Баъзе аз камбудиҳои ба наздикӣ ошкоршуда:
- Perl 5.38.1 осебпазириро (CVE-2023-47038) ислоҳ мекунад, ки метавонад ҳангоми коркарди ифодаҳои муқаррарии тартибдодашуда бо хосияти дохилии Unicode бо номи нодуруст аз нав муайяншуда бо "utf8::perl" оварда расонад. Ин мушкилот аз Perl 5.30 сар карда вуҷуд дорад.
Илова бар ин, Perl 5.38.1 як платформаи мушаххасро аз байн бурд. Windows Осебпазирӣ (CVE-2023-47039) имкон медиҳад, ки ҳангоми иҷро кардани скриптҳо, агар файли cmd.exe дар директорияи ҷорӣ ҷойгир карда шавад, иҷроиши худсаронаи код имконпазир гардад (аз сабаби набудани тозакунии роҳ ҳангоми ҷустуҷӯи файлҳои иҷрошаванда, Perl аввал кӯшиш мекунад, ки cmd.exe-ро дар директорияи ҷорӣ иҷро кунад). Масалан, ҳамлагар метавонад cmd.exe-и фармоиширо дар директорияи C:\ProgramData ҷойгир кунад ва имтиёзҳои худро афзоиш диҳад, агар администратор скрипти Perl-ро аз он директория иҷро кунад.
- Дар платформаи абрии ownCloud осебпазирӣ (CVE-2023-49103) ошкор карда шуд, ки аз он лоиҳаи Nextcloud дар соли 2016 ҷудо карда шуд, ки ба барномаи graphapi таъсир расонд ва имкон дод, ки мундариҷаи тағирёбандаҳои муҳит муайян карда шавад, ки метавонанд пароли администратор, калиди иҷозатнома ва эътимодномаҳоро барои пайвастшавӣ ба почта дар бар гиранд. серверИн мушкилот аз истифодаи китобхонаи тарафи сеюм дар graphapi ба вуҷуд омадааст, ки дар баробари дигар чизҳо, коркардкунандаи GetPhpInfo.php-ро пешниҳод мекунад, ки функсияи phpinfo()-ро даъват мекунад ва натиҷаи он тағирёбандаҳои муҳити зистро дар бар мегирад.
- Дар чаҳорчӯбаи мултимедиявии GStreamer ду осебпазирӣ муайян карда шудаанд: CVE-2023-44446, осебпазирии пас аз истифода дар рамзи таҳлили файли MXF; ва CVE-2023-44429, пур шудани буфер дар рамзи таҳлили формати AV1. Мушкилоти аввал аз сабаби набудани тасдиқи объект пеш аз иҷрои амалиётҳо дар он ва дуввум аз сабаби набудани тасдиқи андозаи маълумот пеш аз нусхабардории он ба буфери собит ба вуҷуд меояд. Ин осебпазириҳо метавонанд ҳангоми кӯшиши коркарди файлҳои махсус таҳияшудаи MXF ва маълумоти мултимедиявии AV1 ба иҷрои рамзи зараровар оварда расонанд. Қайд карда мешавад, ки векторҳои ҳамла аз татбиқи барномаи ҳамлашуда вобастаанд. Ба ин мушкилот сатҳи вазнинии 8.8 аз 10 дода шудааст. Осебпазириҳо дар GStreamer 1.22.7 ислоҳ карда шудаанд.
- Дар системаи оператсионии Zephyr RTOS дар вақти воқеӣ бисту панҷ осебпазирӣ муайян карда шудааст, ки аксари онҳо метавонанд боиси иҷрои рамзи ҳамлагар шаванд. Осебпазириҳо аз сабаби аз ҳад зиёд пур шудани буфер дар қабати WiFi, стеки Bluetooth, драйвери IPM, стеки USB, драйвери IEEE 802.15.4, зерсистемаи Mgmt, системаи файлӣ, драйвери eS-WiFi ва зерсистемаи CANbus ба вуҷуд меоянд. Аксари осебпазириҳо дар Zephyr 3.5.0 ислоҳ шудаанд, аммо як мушкилот (CVE-2023-4261) ҳанӯз ислоҳ нашудааст (тафсилоти ин осебпазирӣ то дастрас шудани патч нашр карда намешавад).
Манбаъ: opennet.ru
