العديد من نقاط الضعف التي تم تحديدها مؤخرًا:
- () في QEMU، مما قد يتسبب في تنفيذ التعليمات البرمجية بامتيازات عملية QEMU على الجانب المضيف عند تحميل صورة kernel مخصصة في الضيف. سبب المشكلة هو تجاوز سعة المخزن المؤقت في رمز نسخة ROM أثناء تمهيد النظام وتحدث عند تحميل محتويات صورة kernel ذات 32 بت في الذاكرة. الإصلاح متوفر حاليا فقط في النموذج .
- في Node.js. نقاط الضعف في الإصدارات 14.4.0 و10.21.0 و12.18.0.
- CVE-2020-8172 - يسمح بتجاوز التحقق من شهادة المضيف عند إعادة استخدام جلسة TLS.
- CVE-2020-8174 - من المحتمل أن يسمح بتنفيذ التعليمات البرمجية على النظام بسبب تجاوز سعة المخزن المؤقت في وظائف napi_get_value_string_*() التي تحدث أثناء استدعاءات معينة لـ (C API لكتابة الوظائف الإضافية الأصلية).
- CVE-2020-10531 عبارة عن تجاوز عدد صحيح في ICU (المكونات الدولية لـ Unicode) لـ C/C++ والذي يمكن أن يؤدي إلى تجاوز سعة المخزن المؤقت عند استخدام الدالة UnicodeString::doAppend().
- CVE-2020-11080 - يسمح برفض الخدمة (تحميل وحدة المعالجة المركزية بنسبة 100%) عبر نقل إطارات "SETTINGS" الكبيرة عند الاتصال عبر HTTP/2.
- في منصة تصور المقاييس التفاعلية Grafana، المستخدمة لإنشاء رسوم بيانية للمراقبة المرئية بناءً على مصادر البيانات المختلفة. يسمح لك خطأ في كود العمل مع الصور الرمزية ببدء إرسال طلب HTTP من Grafana إلى أي عنوان URL دون تمرير المصادقة ورؤية نتيجة هذا الطلب. ويمكن استخدام هذه الميزة، على سبيل المثال، لدراسة الشبكة الداخلية للشركات التي تستخدم Grafana. مشكلة في القضايا
جرافانا 6.7.4 و 7.0.2. كحل بديل للأمان، يوصى بتقييد الوصول إلى عنوان URL "/avatar/*" على الخادم الذي يقوم بتشغيل Grafana. - مجموعة يونيو من الإصلاحات الأمنية لنظام Android، والتي تعمل على إصلاح 34 نقطة ضعف. تم تعيين مستوى خطورة حرج لأربع مشكلات: اثنتين من نقاط الضعف (CVE-2019-14073، CVE-2019-14080) في مكونات Qualcomm الخاصة) واثنتين من نقاط الضعف في النظام التي تسمح بتنفيذ التعليمات البرمجية عند معالجة البيانات الخارجية المصممة خصيصًا (CVE-2020). -0117 - عدد صحيح في مكدس البلوتوث، ).
المصدر: opennet.ru