Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: IEEE, Microsoft, Apple, Intel, OpenAI, ChatGPT, Pwn2Own, WordPress, Cisco.
Эксперты из Северо-Восточного университета и Левенского католического университета выявили фундаментальную уязвимость в структуре стандарта IEEE 802.11, позволяющую вынудить точки доступа передавать сетевые кадры в формате простого текста. Уточняется, что ошибка может эксплуатироваться для захвата TCP-соединений и перехвата трафика.
Корпорация Microsoft сообщила о выпуске экстренных патчей для устранения уязвимости aCropalypse в Windows 11 и 10. Эксплуатация этой ошибки позволяет восстановить исходный вид скриншотов, которые были сделаны и после отредактированы с использованием инструмента «Ножницы».
Корпорация Apple выпустила патчи для исправления уязвимости нулевого дня (CVE-2023-23529), используемой киберпреступниками в атаках на устройства iPhone, iPad и Mac. Первоначально проблема была выявлена и устранена еще месяц назад, но теперь исправления получили и более старые версии iPhone и iPad.
Ученые из Университета в Амстердаме заявили, что выявлена новая уязвимость CrossTalk в процессорах Intel. Это проблема безопасности, с использованием которой хакеры могут красть пользовательские данные пользователей из программ, которые работают на других ядрах.
Компания OpenAI подтвердила утечку данных из ChatGPT, которая была вызвана уязвимостью в библиотеке с открытым исходным кодом. Проблема была связана с использованием ChatGPT Redis-py, клиентской библиотеки Redis с открытым исходным кодом, и возникла в результате изменения, внесенного OpenAI 20 марта.
Белые хакеры заработали более 1 миллиона долларов на конкурсе по поиску уязвимостей CanSecWest Pwn2Own в этом году. Самая крупная награда в первый день конкурса была вручена за эксплойт TOCTOU (время от проверки к времени использования), используемый для получения полного контроля над автомобилем Tesla.
Критическая уязвимость в плагине WooCommerce Payments с открытым исходным кодом для WordPress позволяет злоумышленникам выдавать себя за любого пользователя на сайте и, возможно, получать доступ к учетным записям администратора сайта.
Компания Cisco исправила серьезные уязвимости DoS, внедрения команд и повышения привилегий в программном обеспечении IOS и IOS XE.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
