Множественные уязвимости были устранены в механизмах обновления VPN-клиента AnyConnect Secure Mobility Client компании Cisco для платформ Windows, Mac OS X и Linux. Уязвимости были обнаружены в механизмах обработки ActiveX-элементов и Java-апплетов модулем WebLaunch, отвечающем за обновление ПО через веб-браузер. Через специально-сформированную веб-страницу, уязвимости позволяли выполнить произвольный программный код (CVE-2012-2493 и CVE-2012-2496) или произвести установку предыдущей версии обновляемого приложения (CVE-2012-2494 и CVE-2012-2495). В выпущенном обновление компания Cisco запретила произведение автоматического обновления до предыдущих версий, а также ввела систему подписей для устанавливаемых компонентов. Кроме того, компания Cisco обновила ПО для межсетевых экранов Cisco ASA 5500 и Cisco ASASM Catalyst 6500, устранив уязвимость (CVE-2012-3058) в реализации протокола IPv6. Закрытая уязвимость могла стать причиной перезагрузки устройства или вызвать отказ от обслуживания (DoS). Еще одна уязвимость (CVE-2012-3063) была закрыта в программном обеспечение Cisco Application Control Engine (ACE). Уязвимыми оказались механизмы разграничения доступа в мультиконтекстном режиме, позволяя авторизованному пользователю произвести изменения конфигурации стороннего контекста. Обновления безопасности доступны на веб-сайте компании Cisco.
Опубликовано: 22-06-2012
Подробнее:
http://uinc.ru/news/oa609.html