Жақында анықталған бірнеше осалдықтар:
- Perl 5.38.1 техникалық қызмет көрсету шығарылымы атымен қате қайта анықталған ішкі Юникод сипаты бар құрастырылған тұрақты өрнектерді өңдеу кезінде бөлінген буфердегі шекарадан бір байттың жазылуын тудыруы мүмкін осалдықты (CVE-2023-47038) қарастырады. «utf8::» perl» көмегімен. Мәселе Perl 5.30 тармағынан кейін пайда болады.
Сонымен қатар, Perl 5.38.1 платформаға тән мүмкіндікті алып тастады. Windows Осалдық (CVE-2023-47039) cmd.exe файлын ағымдағы каталогқа орналастыруға болатын болса, сценарийлерді іске қосқан кезде кодты еркін орындауға мүмкіндік береді (орындалатын файлдарды іздеу кезінде жолды тазалаудың болмауына байланысты Perl алдымен ағымдағы каталогта cmd.exe файлын іске қосуға тырысады). Мысалы, шабуылдаушы C:\ProgramData каталогына арнайы cmd.exe файлын орналастырып, әкімші сол каталогтан Perl скриптін іске қосқан жағдайда оның құқықтарын кеңейтуі мүмкін.
- 2016 жылы Nextcloud жобасы бөлінген ownCloud бұлттық платформасында осалдық (CVE-2023-49103) анықталды. Ол graphapi қосымшасына әсер етеді және әкімші құпия сөзін, лицензия кілтін және пошта серверіне қосылуға арналған тіркелгі деректерін қамтуы мүмкін орта айнымалыларының мазмұнын анықтауға мүмкіндік береді. серверМәселе graphapi бағдарламасында үшінші тарап кітапханасын пайдаланудан туындайды, ол, басқалармен қатар, phpinfo() функциясын шақыратын GetPhpInfo.php өңдегішін ұсынады, оның шығысында орта айнымалылары бар.
- GStreamer мультимедиялық құрылымында екі осалдық анықталды: CVE-2023-44446 - MXF файлын талдау кодында босатқаннан кейін жадқа қол жеткізу (Use-After-Free); CVE-2023-44429 - AV1 пішіміндегі талдау кодындағы буфердің толып кетуі. Бірінші мәселе объектіде операцияларды орындамас бұрын оны тексермеуден, ал екіншісі - бекітілген буферге көшіру алдында деректердің өлшемін тексермеуден туындайды. Осалдықтар арнайы әзірленген MXF файлдарын және AV1 медиасын өңдеуге әрекет жасағанда шабуылдаушы кодын орындауға мүмкіндік береді. Шабуыл векторлары шабуылға ұшыраған қолданбаны іске асыруға байланысты екені атап өтіледі. Мәселелерге 8.8-нан 10-ге дейінгі ауырлық деңгейі тағайындалды. Осалдықтар GStreamer 1.22.7 шығарылымында шешілген.
- Zephyr RTOS нақты уақыттағы операциялық жүйесінде 25 осалдық анықталды, олардың көпшілігі шабуылдаушы кодының орындалуына әкелуі мүмкін. Осалдықтар WiFi қабығындағы, Bluetooth стекіндегі, IPM драйверіндегі, USB стекіндегі, IEEE 802.15.4 драйверіндегі, Mgmt ішкі жүйесіндегі, файлдық жүйедегі, eS-WiFi драйверіндегі және CANbus ішкі жүйесіндегі буфердің толып кетуінен туындайды. Осалдықтардың көпшілігі Zephyr 3.5.0 шығарылымында шешілген, бірақ бір мәселе (CVE-2023-4261) түзетілмеген күйінде қалады (түзету қолжетімді болғанша бұл осалдық туралы мәліметтер жарияланбайды).
Ақпарат көзі: opennet.ru
