Время собирать урожай за месяц. Не смогли выбрать, что важнее (спойлер — вроде бы всё), поэтому рассказываем, а точнее кратко пересказываем, самое-самое из мира безопасности и не только. Если пропустили, самое время наверстать упущенное. Жаль, что с августом так нельзя. В общем, погнали.
Главные уязвимости
«Дыра» в Roundcube Webmail
Специалисты компании Sonar обнаружили критические недостатки безопасности в Roundcube Webmail, которые позволяют злоумышленникам исполнять вредоносный JavaScript в браузере пользователя, угрожая конфиденциальности данных. Так преступники могут украсть письма, контакты или пароли жертвы, а также отправлять сообщения от её имени — всё это после открытия зараженного письма.
Из нюансов: уязвимость CVE-2024-42009 может использоваться вообще без каких-либо действий от пользователя, в то время как для CVE-2024-42008 требуется всего лишь один клик.
В начале августа были выпущены обновления для версий 1.6.8 и 1.5.8, которые устранили сразу три проблемы:
- CVE-2024-42008 — XSS уязвимость, связанная с вредоносными вложениями;
- CVE-2024-42009 — XSS ошибка при обработке HTML-кода;
- CVE-2024-42010 — утечка данных из-за недостаточной фильтрации CSS.
Sonar не раскрывает подробности о технических аспектах, чтобы побудить пользователей своевременно обновить ПО, так как данные уязвимости уже использовались в атаках групп хакеров APT28, Winter Vivern и TAG-70.
Проблема безопасности в PostgreSQL позволяет запускать SQL-код с правами пользователя, инициирующего pg_dump
9 августа 2024 года были представлены обновления для версий PostgreSQL 16.4, 15.8, 14.13, 13.16 и 12.20, которые исправили 56 дефектов, среди которых критическая уязвимость CVE-2024-7348 с рейтингом 8.8 из 10 по уровню опасности.
Эта уязвимость возникает из-за состояния гонки в утилите pg_dump, что предоставляет злоумышленнику, имеющему разрешения на создание и удаление объектов в СУБД, возможность выполнить произвольный SQL-код. Чтобы реализовать атаку, необходимо следить за моментом запуска pg_dump и заменить последовательность на представление или внешнюю таблицу.
Для устранения уязвимости добавлена опция "restrict_nonsystem_relation_kind", которая ограничивает доступ к не системным объектам в pg_dump.
Из мира процессоров
Уязвимость в CPU AMD позволяет получить доступ к SMM
Уязвимость, известная как Sinkclose (CVE-2023-31315), выявлена в процессорах AMD. Она затрагивает возможность внесения изменений в настройки SMM (System Management Mode) и выполнения кода на этом уровне, что позволяет обойти SMM Lock. Это открывает неограниченный доступ к системной памяти и предоставляет контроль над ОС.
Причиной уязвимости стала ошибка в проверке моделезависимых регистров (MSR). Затронутыми являются процессоры AMD, производимые с 2006 года, включая модели EPYC и Ryzen. Были выпущены обновления микрокода для мобильных и десктопных версий, встраиваемые обновления ожидаются в октябре. Для удаления вредоносного кода необходимо использовать программатор SPI Flash.
Intel обновила микрокод 0x129 для Raptor Lake
Компания Intel сообщила о проблемах с процессорами Core 13-го и 14-го поколений (Raptor Lake), которые могут вызывать сбои. Для техники с уже возникшими неполадками предусмотрена замена, а новые устройства получат BIOS с микрокодом 0x129 для предотвращения неисправностей.
Обновление не решит проблемы у имеющихся процессоров, но поможет моделям K, KF и KS, ограничивая напряжение до 1,55 В. Intel продляет гарантию на два года для клиентов с неисправностями и предлагает обмен через поддержку или OEM-партнёров.
