Компания Adobe исправила три серьезные уязвимости в платформе быстрой разработки ColdFusion. Два бага имеют критический уровень опасности и допускают удаленное выполнение кода либо самовольный выход за пределы рабочего каталога. Третий недостаток оценен как существенный и связан с возможностью несанкционированного раскрытия информации.
Проблемы затрагивают обе актуальные версии продукта и закрыты в релизах ColdFusion 2018 Update 5 и ColdFusion 2016 Update 12.
По мнению специалистов, наибольшую угрозу представляет баг, зарегистрированный как CVE-2019-8073. Ошибка связана с возможностью внедрения сторонних команд через уязвимый модуль платформы, что позволяет киберпреступнику запустить вредоносный скрипт на целевой машине. Adobe поблагодарила команду ИБ-аналитиков Badcode of Knownsec 404 за помощь в обнаружении этой уязвимости.
Другую критическую ошибку в ColdFusion — CVE-2019-8074 — нашел эксперт компании Aura Information Security Даниэль Андерхей (Daniel Underhay). Возможность обхода каталога позволяет злоумышленнику миновать механизмы контроля доступа и создать или перезаписать любой файл на сервер. По сообщению разработчика, помощь в исследовании этой проблемы оказали специалисты компаний Techlegalia и Foundeo.
Баг в Adobe ColdFusion может стать причиной утечки данных:
Чуть менее опасна уязвимость CVE-2019-8072, выявленная ИБ-аналитиком Питом Фрейтэгом (Pete Freitag). Баг связан с возможностью обхода защитных механизмов ColdFusion, приводящего к несанкционированному раскрытию конфиденциальных данных.
Вендор рекомендует владельцам уязвимых систем как можно скорее установить патчи; обновленные версии обоих вариантов платформы доступны на сайте Adobe. В целях безопасности разработчик пока не раскрывает технические детали выявленных недостатков.
В начале марта Adobe выпустила патч для критического бага, связанного с возможностью выполнения стороннего кода в среде ColdFusion. Как выяснили эксперты, злоумышленник мог загрузить вредоносный скрипт в один из каталогов на сервере платформы и удаленно запустить его, используя HTTP-запрос.

Источник: https://threatpost.ru/adobe-patches-cold-fusion-sep-19/34243/

Разработчики Apple сообщили об уязвимости iOS, позволяющей сторонним клавиатурам получить полный набор привилегий на iOS-устройстве. Об этой проблеме стало известно уже после выхода версии ОС 13.1, которая устранила возможность несанкционированного доступа к контактам пользователей Apple.
Подробности бага со сторонними клавиатурами в iOS 13:
Как пояснили журналисты TechCrunch, клавиатурные расширения на iOS могут работать либо самостоятельно, без взаимодействия с прочими сервисами, либо с полным набором привилегий. Последний вариант используется, когда приложение использует сетевые функции. Как выяснилось, даже если владелец устройства не дает клавиатурному расширению эти возможности, оно может получить их самостоятельно.
Специалисты Apple не привели подробностей о существующей угрозе, уточнив лишь, что она актуальна для iOS 13 и iPadOS. Эксперты полагают, что в предыдущих версиях мобильных ОС уязвимость также присутствует. Сама возможность добавлять такие расширения появилась в iOS 8, которая вышла в 2014 году.
Пользователи могут проверить, какие сторонние клавиатуры установлены на их iPhone, iPad или iPod Touch в настройках устройства.
Безопасность в iOS 13:
Свежая мобильная ОС от Apple, увидевшая свет ранее в этом месяце, открыла пользователям дополнительные возможности для контроля данных. Теперь они могут авторизоваться в приложениях и на сайтах с помощью Apple ID, используя отпечаток пальца или распознавание лица. Разработчики подчеркнули, что компания не отслеживает применение этой функции, а вся информация, которую получают третьи лица, ограничивается именем пользователя и его электронным адресом.
Другая опция позволяет создавать временные электронные адреса, чтобы регистрироваться на онлайн-ресурсах, не публикуя свою почту. Все входящие сообщения при этом автоматически отправляются на основной ящик.
Разработчики также предложили новые возможности для контроля геолокационных данных. Теперь пользователи указывают, хотят ли они открыть приложению однократный доступ к этой информации или разрешить постоянное отслеживание перемещений. Кроме того, iOS-устройство будет сообщать владельцу о каждом случае, когда та или иная программа пытается узнать его местоположение.
Новые настройки API блокируют неправомерный доступ к геолокации при использовании WiFi- и Bluetooth-подключений. Наконец, владельцы iPhone, iPad и iPod Touch могут удалять геометки из фотографий, которыми хотят поделиться с другими пользователями.

Источник: https://threatpost.ru/ios-13-keyboard-bug/34274/

Разработчики популярных почтовых агентов Exim в экстренном порядке выпустили обновление 4.92.3. Оно закрывает критическую уязвимость, позволяющую удаленно вызвать отказ в обслуживании или даже выполнить произвольный код на сервере.
Проблема, получившая идентификатор CVE-2019-16928, связана с ошибкой переполнения буфера, которая может возникнуть при обработке строковых данных в приветствии EHLO, с помощью которого SMTP-клиент при подключении представляется почтовому серверу.
Согласно описанию на сайте exim.org, уязвимость проявляется при выполнении функции string_vformat, определенной в файле string.c обработчика команд EHLO. «Единственный известный в настоящее время эксплойт использует очень длинную EHLO-строку, чтобы вызвать отказ процесса Exim, ответственного за прием сообщения, — сказано в бюллетене. — Работая в таком режиме, Exim к этому моменту уже сбрасывает свои привилегии, однако можно найти и другой способ добраться до уязвимого кода».
Уязвимости подвержены все прежние сборки Exim ветки 4.92. Временных мер защиты от эксплойта не существует, поэтому пользователям рекомендуется как можно скорее обновить затронутые серверы. Тем, кто использует релизы, снятые с поддержки, разработчики обещают по запросу бэкпортировать заплатку, если у них будет такая возможность.
В начале сентября в Exim пропатчили другую критическую уязвимость — CVE-2019-15846. Пользователям тогда тоже пришлось обновлять почтовый агент в экстренном порядке: наличие проблемы позволяло удаленно выполнить на сервере вредоносный код с root-привилегиями. Еще об одной RCE-уязвимости в Exim стало известно в июне — как оказалось, разработчики ее устранили, сами того не зная, еще в феврале. Однако пользователи долго медлили с обновлением, и после публикации подробностей злоумышленники быстро поставили эксплойт на поток.

