Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: AMD, Ryzen, Fortinet, InHand, Cisco, Cacti, CWP, Google Chrome, Oracle.
Компания AMD выявила 31 новую уязвимость в своих процессорах Ryzen и EPYC. Все ошибки на данный момент уже исправлены. Разработчики также представили перечень версий библиотеки AGESA, в которых реализованы исправления для устранения обнаруженных уязвимостей.
Эксперты сообщают об активном эксплуатации злоумышленниками уязвимости в VPN Fortinet, которая была исправлена разработчиком ещё в ноябре 2022 года. Отслеживаемая как CVE-2022-42475 уязвимость представляет собой переполнение буфера в динамической памяти, которое позволяет киберпреступникам удаленно выполнять вредоносный код. Она имеет рейтинг серьезности 9,8 из 10 возможных.
Обнаруженные в маршрутизаторах InHand уязвимости ставят под угрозу огромное количество пользовательских устройств по всему миру. Ряд уязвимостей, затрагивающих промышленные маршрутизаторы, созданные компанией InHand Networks, могут позволить злоумышленникам обойти системы безопасности и получить доступ к сетям внутренних операционных технологий (OT) из Интернета.
ИБ-специалисты предупредили об опасности маршрутизаторов Cisco с истекшим сроком эксплуатации, которые подвержены опасным уязвимостям. Две уязвимости безопасности в маршрутизаторах Cisco для малого и среднего бизнеса (SMB) могут позволить злоумышленникам, не прошедшим проверку подлинности, получить полный контроль над целевым устройством для выполнения команд с привилегиями root.
Свыше 1,6 тыс. доступных через интернет установок популярного инструмента для мониторинга Cacti уязвимы перед критической ошибкой, которую уже эксплуатируют злоумышленники. Баг позволяет обходить аутентификацию и выполнять произвольный код.
Эксперты сообщают об использовании злоумышленниками известной уязвимость в веб-панели управления CWP для запуска обратных оболочек и дистанционного запуска вредоносного кода.
Компания Imperva заявила о выявлении серьезной уязвимости в Google Chrome и других браузерах на базе Chromium. Ошибка имеет идентификатор CVE-2022-3656. При её эксплуатации злоумышленники могут украсить личную информацию, учетные данные и криптокошельки.
Первое обновление безопасности компании Oracle за 2023 год включает в себя 327 новых исправлений выявленных уязвимостей.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
