Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Microsoft, Twitter, Google, Android, Apple, Fortinet, Microsoft, Adobe, SAP.
Корпорация Microsoft выпустила апрельский набор патчей и в сумме исправила 97 уязвимостей в своих программных решениях. В число устраненных багов вошла и проблема нулевого дня, которой активно пользовались операторы вымогательского ПО Nokoyawa.
В коде социальной сети Twitter выявили уязвимость, которая провоцирует так называемый «теневой бан» выбранной жертвы. Уточняется, что ошибка позволяет добиться «теневого бана» пользователя, то есть аккаунт будет скрыт от других пользователей «без права регресса».
Корпорация Google выпустила патчи, которые устраняют несколько обнаруженных ранее в ОС Android уязвимостей, в том числе три наиболее важные. Две из них имеют статус критических, а третья, по информации американской компании, уже эксплуатировалась хакерами.
Корпорация Apple представила обновления безопасности для iOS, iPadOS, macOS и веб-браузера Safari, которые призваны устранить уязвимости нулевого дня, активно эксплуатируемые хакерами.
Уязвимость в ОС Fortinet позволяет киберпреступникам проводить успешные атаки на пользователей. Под прицелом оказались чиновники и крупные бизнесмены. Уязвимость нулевого дня, устранённая ещё в начале марта 2023 года, позволяет устанавливать вредоносный софт на затронутые устройства.
Корпорация Microsoft снова выпустила срочные исправления, которые закрывают уже эксплуатируемую уязвимость в своей Windows. Ошибка, отмеченная исследователями компании Mandiant как уязвимость нулевого дня, описывается в качестве проблемы повышения привилегий в драйвере Windows Common Log File System.
Компания Adobe заявила об исправлении 56 уязвимостей в своих программных решениях, в том числе и в Acrobat Reader. Adobe также задокументировала критические ошибки выполнения кода в Adobe Digital Editions (Windows) и Adobe InCopy (Windows и macOS).
Компания SAP сообщила об исправлении критических уязвимостей в агенте диагностики BusinessObjects. Выпущенные исправления касаются в том числе двух критических уязвимостей в SAP Diagnostics Agent, которые могут быть использованы для выполнения команд во всех отслеживаемых системах SAP. Ошибки отслеживаются как CVE-2023-27497 (оценка CVSS 10) и CVE-2023-27267 (оценка CVSS 9).
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