Уязвимости в Windows
Даунгрейд-атака позволяет использовать старые уязвимости в Windows
На конференции Black Hat 2024 специалист компании SafeBreach Алон Левиев сообщил о наличии двух 0-day уязвимостей (CVE-2024-38202 и CVE-2024-21302), которые открывают возможность даунгрейд-атак на операционные системы Windows 10, 11 и Server. Такие атаки могут привести к повторной эксплуатации устаревших уязвимостей даже на полностью обновленных устройствах.И на данный момент решения для устранения этих проблем ещё не разработаны.
Даунгрейд-атаки заставляют системы возвращаться к предыдущим версиям ПО, что вновь делает их уязвимыми. Левиев подчеркнул, что с помощью этих уязвимостей можно снизить уровень защиты, затрагивая такие компоненты, как Credential Guard и Hyper-V, что открывает доступ к старым уязвимостям повышения привилегий.
В феврале 2024 года он уведомил Microsoft о данных уязвимостях, но компания всё еще занятa их исправлением. В Microsoft заявили, что пока не зафиксировали фактов эксплуатации этих уязвимостей, и рекомендовали соблюдать меры безопасности до выпуска патчей.
Уязвимость IPv6 в Windows
15 августа 2024 года Microsoft сообщила о серьезной уязвимости в IPv6 (CVE-2024-38063), позволяющей злоумышленникам удалённо выполнять код на Windows 10, 11 и Server из-за целочисленного переполнения в TCP/IP.
Уязвимость, выявленная экспертом из Kunlun Lab, может эксплуатироваться через специально подготовленные IPv6 пакеты без аутентификации. Отключение IPv6 не решает проблему, так как атака может быть произведена до обработки пакетов. Полное отключение IPv6 может вызвать сбои в системе. Дастин Чайлдс из Trend Micro назвал уязвимость одной из самых серьезных. Исправлена в последнем обновлении, рекомендуется установить обновления безопасности.
Новости Microsoft
Компания расширяет лимиты FAT32 в Windows 11
В последней сборке Windows 11 на канале Canary компания Microsoft увеличила максимальный размер раздела FAT32 до 2 Тбайт, что превышает предыдущий лимит в 32 Гбайт. Данное обновление доступно в сборке 27686, позволяя пользователям использовать команду «format» в командной строке для создания больших разделов без помощи дополнительных утилит.
Стоит отметить, что Windows продолжает поддерживать чтение FAT32-разделов объемом более 32 Гбайт, созданных в других ОС. Однако графический инструмент форматирования сохраняет свое ограничение на уровне 32 Гбайт.
Другая новинка в 27686 — обновление Windows Sandbox Client, которое включает новые функции, такие как возможность общего доступа к папкам. Также улучшена эффективность работы аккумулятора и исправлен индикатор заряда на экране блокировки. Участники программы Windows Insider теперь могут отправлять диагностическую информацию Microsoft с ограничением в 10 Мбайт в день через Ethernet и Wi-Fi.
Microsoft сломала ПК с двойной загрузкой Windows и Linux в последнем обновлении безопасности
В новом обновлении безопасности, Microsoft неожиданно нарушила работу ПК, на которых установлены Windows и Linux в режиме двойной загрузки. Цель обновления была исправить уязвимость в загрузчике GRUB, однако оно привело к сложностям с загрузкой операционной системы Linux. Пользователи Ubuntu быстро нашли способ решить этот недуг, отключив Secure Boot в BIOS и удалив политику Microsoft SBAT через терминал. Secure Boot, применяемый Microsoft для обеспечения безопасности Windows 11, оказался под угрозой и подвергся атакам на некоторых компьютерах.
Переход Debian 11 на LTS
Debian 11 "Bullseye" завершает стандартную поддержку и переходит на Long Term Support (LTS) до 31 августа 2026 года. Поддержка текущей версии Debian 12 продлится до 10 июня 2026 года с LTS-обновлениями до 30 июня 2028 года.
Обновления будет предоставлять команда LTS Team. Поддержка включает архитектуры i386, amd64, arm64 и armhf. Некоторые пакеты, например, такие как chromium, xen, phppgadmin, tor и другие, не будут обновляться.
С завершением LTS начнётся "Расширенное LTS" от Freexian для выбранных пакетов до 2031 года. Теперь поддержка может длиться до 10 лет.