Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: WordPad, macOS, TRON, Expo, DevOps GitLab, Microsoft, Barracuda Networks, OAuth.
В текстовом редакторе WordPad, который поставляется вместе с Windows 10, выявлена уязвимость, которая применяется злоумышленниками для распространения вируса Qbot. Об этом заявил один из ИБ-специалистов сообщества Cryptolaemus.
Эксперты по кибербезу из Microsoft обнаружили в Apple macOS серьезную уязвимость. Эксплойт позволяет обойти систему безопасности System Integrity Protection (SIP), впервые представленную в 2015 году в составе OS X El Capitan.
Специалисты компании по кибербезопасности dWallet Labs выявили уязвимость в аккаунтах с мультиподписью на блокчейне TRON. Ошибка потенциально может привести к потенциальному ущербу в размере 500 млн. долларов.
Специалисты компании Salt Security выявили критическую уязвимость во фреймворке Expo, способную раскрыть данные пользователей разных онлайн-сервисов. Уязвимость CVE-2023-28131 (CVSS: 9.6) связана с тем, как в Expo реализуется функционал авторизации через соцсеть с применением протокола Expo Open Authorization (OAuth).
В рамках майского пакета патчей корпорация Microsoft исправила 38 уязвимостей (в том числе 11 ошибок в браузере Edge) в своих продуктах, включая одну ошибку нулевого дня, которые уже активно эксплуатировались злоумышленниками.
На платформе DevOps GitLab на этой неделе была устранена критическая уязвимость, которая затрагивает как GitLab Community Edition (CE), так и Enterprise Edition (EE). Отслеживаемая как CVE-2023-2825 и приводящая к произвольному чтению файлов, недавно устраненная уязвимость безопасности имеет максимальную оценку CVSS 10.
Поставщик решений для обеспечения безопасности, доставки приложений и защиты данных Barracuda Networks предупредил клиентов об уязвимости нулевого дня, которая использовалась для взлома устройств Email Security Gateway (ESG).
По информации компании Salt Security, занимающейся безопасностью API, уязвимости, связанные с OAuth, обнаруженные в широко используемой среде разработки приложений Expo, могли быть использованы для получения контроля над учетными записями пользователей.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
