Тайванський виробник промислових рішень Advantech усунув низку небезпечних уразливостей в програмному пакеті для HMI Advantech WebAccess/SCADA.

Зокрема, виправлені дві критичні проблеми, що дозволяють віддалене виконання коду, і помилка, що призводить до збою в роботі програмного забезпечення. Уразливими є версії WebAccess/SCADA 8.3.5 і більш ранні, пише SecurityLab.

Скориставшись уразливими CVE-2019-6552 і CVE-2019-6550, неавторизований хакер може виконати код з правами адміністратора. Проблеми зачіпають різні файли, але, судячи з усього, обидві пов’язані з процесом webvrpcs. Джерелом уразливості є відсутність перевірки довжини введених користувачем даних до того, як вони будуть скопійовані в буфер.

Уразливість CVE-2019-6554 зачіпає файл UninstallWA.exe, а також процес webvrpcs. З її допомогою неавторизований хакер може деінсталювати додаток і викликати відмову в обслуговуванні системи.

Зазначені вище проблеми виправлені з релізом версії Advantech WebAccess 8.4.0.

До речі, спеціаліст із безпеки Джеймс Лі (James Lee) оприлюднив PoC-коди для двох уразливостей в Microsoft Edge і Internet Explorer, що дозволяють обійти політику єдиного походження (Same Origin Policy, SOP) у браузерах. Рішення про публікацію прийнято після того, як компанія Microsoft проігнорувала звіт про проблему.

Intel попереджає користувачів Windows 10 про небезпеку застарілих графічних драйверів, у яких присутні серйозні уразливості. Корпорація рекомендує: драйвери необхідно оновлювати, встановивши всі патчі, які Intel випустила за минулий рік.

Останнє оновлення для Windows 10 повинно було привнести ряд поліпшень в систему, але насправді подарувало користувачам лише проблеми. Особливо постраждали геймери, до яких Microsoft нещодавно звернулася за допомогою у розвитку системи.

Також у п’яти найпопулярніших менеджерах паролів для Windows 10 – 1Password 7, 1Password 4, Dashlane, KeePass і LastPass – виявили уразливості.

Поточні тести зі зламу паролів показують, що мінімальний восьмизначний пароль, незалежно від складності, може бути зламаний менш ніж за 2,5 години з використанням відповідного апаратного оснащення.

Спеціаліст з безпеки Лінус Хенце (Linus Henze) виявив уразливість в операційній системі Apple macOS, яка надає можливість отримати облікові дані з зв’язки ключів (KeyChain) на комп’ютерах Мас без прав адміністратора або суперкористувача.