Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: VulnCheck, Milesight, Cisco, IOS XE, CVSS, Signal, Generate Link Previews, Curl, WordPress Royal Elementor, НКЦКИ, ФСБ России, Windows, Microsoft Office, Cluster25, WinRAR, Microsoft, Bing.
По информации компании VulnCheck, специализирующейся на анализе эксплоитов и уязвимостей, уязвимость CVE-2023-43261, касающаяся промышленных маршрутизаторов Milesight, может использоваться киберпреступниками для атак.
Компания Cisco предупредила о критической уязвимости нулевого дня, затрагивающей IOS XE. Исправлений для этой ошибке, получившей максимальную оценку по рейтингу CVSS (10 баллов из 10), на текущий момент нет, и ее уже активно используют хакеры.
Разработчики мессенджера Signal опровергли информацию о наличии в их продукте критической уязвимости нулевого дня. Ранее сообщалось о 0-day уязвимости в мессенджере Signal, связанной с функцией предварительного просмотра ссылок (Generate Link Previews).
Разработчики Curl сообщили, что 11 октября вышли патчи для двух уязвимостей, одна из которых может стать «худшей» за длительный срок. После выхода исправлений ИБ-эксперты отмечают, что серьезность уязвимости была сильно преувеличена.
Хакеры начали активно использовать в организации кибератак критическую уязвимость в плагине WordPress Royal Elementor. Уязвимость CVE-2023-5360 является критической, что позволяет неаутентифицированным хакерам осуществлять произвольную загрузку файлов на уязвимые сайты.
В Национальном координационном центре по компьютерным инцидентам ФСБ России заявили об обнаружении в Windows опасной уязвимости «нулевого дня». Уточняется, что пользователи могут потерять доступ к управлению компьютером из-за специального документа в Microsoft Office, вредоносная составляющая которого начинает работать сразу после открытия.
Эксперты по кибербезопасности компании Cluster25 заявили о том, что неизвестные злоумышленники начали активную эксплуатацию недавно выявленной уязвимости в WinRAR. При помощи этой ошибки хакеры имеют возможность организовывать эффективные фишинговые кампании и выполнять сбор учетных данных пользователя.
Корпорация Microsoft пообещала выплатить вознаграждение в размере до 15 тыс. долларов за обнаружение уязвимостей в ИИ-сервисах Bing.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
