Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Cisco, Atlassian Confluence, Netgear, Mozilla, MasterCard, Microsoft, Google, Android, GitHub, Bluetooth.
Компания Cisco объявила об устранении критической уязвимости своего ПО Cisco Enterprise Network Function Virtualization Infrastructure (Cisco NFVIS 4.5.1), которая позволяет неаутентифицированному киберпреступнику обойти аутентификацию и войти в уязвимое ПО в качестве администратора.
Кибернетическое командование США (US Cybercom) заявило, что киберпреступники во всём мире продолжают эксплуатировать уязвимость Atlassian Confluence. Ведомство обратилось к американским организациям, чтобы те как можно быстрее установили обновления для устранения уязвимости Atlassian Confluence CVE-2021-26084.
Компания Netgear выпустила обновления прошивки для более чем десятка своих интеллектуальных коммутаторов, используемых в корпоративных сетях для устранения уязвимостей высокой степени опасности. Разработчик исправил три уязвимости безопасности, которые затрагивают 20 продуктов Netgear (в основном интеллектуальные коммутаторы).
Во время аудита информационной безопасности, который был проведён по заказу компании Mozilla, в VPN-сервисе разработчика были обнаружены критические уязвимости. Все ошибки уже устранены, поэтому для пользователей Mozilla VPN опасности не представляют.
В бесконтактных картах MasterCard обнаружена уязвимость, которая позволяет обходить процесс использования PIN-кода для подтверждения операций. Ошибка затрагивает карты MasterCard Maestro.
Корпорация Microsoft выпустила временное исправление для уязвимости нулевого дня в Office 365 на фоне продолжающихся атак. Проблема ранее была выявлена в MSHTML, механизме рендеринга браузера, который используется в документах Microsoft Office.
Корпорация Google выпустила крупное обновление безопасности для Android, в рамках которого устраняются 40 уязвимостей в операционной системе, семь из которых являются критическими. Наиболее серьезная – критическая уязвимость системы безопасности в компоненте Framework, позволяющая киберпреступникам с помощью специально созданного файла вызывать постоянное состояние отказа в обслуживании (DoS).
Группа безопасности GitHub выявила несколько уязвимостей высокой степени опасности в пакетах «tar» и «@npmcli/arborist», используемых npm CLI. Уязвимости затрагивают пользователей Windows и Unix. Киберпреступники могут эксплуатировать их для выполнения произвольного кода в системе, устанавливающей ненадежные пакеты npm.
ИБ-специалисты обнаружили множество уязвимостей безопасности в стеке Bluetooth, реализованном на SoC от множества поставщиков. Эти уязвимости Bluetooth, получившие название BrakTooth, могут ставить под угрозу миллиарды устройств по всему миру.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: Facebook | VK | Twitter | Instagram | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Pulse.