Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: OKX, Microsoft, Perforce Helix Core Server, 3CX, Lazarus, WordPress, Сингапурский университет технологий и дизайна (SUTD), Google.
Команда криптовалютной биржи OKX срочно исправила уязвимость, которая затрагивала мобильное приложение кошелька для операционной системы iOS. Они призвали пользователей как можно скорее обновить софт до последней версии (6.45.0).
Корпорация Microsoft выпустила новый декабрьский набор патчей, устраняющих 34 уязвимости в продуктах компании (не считая 8 ошибок в Microsoft Edge, исправленных ранее). Среди исправленных проблем была одна 0-day уязвимость (ранее выявленная, но неисправленная ошибка в процессорах AMD).
Специалисты по кибербезопасности обнаружили 4 уязвимости в Perforce Helix Core Server. Одна из них предоставляет хакерам возможность дистанционного выполнения команды из учетной записи LocalSystem.
Компания 3CX, которая специализируется на VoIP-коммуникациях, предупредила клиентов о необходимости выключить интеграцию с базами данных SQL из-за вероятных рисков, связанных с недавно выявленной уязвимостью.
Специалисты предупредили, что северокорейская хакерская группировка Lazarus продолжает использовать уязвимость Log4Shell (CVE-2021-44228). Теперь ошибка используется для развёртывания трёх ранее неизвестных семейств вредоносного программного обеспечения, написанных на языке DLang.
В плагине WordPress для резервного копирования Backup Migration, насчитывающем свыше 90 тыс. установок, выявлена критическая уязвимость. Ошибка позволяет хакерам дистанционно выполнять код и в полной мере компрометировать уязвимые веб-сайты.
Эксперты Сингапурского университета технологий и дизайна (SUTD) нашли в более чем 700 моделях 5G-смартфонов критическую уязвимость. Описанные специалистами проблемы имеют общее название 5Ghoul. Ошибка позволяет подключаться к гаджету, заменяя оригинальную базовую станцию на поддельную.
В декабре 2023 года корпорация Google исправила 85 уязвимостей Android, в том числе критическую ошибку «нулевого клика» CVE-2023-40088. Баг позволяет дистанционно выполнять код без дополнительных привилегий и взаимодействия с пользователем.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
