Представляем вашему вниманию небольшой обзор уязвимостей за прошлую неделю. В центре внимания: vBulletin, Mercedes, Qualcomm и другие.
Эксперты по информационной безопасности из китайской группы Sky-Go обнаружили в новом Mercedes-Benz E-Class 19 уязвимостей, о которых подробно рассказали на конференции Black Hat USA 2020. За счет эксплуатации найденных проблем киберпреступники потенциально могли открывать и закрывать двери машины, убирать блокировку центрального замка, включать светозвуковые сигналы, запускать двигатель.
В популярном форумном движке vBulletin ИБ-специалист Амир Этемади нашел уязвимость нулевого дня, которую разработчики якобы устранили еще в 2019 г., но она до сих пор актуальна. Эксперт отметил в своем блоге, что выпущенный ранее патч «неадекватен и не способен заблокировать возможность эксплуатации проблемы». Прознав о проблеме, хакеры снова взялись за взлом форумов на движке vBulletin.
ИБ-эксперты из компании Micro Focus Fortifly обнаружили в популярных CMS более 30 серьезных уязвимостей, в том числе в Atlassian Confluence, Apache OFBiz, XWiki, Liferay, Alfresco, Netflix Titus, Crafter CMS, dotCMS. Разработчикам каждой CMS специалисты давно направили соответствующее уведомление и рекомендации по устранению проблем. Кто-то сделал это оперативно, а кто-то до сих пор не ответил экспертам.
Чип Qualcomm, который используется в смартфонах Android, имеет 6 серьезных уязвимостей. Благодаря их эксплуатации хакеры могут получить контроль практически над любым устройством. Найденные уязвимости позволяют киберпреступникам шпионить за владельцами смартфонов, загружать в устройство вредоносное ПО разного типа.
В голосовом помощнике Alexa от Amazon найдена уязвимость, позволяющая обеспечить доступ киберпреступникам к конфиденциальной информации владельца. Проблемным является приложение Alexa Companion – воспользовавшись универсальным скриптом для обхода механизма, специалисты компании Check Point смогли просмотреть трафик приложения. Там было найдено несколько ошибок в веб-службах Alexa, при эксплуатации которых хакеры потенциально могут получить доступ к личной информации пользователей.