Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Sophos, Windows Server, OpenSSL, Ethreum, VMware, BIG-IP, Bumble, Microsoft, Annke, Cisco.
Компаниям, которые используют устройства безопасности от Sophos, рекомендовано обновить ПО после того, как разработчиком были раскрыты детали критической уязвимости, исправленной в 2020 году.
Недавно выявленная уязвимость Windows Server, получившая название «PetitPotam», активно эксплуатируется в кибератаках, в том числе целенаправленных на развертывание вымогательского ПО LockFile.
Проект OpenSSL объявил о доступности версии OpenSSL 1.1.1l, в рамках которой исправлена уязвимость высокого уровня серьезности. Она может позволить хакеру изменить поведение приложения или вызвать его сбой.
Представители проекта Ethreum призывают разработчиков загрузить исправление для устранения критической уязвимости. Уязвимость с разделением цепочки, отслеживаемая как CVE-2021-39137, затрагивает Geth, официальную реализацию протокола Ethereum на Golang.
Компания VMware объявила об исправлении ряда уязвимостей в vRealize Operations, в том числе 4-х уязвимостей высокой степени серьёзности. Наиболее значимой из них является CVE-2021-22025 (оценка CVSS – 8,6), которая описывается как уязвимость управления доступом в vRealize Operations Manager API.
Компания F5, предоставляющая услуги приложений BIG-IP, устранила более 10 серьезных уязвимостей в своём флагманском устройстве. Одна из ошибок может стать критической в определённых условиях.
В приложении знакомств Bumble обнаружена критическая уязвимость, из-за которой могло быть раскрыто точное месторасположение пользователя. Ранее аналогичная проблема была выявлена и в приложении Tinder.
Эксперты компании Wiz обнаружили уязвимость в облачном сервисе Microsoft. Проблема выявлена в базе данных Azure Cosmos DB. При эксплуатации уязвимостям специалистам удалось получить доступ к учетным записям сторонних пользователей.
Специалисты компании Nozomi Networks, занимающейся промышленной и IoT-кибербезопасностью, выявили критическую уязвимость, которую можно проэксплуатировать для взлома решений для видеонаблюдения от компании Annke.
Компания Cisco заявила, что не планирует выпускать обновления безопасности для программного обеспечения для исправления критических уязвимостей нулевого дня в маршрутизаторах EOL VPN. Уязвимость позволяет хакеру, не прошедшему проверку подлинности, выполнить произвольный код или вызвать неожиданный перезапуск целевого устройства, что приводит к отказу в обслуживании (DoS).
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
