Лютневий набір патчів для продуктів Adobe виправляє півсотні уразливостей, зокрема, недоліки в Acrobat і Reader, які давно експлуатують зловмисники. Вийшли оновлення безпеки також для Magento, Photoshop, Animate, Illustrator і Dreamweaver.
Про спроби зловмисної експлуатації уразливості CVE-2021-21017 в Adobe Reader на Windows, згідно з бюлетенем, розробники дізналися з анонімного джерела. Проблема пов’язана з помилкою переповнювання буфера і загрожує виконанням довільного коду в контексті поточного користувача.
Такого ж результату дозволяє досягнути успішне використання 15 інших уразливостей у цьому продукті. Усі вони визнані критичними, як і CVE-2021-21045, а це неадекватно контрольований доступ, що відкриває можливість для підвищення привілеїв.
Примітно, що п’ять з 16 небезпечних проблем виявили учасники минулорічного змагання Tianfu Cup. Решта шість багів в Acrobat/Reader оцінені як істотні. Їх використання дозволяє підвищити привілеї, отримати доступ до закритої інформації або викликати стан відмови в обслуговуванні (DoS).
Нові проблеми актуальні для Acrobat/Reader DC версій 2020.013.20074 і нижче, Acrobat/Reader 2020.001.30018 і нижче, Acrobat/Reader 2017.011.30188 і нижче. Користувачам настійно рекомендується негайно оновити продукт на обох платформах (Windows і macOS), встановивши збірку 2021.001.20135, 2020.001.30020 або 2017.011.30190 відповідно.
Оновлення для CMS-системи Magento 2 усувають 18 уразливостей, зокрема, сім критичних. Три нових “прогалини” у безпеці дозволяють провести XSS-атаку і загрожують виконанням шкідливого JavaScript-коду в браузері відвідувачів сайту.
Наявність проблем підтверджено для обох версій движка – комерційної і з відкритим вихідним кодом. Патчі включені до складу збірок 2.4.2, 2.4.1-p1 і 2.3.6-p1. Встановити їх рекомендують протягом місяця, оскільки продукт належить до групи підвищеного ризику.
У графічному редакторі Adobe Photoshop для Windows і macOS усунули п’ять небезпечних вразливостей, що дозволяють через маніпуляцію даними в пам’яті виконати будь-який код з привілеями поточного користувача. Аналогічні помилки були виявлені в додатках Animate і Illustrator.
Оновлення для HTML-редактора Dreamweaver 20.2 і 21.0 містить патч для уразливості, що загрожує розкриттям конфіденційної інформації. Патчам для цих чотирьох програм присвоєно пріоритет 3; відповідно до системи ранжування Adobe, їх можна встановлювати в терміни на свій розсуд.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як не стати жертвою кіберзлочину, якщо працюєш вдома? ПОРАДИ
Що таке спуфінг і як запобігти атаці? ПОРАДИ
Чи варто користуватися WhatsApp? П’ять правил безпеки від найбільш розшукуваного хакера світу
Як перенести бесіди з WhatsApp у Telegram на Android? – ІНСТРУКЦІЯ
Як перенести історію чату з WhatsApp у Telegram для iPhone? – ІНСТРУКЦІЯ
Як змінити на Android обліковий запис Google за замовчуванням? – ІНСТРУКЦІЯ
Як дізнатися, які дані Google знає про Вас і видалити їх? – ІНСТРУКЦІЯ
Діяльність одного з найбільших у світі фішингових сервісів для атак на фінансові установи різних країн припинили правоохоронці. Від фішингових атак цього сервісу, який створив та адміністрував 39-річний мешканець Тернопільщини, постраждали 11 країн світу.
Досліднику у галузі кібербезпеки вдалося зламати внутрішні системи понад 35 найбільших компаній, серед яких були Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla та Uber. У цьому фахівцеві допомогла нова атака на ланцюжок поставок софту.
Для обходу захисних поштових шлюзів і фільтрів автори адресних фішингових листів використовують новаторський спосіб приховування шкідливого вмісту сторінки. Теги JavaScript, впроваджувані в HTML-код, шифруються з використанням азбуки Морзе.
Нове сімейство програм-вимагачів під назвою Vovalex поширюється через піратський софт, замаскований під популярні утиліти для Windows – наприклад, CCleaner. Одна цей шифрувальник має певну особливість, що відрізняє його від інших “шкідників” подібного класу.