Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: KeePass, Samsung, Госуслуги, MikroTik, RouterOS, Pimcore, Apple, Google.
В известном менеджере паролей KeePass выявлена уязвимость, использование которой позволяет извлекать мастер-пароль непосредственно из памяти приложения. Благодаря этому хакеры, которым удалось скомпрометировать пользовательский гаджет, имеют возможность украсть все сохраненные в менеджере пароли, даже при блокировке базы данных.
Эксперты команды Tencent Labs и Чжэцзянского университета (Китай) нашли способ сломать защиту сканера отпечатков пальцев на смартфоне, пользуясь брутфорсом. Для этого требуются физический доступ к устройству и много времени.
Американское агентство по кибербезопасности и защите инфраструктуры (CISA) добавило уязвимость CVE-2023-21492, которая относится к устройствам Samsung, в свой перечень известных эксплуатируемых хакерами уязвимостей.
Минцифры РФ отчитались о проверке «Госуслуг» в рамках программы Bug Bounty. В итоге «белые хакеры» нашли 34 уязвимости. Наибольший размер вознаграждения исследователям составил 350 тыс. рублей, наименьший — 10 тыс. рублей.
Производитель сетевого оборудования MikroTik из Латвии выпустил исправление для серьезной ошибки безопасности в своем продукте RouterOS, подтвердив, что уязвимость была выявлена 5 месяцев назад на хакерском мероприятии Pwn2Own в Торонто.
Эксперты из Sonar Source предупредили, что уязвимости, недавно исправленные в платформе с открытым исходным кодом Pimcore, могут приводить к выполнению произвольного кода при переходе по ссылке.
Корпорация Apple представила обновления безопасности для своих операционных систем для устранения десятков уязвимостей, которые подвергают iPhone и Mac хакерским атакам, в том числе три ошибки нулевого дня, влияющих на движок браузера WebKit.
Корпорация Google объявила, что обновляет свою программу вознаграждения за уязвимости (Bug Bounty) устройств Android и Google (VRP) новой системой оценки качества отчетов об ошибках.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.