Компанія Cisco усунула дві небезпечні уразливості, що зачіпають функцію оновлення в програмному пакеті Cisco Industrial Network Director (IND) і сервісу авторизації платформи Cisco Unified Presence (Cisco Unified CM IM&P Service, Cisco VCS і Cisco Expressway).
Cisco IND – рішення для управління промисловими системами автоматизації, а Cisco Unified Presence представляє собою корпоративну платформу, що забезпечує збір інформації про поточний стан доступності клієнта і можливості підключення до клієнта альтернативними способами.
ПЗ Cisco IND містить уразливість (CVE-2019-1861), що дозволяє авторизованому атакуючому виконати код на пристроях під управлінням уразливого програмного забезпечення. Проблема пов’язана з некоректною перевіркою файлів, що завантажуються в додаток. Уразливість зачіпає версії Cisco IND до 1.6.0.
Рішення Cisco Unified Presence схильне до уразливості (CVE-2019-1845), за допомогою якої неавторизований зловмисник може віддалено ініціювати відмову в обслуговуванні в процесі авторизації користувачів на уразливих серверах. Проблема викликана недостатнім контролем певних операцій в пам’яті. Атакуючий може проексплуатувати баг шляхом відправлення спеціально сформованих Extensible Messaging і Presence Protocol (XMPP) запитів авторизації на уразливу систему. Успішна атака призведе до несподіваного перезапуску сервісу аутентифікації і неможливості авторизуватися.
Проблему вирішено у випусках Cisco Expressway Series і Cisco TelePresence VCS X12.5.3 і вище.
До речі, незважаючи на безліч шахрайських схем – від нав’язливої реклами і до майнінгу криптовалют за Ваш рахунок – існує кілька простих порад, які вбережуть Ваш браузер і комп’ютер від зовнішніх загроз.
Нагадаємо, Google планує вжити додаткових заходів для боротьби з шахрайськими розширеннями для Chrome. Так, Google планує видаляти розширення з веб-магазину Chrome, якщо вони порушують нові політики.
Також на щорічній конференції Apple для розробників WWDC 2019 була представлена нова технологія авторизації “Увійти за допомогою Apple”. За бажання користувачі можуть приховати свою фактичну адресу пошти, а Apple випадковим чином згенерує тимчасову адресу.
