Vulnerabilità riscontrate al 2 Aprile 2019

Riportiamo di seguito le vulnerabilità riscontrate al 2 Aprile 2019.

Ai fini di proteggere i sistemi e le applicazioni che si utilizzano, è necessario monitorare e aggiornare costantemente le applicazioni e i sistemi stessi, facendo attenzione a visualizzare le vulnerabilità che ogni giorno vengono segnalate.

Per oggi, 2 Aprile, sono emerse le seguenti vulnerabilità, riportate per punti e con allegati i link o le patch per ulteriori approfondimenti.

VMware

VMware ha rilasciato due avvisi di sicurezza relativi a vulnerabilità multiple, di cui alcune critiche, nei prodotti vSphere ESXi (ESXi), Workstation Pro/Player (Workstation), Fusion Pro, Fusion (Fusion) e VMware vCloud Director for Service Providers (vCD).

Risultano variamente affette da queste vulnerabilità le seguenti versioni di ESXi, Workstation e Fusion:

  • ESXi 6.7
  • ESXi 6.5
  • ESXi 6.0
  • Workstation 15.x su tutte le piattaforme supportate
  • Workstation 14.x su tutte le piattaforme supportate
  • Fusion 11.x su macOS
  • Fusion 10.x su macOS

A tal proposito è importante effettuare il prima possibile l’aggiornamento dei prodotti VMware.

Samsung Galaxy S8

il Galaxy S8 dispone di un nuovo aggiornamento. Ciò a poca distanza dal precedente, il quale aveva lo scopo di migliorare diversi aspetti che non risultavano essere ottimamente funzionanti.

Il nuovo aggiornamento è dedicato alla versione globale dello smartphone, quella che presenta come codice SM-G950F. Lo scopo elencato nel changelog indica un tentativo di stabilizzare le fotocamere insieme ad un cambiamento nella patch di sicurezza già rilasciato, in realtà, precedentemente.

Potrebbe trattarsi dell’ultima patch sul dispositivo prima dell’avvento di Android Q.

Google

Google ha rilasciato l’aggiornamento con le patch di sicurezza Android per tutti i telefoni Pixel. Il nuovo aggiornamento risolve un totale di 89 problemi attraverso due livelli di patch di sicurezza. In particolare l’azienda sta distribuendo l’aggiornamento sugli smartphone Pixel 3, Pixel 3 XL, Pixel 2, Pixel 2 XL, Pixel e Pixel XL e sul tablet Pixel C.

Stando a quanto comunicato da Google, l’ultimo aggiornamento risolve 11 problemi tramite il livello di patch di sicurezza datato 01-04-2019 e 78 attraverso il livello di patch datato 05-04-2019.

Le vulnerabilità variano da alta a critica e il problema più grave è relativo al framework multimediale che potrebbe consentire ad un utente di eseguire il codice arbitrario utilizzando un file appositamente predisposto nel contesto di un processo privilegiato.

Si consiglia di effettuare al più presto l’aggiornamento dei dispositivi succitati.

Magento

Sono stati rilasciati aggiornamenti di sicurezza per la piattaforma di e-commerce Magento che risolvono un totale di 37 vulnerabilità, di cui 4 critiche e altre 4 di gravità elevata. Se sfruttate con successo, le più gravi di queste vulnerabilità potrebbero consentire l’esecuzione di codice arbitrario nel contesto dell’applicazione affetta, con conseguente potenziale compromissione totale del sito Web.

Risultano variamente affette da queste vulnerabilità le seguenti versioni di Magento:

  • Magento Open versioni precedenti la 1.9.4.1
  • Magento Commerce versioni precedenti la 1.14.4.1
  • Magento 2.1 versioni precedenti la 2.1.17
  • Magento 2.2 versioni precedenti la 2.2.8
  • Magento 2.3 versioni precedenti la 2.3.1

Vista la gravità delle vulnerabilità oggetto degli aggiornamenti, si raccomanda a tutti i gestori di siti Web che utilizzano Magento di aggiornare con urgenza la propria piattaforma e di testare la nuova versione in un ambiente di sviluppo prima di installarla su un sito in esercizio.