Vulnerabilități de securitate pentru ultima versiune a iOS

La o săptămână de la implementarea versiunii 14.0 pentru iOS, compania Apple a fost nevoită să lanseze, la 3 mai 2021, o nouă versiune pentru repararea a două vulnerabilități „zero-day” – CVE-2021-30663 și CVE-2021-30665. În plus, pentru repararea celor două bug-uri, a fost lansată în aceeași zi și versiunea 11.3.1 pentru MacOS.

Vulnerabilitățile au fost identificate la nivelul Webkit, implicând posibilitatea procesării unui conținut web malițios pentru executarea arbitrară de cod.

În cadrul noii versiuni pentru iOS, 14.1, a fost reparat și un bug pentru App Tracking Transparency.

Sursa: https://arstechnica.com/gadgets/2021/05/apple-reports-2-ios-0days-that-let-hackers-compromise-fully-patched-devices/

Actualizări de securitate pentru multiple vulnerabilități ale Cisco

Cisco a lansat actualizări pentru repararea a două vulnerabilități critice pentru SD-WAN vManage (CVE-2021-1468 și CVE-2021-1505), permițând executarea arbitrară de cod, esacaladarea privilegiilor, accesarea unor informații sensibile sau a unor aplicații vulnerabile.

De asemenea, a fost reparat un bug critic pentru HyperFlex HX (CVE-2021-1497), care implica posibilitatea lansării unor atacuri tip „command injection”.

Pe lângă acestea, au fost lansate patch-uri pentru adresarea unor vulnerabilități de severitate ridicată sau medie pentru alte produse software ale Cisco.

Sursa: https://www.bleepingcomputer.com/news/security/cisco-bugs-allow-creating-admin-accounts-executing-commands-as-root/

Actualizare de securitate de la VMware

VMware a lansat o actualizare de securitate pentru repararea vulnerabilității CVE-2021-21984, prezentă la nivelul versiunilor mai vechi de 7.6.0 pentru VMware vRealize Business for Cloud. Bug-ul critic permite atacatorilor neautentificați să execute cod la nivelul serverelor vulnerabile.

Sursa: https://www.bleepingcomputer.com/news/security/vmware-fixes-critical-rce-bug-in-vrealize-business-for-cloud/

Vulnerabilități „memory allocation” pentru dispozitive IoT și OT

Un grup al Microsoft pentru cercetarea securității IoT a identificat o serie de vulnerabilități „memory allocation” la nivelul dispozitivelor IoT (internet of things) și OT (operational technology) utilizate în domeniile medical și industrial sau în cadrul rețelelor companiilor.

Astfel, peste 25 de vulnerabilități pot fi exploatate de atacatori pentru evitarea măsurilor de securitate și executarea de cod sau realizarea unui „crash” al sistemului vizat. O listă a vulnerabilităților și produselor afectate poate fi consultată aici.

Sursa: https://msrc-blog.microsoft.com/2021/04/29/badalloc-memory-allocation-vulnerabilities-could-affect-wide-range-of-iot-and-ot-devices-in-industrial-medical-and-enterprise-networks/