Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Apple, Google, Sunhillo Aerial Surveillance, CODESYS, Zimbra, Google, Telegram, Hyper-V, Citrix, Pulse, Fortinet, F5, Microsoft, Drupal, Telerik.
Корпорация Apple объявила об исправлении уязвимости нулевого дня в iPhone и Mac, которая уже эксплуатировалась киберпреступниками. Уязвимость, отслеживаемая как CVE-2021-30807, представляет собой ошибку повреждения памяти в расширении ядра IOMobileFramebuffer.
Корпорация Google запустила новую платформу выплаты вознаграждений за поиск ошибок и уязвимостей Bug Hunters.
В Sunhillo Aerial Surveillance обнаружена серьёзная уязвимость. Это критическая ошибка внедрения команд ОС, которая позволяет злоумышленникам устанавливать интерактивный канал с уязвимым устройством, беря его под контроль.
Обнаружены уязвимости, позволяющие взломать серверы веб-почты Zimbra. Уязвимости в корпоративном email-решении Zimbra позволяют хакерам получить неограниченный доступ к отправленным и полученным сообщениям электронной почты организации.
Компания CODESYS объявила об исправлении 10 уязвимостей в продуктах для промышленной автоматизации. Эксплуатация уязвимостей в программном обеспечении CODESYS может иметь серьезные последствия, учитывая, что ПО используется в промышленных системах управления (АСУ ТП).
Корпорация Google выплатила около 29 млн. долларов в виде вознаграждений за поиск уязвимостей по программе Bug Bounty. С момента запуска программы Google Vulnerability Rewards Program (VRP) 10 лет назад американская компания выплатила вознаграждения за 11055 уязвимостей, о которых сообщили 2022 специалиста из 84 стран. На сегодняшний день выплачена сумма в размере 29 357 516 долларов.
В протоколе шифрования Telegram обнаружены многочисленные уязвимости. Исследователи обнаружили множество уязвимостей в протоколе шифрования Telegram, которые потенциально могут поставить под угрозу конфиденциальность пользователей и целостность сообщений.
Специалисты из Guardicore Lab опубликовали подробную информацию о недавней критической уязвимости Hyper-V. Ошибка CVE-2021-28476 с оценкой опасности CVSS 9,9, будучи уязвимостью системы безопасности, затрагивает драйвер виртуального сетевого коммутатора Hyper-V (vmswitch.sys) и может быть проэксплуатирована для удаленного выполнения кода или вызова состояния «отказ в обслуживании».
Американское Агентство кибербезопасности и безопасности инфраструктуры (CISA) опубликовало список из наиболее часто эксплуатируемых уязвимостях за 2020-2021 гг. В документе представлены уязвимости продуктов Citrix, Pulse, Fortinet, F5, Microsoft, Drupal, Telerik и программных решений других разработчиков.
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