Symantec выпустила обновление для продукта, обеспечивающего безопасность электронной почты, Messaging Gateway. В этом обновлении устранена уязвимость удаленного выполнения кода, а также брешь межсайтовой подделки запроса (CSRF).
Наибольшую опасность представляет дыра в безопасности, проходящая под идентификатором CVE-2017-6327, она была обнаружена Филиппом Петтерссоном. Уязвимость получила высокую степень риска.
«Symantec Messaging Gateway может столкнуться с проблемой удаленного выполнения кода, злоумышленник может получить возможность удаленно выполнять команды на целевой машине или в целевом процессе. После получения доступа хакер может повысить свои привилегии» - говорится в Symantec.
Второй недостаток, низкой степени риска, отслеживаемый как CVE-2017-6328, является CSRF-уязвимостью, был обнаружен Дхираджом Мишрой (Dhiraj Mishra). Эта брешь позволяет злоумышленнику выполнять команды от доверенного пользователя, для этого нужно заставить жертву обратиться к специально созданному веб-сайту.
Уязвимости влияют на версии Symantec Messaging Gateway до 10.6.3-267, в самой версии 10.6.3-267 недостатки устранены. В дополнение к установке патчей компания рекомендует клиентам ограничивать доступ к административным системам и запускать приложения с самым низким уровнем привилегий.
Нет никаких причин полагать, что любая из этих уязвимостей была использована в реальных атаках. Компьютерная команда экстренной готовности США (US-CERT) также выпустила предупреждение, побуждающее организации прислушаться к рекомендациям Symantec и установить необходимые обновления.
В программном обеспечении Symantec, наравне с решениями других компаний, часто находят уязвимости. В последние несколько лет хакеры White hat раскрыли серьезные бреши, затрагивающие антивирусное обеспечение, защиту конечных точек и различные продукты корпоративной безопасности.
Одна из самых интересных уязвимостей была обнаружена в прошлом году исследователем Google Project Zero Тевисом Орманди. Эксперт обнаружил критическую уязвимость антивирусного ядра, которая могла быть использована для выполнения произвольного кода, путем отправки специально созданный файл жертве.
Symantec выпустила обновление для продукта, обеспечивающего безопасность электронной почты, Messaging Gateway. В этом обновлении устранена уязвимость удаленного выполнения кода, а также брешь межсайтовой подделки запроса (CSRF).
Компания «Стахановец» получила бессрочную лицензию ФСТЭК России на разработку и производство средств защиты конфиденциальной информации. Продукт, представленный на рынке с 2009 года, входит в Реестр российского программного обеспечения.
Согласно лицензии № Л050-00107-77/02210986, компания имеет право разрабатывать и производить программно-технические комплексы для защиты, обработки и контроля информации, а также внедрять их на объектах критической информационной инфраструктуры.
Ранее система «Стахановец», предназначенная для защиты от утечек данных и мониторинга сотрудников, получила сертификат соответствия ФСТЭК России по 4 уровню доверия.
«Для нас, как для разработчика, критически важно не только расширять функциональность решения, но и обеспечивать максимально высокий уровень безопасности», — отметил генеральный директор компании Дмитрий Исаев.
«Это цель, которую ставят перед собой лидеры рынка, и важный критерий для наших клиентов. Мы ценим их обратную связь и считаем принципиально важным соответствовать требованиям регуляторов в области ИТ-безопасности».
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
