده ممکن است قادر باشد ترافیک مخربی به VMware Cloud Director ارسال کند که منجر به اجرای کد‌های Remote دلخواه بشود. این آسیب‌پذیری ممکن است از طریق HTML5 و UIهای Flex-Based، رابط کاربری API Explorer و دسترسی API مورد سواستفاده قرار ‌گیرد.

Google مرورگر Chrome نسخه 83.0.4103.61 را برای ویندوز، Mac و لینوکس معرفی کرد. در این بازنویسی به 38 باگ اشاره می‌شود که پنج مورد از آنها رتبه بالایی دارند و شامل یک ایراد Use-after-free در حالت Reader است که جایزه کشف باگ 20.000 دلاری به آن تعلق گرفت.

Adobe Systems  از بروزرسانی‌های امنیتی برای سه مورد از باگ‌های فاش‌کننده اطلاعات مهم در Premiere Pro (CVE-2020-9616)، Audition (CVE-2020-9618) و Premiere Rush (CVE-2020-9617) پرده‌برداری کرد.

Microsoft آسیب‌پذیری Elevation Of privilege در مرورگر Edge مبتنی بر Chromium (CVE-2020-1195) را برطرف کرده و یک بیانیه امنیتی منتشر کرد که در آن برای «آسیب‌پذیری مربوط به تقویت Packet» که سرورهای DNS Windows را تحت تاثیر قرار می‌دهند راهکارها و اصلاحاتی را پیشنهاد می‌کند.

Apple یک اصلاح واحد در Xcode 11.5 محیط توسعه یکپارچگی خود را اعلام کرد که برای macOS Catalina   نسخه 10.15.2 و نسخه‌های بعدی قابل دسترسی است. این نوسازی از مشکل (CVE-2020-11008) در یک git URL کارآمد جلوگیری می‌کند که می‌توانست اطلاعات اعتباری را برای میزبانان اشتباهی فراهم کند.        

مقاله های مرتبط:

پکیج آموزشی VMware NSX شرکت APK