Источник: https://threatpost.ru/critical-exim-flaw-opens-servers-to-remote-code-execution/34303/

Разработчики PDF-редактора Foxit Reader исправили восемь серьезных уязвимостей в своем продукте. Баги позволяли злоумышленнику удаленно выполнить вредоносный код в целевой системе и перехватить управление. Патчи включены в Foxit Reader 9.7, доступный для загрузки на официальном сайте.
Критический баг Foxit Reader при взаимодействии с JavaScript-движком
Наиболее серьезный недостаток — CVE-2019-5031 — получил 8,8 балла по шкале CVSS. Уязвимость связана с механизмами, через которые программа взаимодействует с движком JavaScript, необходимым для открытия интерактивных документов и динамических форм. Как выяснили ИБ-специалисты Cisco Talos, движок версии 7.5.45, встроенный в Foxit Reader 9.4.1.16828, может использовать весь доступный объем оперативной памяти, что приводит к отказу в обслуживании или выполнению произвольного кода.
Для эксплуатации уязвимости злоумышленник должен обманом заставить пользователя открыть вредоносный файл. Кроме того, киберпреступники могут атаковать жертву через Foxit-плагин для браузера и специальную веб-страницу.
Семь серьезных уязвимостей в Foxit Reader
Несколько багов, оцененных специалистами в 7,8 балла CVSS, выявили эксперты Zero Day Initiative. Три недостатка относятся к подсистеме, обрабатывающей поля AcroForm — они предназначены для ввода данных в PDF-документы. Уязвимости, идентифицированные как CVE-2019-13326, CVE-2019-13327 и CVE-2019-13328, связаны с тем, что программа пытается выполнять операции с объектами, чье существование не проверила. Злоумышленник может использовать эти ошибки для запуска кода в контексте текущего процесса.
Недостатки присутствуют в Windows-версии Foxit Reader 9.6.0.25114 и позволяют захватить контроль над уязвимой системой.
Еще четыре бага дают атакующему возможность удаленно выполнить код в среде программы, если жертва посетит вредоносную страницу или откроет предоставленный злоумышленником файл. Проблемы вызваны некорректной обработкой изображений в формате TIF (CVE-2019-13329), JPG (CVE-2019-13330 и CVE-2019-13331), а также шаблонов XFA-форм (CVE-2019-13332).
Год назад разработчикам Foxit Reader пришлось исправлять более сотни уязвимостей, среди которых оказалось 23 критических бага. Ошибки use-after-free позволяли нападающему выполнить скрипт на целевой машине, если пользователь открывал вредоносный PDF-документ.

Источник: https://threatpost.ru/foxit-reader-patches-8-high-severity-vulns-sep-19/34362/

Специалисты компании Akamai Technologies выяснили, что злоумышленники все еще пользуются уязвимостью Drupalgeddon2, пропатченной полтора года назад. Исследователи обнаружили следы атак в журналах сканеров безопасности, а также провели анализ полезной нагрузки, найденной на одном из скомпрометированных сайтов.
По мнению экспертов, текущая кампания относительно скромная: она нацелена на отдельные сайты с большим трафиком и не имеет отраслевой направленности.
В руки ИБ-специалистов попали два объекта, найденных на бразильском веб-ресурсе. Обфусцированный вредоносный код размещен в GIF-файле, а незашифрованный Perl-сценарий для коммуникаций с C&C-сервером — в текстовом документе.
Сценарий новых атак через Drupalgeddon2
Перед запуском скриптов злоумышленники ищут и удаляют предыдущие варианты полезной нагрузки, а также изменяют ключевые настройки сайта. Файл index.inc.gif содержит PHP-код, зашифрованный при помощи алгоритмов base64, rot13 и архиватора gzip. Вредоносный сценарий пытается выполнить следующие команды:
запуск собственной веб-оболочки;
распаковка и удаленный запуск скриптов;
поиск учетных данных на диске и отправка их злоумышленникам;
замена файла конфигурации .htaccess;
вывод системной информации и конфигурации SQL-базы;
переименование файлов на целевой машине.
Вторая часть полезной нагрузки находится в текстовом файле — это набор команд для подключения к IRC-чату, через который идет связь скомпрометированного ресурса с центром управления. Скрипт позволяет собирать информацию об уязвимой системе, использовать ее для DDoS-атак и перехватывать управление сайтом. По мнению специалистов, злоумышленники использовали готовый код, доступный в даркнете, изменив часть сценария для своих целей.
Разработчики Drupal исправили уязвимость Drupalgeddon2 в марте 2018 года. Баг позволяет неавторизованному злоумышленнику удаленно выполнить код на сайте, работающем под управлением CMS версий с 3.3 по 8.5. Проблема зарегистрирована как CVE-2018-7600 и получила критический уровень угрозы по шкале CVSS.

Источник: https://threatpost.ru/drupalgeddon2-is-still-being-used-oct-2019/34405/