Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: HackerOne, Instagram, macOS, Cisco, Mozilla, Pandora FMS, «система быстрых платежей».
Эксперты нашли критическую уязвимость в приложениях Instagram для Android и iOS, при использовании которой хакеры могут заблокировать доступ пользователя к программе на его устройстве, взломать учетную запись, использовать устройство пользователя для слежки за ним. В Facebook заявили, что уязвимость была быстро устранена и никто не успел в корыстных целях воспользоваться этой ошибкой.
Площадка HackerOne, которая предлагает воспользоваться программами вознаграждения за поиск уязвимостей в различных продуктах, сетях, ПО, опубликовала обновленную информацию о выплаченных хакерам деньгах – всего специалисты смогли получить более 100 млн. долларов, причем 9 пользователей сервиса заработали более 1 млн. долларов.
Российские банки нашли уязвимость в «Системе быстрых платежей» – если произойдет ошибочное списание средств или их украдут мошенники, то пользователи не смогут опротестовать транзакцию.
Компания Mozilla объявила об устранении трех опасных уязвимостей в Firefox 81, при эксплуатации которых киберпреступники могли удаленного запускать произвольный код в браузере пользователя.
Компания Cisco заявила о выпуске нескольких патчей, с помощью которых исправляются уязвимости в операционной системе IOS. Объявлено об устранении 29 опасных уязвимостей, некоторые из которых позволяли хакерами удаленно выполнять код в системе жертвы.
Корпорация Apple уведомила пользователей о быстром исправлении (сразу после обнаружения) четырех опасных уязвимостей в macOS. Обнаруженные ранее проблемы позволяли киберпреступникам выполнять удаленно код, «изменять состояние приложений».
Эксперты обнаружили четыре опасных уязвимости в программном обеспечении Pandora FMS, угрожающих безопасности корпоративных сетей. Их эксплуатация могла привести к полной компрометации корпоративной сети и инфраструктуры компании, которая пользуется данным ПО.
Разработчики SaferVPN незаметно устранили DoS-уязвимость CVE-2020-25744, выпустив новую версию приложения 5.0.3.3. Уязвимость позволяла пользователям с низкими привилегиями создавать или перезаписывать произвольные файлы, которые могли быть использованы для запуска DoS-атак.
