Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Обзор уязвимостей за прошедшую неделю (16-23 января)

2 мин
Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Norton, Avira, Avast, AVG, Apple, Signal, Zyxel, WordPress, Galaxy App Store, Samsung, VMware, Arm Mali, Pixel 6. Сразу в нескольких популярных антивирусных решениях Norton, Avira, Avast, AVG выявили уязвимость повышения прав. Сама ошибка имеет идентификатор CVE-2022-4294, которой было присвоено экспертами 7,1 балла по шкале CVSS. Корпорация Apple выпустила исправления безопасности для старых iPhone и iPad, устраняющие уязвимость нулевого дня, которую можно использовать удаленно. Эта ошибка отслеживается как CVE-2022-42856 и возникает из-за недостатка путаницы типов в механизме просмотра веб-браузера Apple Webkit. В защищенном мессенджера Signal выявлена уязвимость, за счёт которой злоумышленники могут получить доступ к кэшу удаленных вложений. Эксперты обнаружили ошибку в десктопной версии мессенджера. Приложение Signal 6.2.0 и более ранние версии для Windows, Linux и macOS имеют уязвимости

Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Norton, Avira, Avast, AVG, Apple, Signal, Zyxel, WordPress, Galaxy App Store, Samsung, VMware, Arm Mali, Pixel 6.

Сразу в нескольких популярных антивирусных решениях Norton, Avira, Avast, AVG выявили уязвимость повышения прав. Сама ошибка имеет идентификатор CVE-2022-4294, которой было присвоено экспертами 7,1 балла по шкале CVSS.

Корпорация Apple выпустила исправления безопасности для старых iPhone и iPad, устраняющие уязвимость нулевого дня, которую можно использовать удаленно. Эта ошибка отслеживается как CVE-2022-42856 и возникает из-за недостатка путаницы типов в механизме просмотра веб-браузера Apple Webkit.

В защищенном мессенджера Signal выявлена уязвимость, за счёт которой злоумышленники могут получить доступ к кэшу удаленных вложений. Эксперты обнаружили ошибку в десктопной версии мессенджера. Приложение Signal 6.2.0 и более ранние версии для Windows, Linux и macOS имеют уязвимости с идентификаторами CVE-2023–24068 и CVE-2023–24069.

Специалисты компании Positive Technologies обнаружили в коммутаторах Zyxel уязвимость, которая представляет риск для бизнес-процессов в разных компаниях. За счёт отправки специально созданного HTTP-запроса хакеры могли дистанционно поменять содержимое памяти устройства и вызвать отказ устройства в обслуживании.

В популярном плагине LearnPress для WordPress обнаружены критические уязвимости, которые позволяют хакерам украсть данные, токены авторизации, ключи API. Одна из ошибок выявлена во фрагменте кода, который обрабатывает запросы API для сайта, расположенном в функции list_courses, не проверяющей должным образом некоторые переменные.

Компания Samsung заявила об устранении двух уязвимостей в Galaxy App Store, которые позволяли скрытно устанавливать приложения и исполнять вредоносный код. Первая уязвимость имеет идентификатор CVE-2023-21433, а вторая — CVE-2023-21434.

Компания VMware выпустила обновления безопасности, в рамках которых устраняется сразу несколько критических уязвимостей в нескольких продуктах разработчика.

В графическом процессоре Arm Mali обнаружена уязвимость, которая приводит к выполнению произвольного кода ядра и рутированию на телефонах Pixel 6 с помощью вредоносного приложения, установленного на целевом гаджете.

Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/

Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются