Сегодня в ТОП-5 — PatchTuesday от компании Microsoft, Palo Alto устранила уязвимость обхода аутентификации в PAN-OS, Ivanti исправила три критические уязвимости, RCE в Архиваторе WinZip, Apple исправила zero-day эксплойт.
Февральский PatchTuesday от компании Microsoft
Компания Microsoft выпустила февральский пакет обновлений в рамках Patch Tuesday, исправив 55 уязвимостей, включая четыре уязвимости нулевого дня, две из которых уже активно эксплуатируются. Среди критических уязвимостей — три с удаленным выполнением кода. Одна из них, CVE-2025-21391 (CVSS: 7.1), связана с повышением привилегий в хранилище Windows и позволяет злоумышленникам удалять файлы. Вторая уязвимость, отслеживаемая как CVE-2025-21418 (CVSS: 7.8), затрагивает драйвер Windows Ancillary Function Driver for WinSock (AFD.sys) и после эксплуатации предоставляет атакующим системные привилегии. Также Microsoft устранила CVE-2025-21194 (CVSS: 7.1), уязвимость обхода UEFI-защиты на устройствах Microsoft Surface, которая связана с набором уязвимостей PixieFail в IPv6-стеке TianoСore EDK II. Кроме того, CVE-2025-21377 (CVSS: 6.5) является 1-click-уязвимостью и позволяет получить NTLM-хеши пользователей Windows. Рекомендуется ознакомиться с полным списком исправлений и выполнить соответствующие обновления.
Palo Alto устранила уязвимость обхода аутентификации в PAN-OS
Компания Palo Alto Networks выпустила обновления для PAN-OS, устраняющие критическую уязвимость CVE-2025-0108 (CVSS 7.8). Уязвимость связана с некорректной обработкой запросов между Nginx и Apache, что позволяет злоумышленникам обходить аутентификацию в веб-интерфейсе управления и запускать определенные PHP-скрипты. Уязвимость затрагивает версии PAN-OS 11.2, 11.1, 11.0, 10.2 и 10.1, исправления выпущены в 11.2.4-h4, 11.1.6-h1, 10.2.13-h3, 10.1.14-h9. PAN-OS версии 11.0 больше не поддерживается, и исправлений для нее не будет.
Дополнительно исправлены:
· CVE-2025-0109 (CVSS 5.5) — удаление определенных файлов через веб-интерфейс управления;
· CVE-2025-0110 (CVSS 7.3) — выполнение произвольных команд через плагин OpenConfig в обход системных ограничений (исправлено в OpenConfig 2.1.2).
Рекомендуется отключить удаленный доступ к веб-интерфейсу и удалить OpenConfig, если он не используется, а также ознакомиться с бюллетенем безопасности и выполнить рекомендации по митигации.
Ivanti исправляет три критические уязвимости
Специалисты Ivanti выпустили обновления безопасности для Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS) и Ivanti Secure Access Client (ISAC), устраняющие несколько уязвимостей, включая три критические.
Критические уязвимости:
· CVE-2025-22467 (CVSS 9.9) — переполнение буфера в стеке, позволяющее низкопривилегированным пользователям ICS выполнять произвольный код;
· CVE-2024-38657 (CVSS 9.1) — недостаточный контроль имен файлов, позволяющий аутентифицированному атакующему записывать произвольные файлы в ICS и IPS;
· CVE-2024-10644 (CVSS 9.1) — инъекция кода в ICS и IPS, ведущая к удаленному выполнению кода (RCE).
Помимо критических проблем устранены еще пять уязвимостей разной степени критичности, связанных с XSS, хранением данных в открытом виде и недостаточными правами доступа. Исправления доступны в ICS 22.7R2.6, IPS 22.7R1.3 и ISAC 22.8R1. Pulse Connect Secure 9.x подвержен этим уязвимостям, но не получит исправлений из-за окончания поддержки.
RCE в Архиваторе WinZip
Разработчики WinZip устранили уязвимость CVE-2025-1240 (CVSS: 7.8), которая позволяла удаленным атакующим выполнять произвольный код путем эксплуатации некорректной обработки 7Z-архивов. Проблема затрагивает WinZip 28.0 (Build 16022) и более ранние версии, а ее эксплуатация требует взаимодействия с пользователем — открытия вредоносного архива или перехода по скомпрометированной ссылке. Уязвимость связана с недостаточной валидацией данных внутри 7Z-файлов, что приводит к перезаписи памяти за границами выделенной области. Злоумышленник может создать специально сформированный архив, вызывающий неконтролируемую запись, что позволит выполнить код в контексте процесса WinZip. Рекомендуется обновить архиватор до версии WinZip 29.0 (Build 16250).
Apple исправляет zero-day эксплойт
Специалисты Apple выпустили экстренные обновления безопасности для iOS и iPadOS, устраняющие уязвимость нулевого дня CVE-2025-24200 (CVSS: 6.1), которая использовалась в таргетированных атаках. Уязвимость связана с обходом USB Restricted Mode, который блокирует передачу данных через USB-аксессуары, если устройство было заблокировано более часа. Уязвимость позволяла физически отключить этот режим, что могло использоваться для криминалистического анализа устройств с помощью инструментов вроде GrayKey и Cellebrite. Она затрагивает iPhone версии XS и новее, а также широкий спектр iPad. Apple устранила проблему в iOS 18.3.1, iPadOS 18.3.1 и iPadOS 17.7.5, в связи с этим рекомендуется немедленно установить обновления.
Источник новости: habr.com
