کمیته رکن چهارم – در اولین هفته مهر ماه، شرکتهای وسترندیجیتال، سیسکو و اپل اقدام به عرضه اصلاحیهها و بهروزرسانیهای امنیتی برای برخی از محصولات خود کردند.
در این هفته، وسترندیجیتال با انتشار اصلاحیه امنیتی، یک آسیبپذیری یک ساله از نوع عبور از سد کنترلهای اصالتسنجی (Authentication Bypass)، با شناسه CVE-2018-17153 را در تجهیزات ذخیرهساز متصل به شبکه My Cloud ترمیم و اصلاح کرد. توضیحات بیشتر در لینک زیر قابل مطالعه است:
سیسکو، دیگر شرکتی بود که در این هفته بهروزرسانیهای امنیتی عرضه کرد. محصولات بهروز شده بهشرح زیر است:
- Catalyst 6800 Series Switches ROM Monitor Software
- Identity Services Engine
- IOS / IOS XE Software Cisco Discovery Protocol
- IOS / IOS XE Software Cluster Management Protocol
- IOS / IOS XE Software IPv6 Hop-by-Hop Options
- IOS / IOS XE Software Plug and Play Agent
- IOS / IOS XE Software TACACS+ Client
- IOS / IOS XE Software VLAN Trunking Protocol
- IOS and IOS XE Software SM-1T3/E3 Service Module
- IOS Software for Cisco 800 Series Industrial Integrated Services Routers
- IOS Software Precision Time Protocol
- IOS XE Software / ASA 5500-X Series Adaptive Security Appliance IPsec
- IOS XE Software Cisco Discovery Protocol
- IOS XE Software Errdisable
- IOS XE Software HTTP
- IOS XE Software NAT Session Initiation Protocol
- IOS XE Software Privileged EXEC Mode
- IOS XE Software Shell Access Authentication Bypass
- IOS XE Software Web UI
- Video Surveillance Manager
- Webex Meetings Client for Windows
این بهروزرسانیها، آسیبپذیریهایی همچون از کاراندازی سرویس (Denial of Service)، تزریق فرمان (Command Injection)، نشت حافظه (Memory Leak)، ترفیع امتیازی (Privilege Escalation)، عبور از سد کنترلهای اصالتسنجی، دسترسی به هسته (Root Access)، نوشتن کد بر روی حافظه (Arbitrary Memory Write)، عبور از سد اصالتسنجی امضای دیجیتال (Digital Signature Verification)، عبور از کنترل راهاندازی امن (Secure Boot Bypass) و دسترسی غیرمجاز (Unauthorized Access) را در محصولات مذکور ترمیم و اصلاح میکنند. جزییات بیشتر در لینک زیر:
همچنین، دوشنبه، دوم مهر ماه، شرکت اپل اقدام به انتشار نسخه جدیدی از سیستم عامل macOS است. در نسخه جدید ضعفهایی پوشش داده شده که بهرهجویی از برخی از آنها مهاجم را قادر به در اختیار گرفتن کنترل سیستم میکند. توضیحات بیشتر در لینک زیر قابل دریافت است:
