VMware устранила три критические уязвимости в Workspace ONE Assist

VMware устранила три критические уязвимости в Workspace ONE Assist

VMware устранила три критические уязвимости в Workspace ONE Assist

Компания VMware обновила Workspace ONE Assist, закрыв пять уязвимостей в Windows-приложении, которое айтишники в компаниях используют для дистанционного поиска и устранения неполадок на конечных устройствах.

Три решенные проблемы (с CVE-2022-31685 по CVE-2022-31687) позволяют без аутентификации повысить привилегии до уровня админа и оценены как критические — в 9,8 балла из 10 возможных по шкале CVSS. Эксплойт во всех случаях требует лишь сетевого доступа к Workspace ONE Assist.

В бюллетене VMware эти уязвимости характеризуются следующим образом:

  • CVE-2022-31685 — возможность обхода аутентификации;
  • CVE-2022-31686 — несовершенство процедуры проверки подлинности;
  • CVE-2022-31687 — слабый контроль доступа.

Остальные дыры не столь опасны. Уязвимость CVE-2022-31688 (6,4 балла CVSS) представляет собой возможность межсайтого скриптинга (XSS), возникшую из-за неадекватной санации пользовательского ввода. Эксплойт требует взаимодействия с пользователем и позволяет внедрить произвольный JavaScript-код в текущее окно.

Проблема CVE-2022-31689 (фиксация сессии, 4,2 балла) вызвана некорректной обработкой сеансовых идентификаторов. При наличии действительного токена проблема позволяет успешно пройти аутентификацию и получить доступ к приложению.

Уязвимости подвержены Workspace ONE Assist версий 21.x и 22.x; патчи включены в состав обновления 22.10. Альтернативных способов защиты от эксплойта пользователям не предлагают.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Сенатор Шейкин уточнил порядок новых норм в отношении VPN

Как подчеркнул сенатор Артём Шейкин, новые нормы не направлены против конечных пользователей, а касаются в первую очередь провайдеров, платформ и технических посредников. По его словам, цель поправок — не массовое отслеживание граждан, а усиление контроля над инфраструктурой, обеспечивающей доступ к интернет-ресурсам.

Речь идёт о поправках ко второму чтению законопроекта №755710-8, которое намечено на ближайшие дни.

«Ужесточается ответственность владельцев VPN и других средств обхода блокировок в случае, если они не подключаются к федеральной системе фильтрации и не блокируют запрещённые ресурсы.

Предусмотрены "оборотные" штрафы для организаторов распространения информации, которые не внедряют технические средства для выполнения требований СОРМ (системы оперативно-разыскных мероприятий). В том числе это касается возможности предоставлять информацию по запросу уполномоченных органов», — заявил сенатор.

В комментарии РИА Новости Артём Шейкин заверил, что угрозы штрафов не будет для тех, кто использует средства подмены адресов для доступа к заблокированному контенту, но при этом не нарушает законодательство — в частности, не распространяет запрещённые материалы. Ответственность в таком случае понесёт оператор или владелец сервиса.

«Обычный просмотр страниц, даже материалов иноагентов или "сомнительных лиц", если они не внесены в соответствующий список, не является нарушением», — подчеркнул сенатор.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru