Cisco усунула два небезпечних баги в своїх продуктах

Компанія Cisco усунула дві небезпечні уразливості, що зачіпають функцію оновлення в програмному пакеті Cisco Industrial Network Director (IND) і сервісу авторизації платформи Cisco Unified Presence (Cisco Unified CM IM&P Service, Cisco VCS і Cisco Expressway).

Cisco IND – рішення для управління промисловими системами автоматизації, а Cisco Unified Presence представляє собою корпоративну платформу, що забезпечує збір інформації про поточний стан доступності клієнта і можливості підключення до клієнта альтернативними способами.

ПЗ Cisco IND містить уразливість (CVE-2019-1861), що дозволяє авторизованому атакуючому виконати код на пристроях під управлінням уразливого програмного забезпечення. Проблема пов’язана з некоректною перевіркою файлів, що завантажуються в додаток. Уразливість зачіпає версії Cisco IND до 1.6.0.

Рішення Cisco Unified Presence схильне до уразливості (CVE-2019-1845), за допомогою якої неавторизований зловмисник може віддалено ініціювати відмову в обслуговуванні в процесі авторизації користувачів на уразливих серверах. Проблема викликана недостатнім контролем певних операцій в пам’яті. Атакуючий може проексплуатувати баг шляхом відправлення спеціально сформованих Extensible Messaging і Presence Protocol (XMPP) запитів авторизації на уразливу систему. Успішна атака призведе до несподіваного перезапуску сервісу аутентифікації і неможливості авторизуватися.

Проблему вирішено у випусках Cisco Expressway Series і Cisco TelePresence VCS X12.5.3 і вище.

До речі, незважаючи на безліч шахрайських схем – від нав’язливої реклами і до майнінгу криптовалют за Ваш рахунок – існує кілька простих порад, які вбережуть Ваш браузер і комп’ютер від зовнішніх загроз.

Нагадаємо, Google планує вжити додаткових заходів для боротьби з шахрайськими розширеннями для Chrome. Так, Google планує видаляти розширення з веб-магазину Chrome, якщо вони порушують нові політики.

Також на щорічній конференції Apple для розробників WWDC 2019 була представлена ​​нова технологія авторизації “Увійти за допомогою Apple”. За бажання користувачі можуть приховати свою фактичну адресу пошти, а Apple випадковим чином згенерує тимчасову адресу.