Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Microsoft, CISA, Adobe, Apache Superset, QNAP Systems, Ivanti, Google, Chrome, Palo Alto Networks, Google Kubernetes Engine, Apache OFBiz.
Корпорация Microsoft выпустила первый набор патчей в 2024 году, представив исправления безопасности как минимум для 49 уязвимостей для ОС Windows и программных компонентов.
Американское агентство кибербезопасности CISA объявило, что добавило еще шесть записей в свой каталог известных эксплуатируемых уязвимостей (KEV), в том числе ошибку Apache Superset, обнаруженную в апреле 2023 года.
Производитель ПО Adobe выпустил исправления для шести уязвимостей безопасности в продукте Substance 3D Stager. В компании предупредили, что хакеры могут использовать уязвимости для запуска атак с выполнением кода.
Тайваньская компания QNAP Systems объявила об устранении 12 уязвимостей в своем портфеле продуктов, в том числе и серьезных недостатков в своей операционной системе. QNAP также выпустила исправления для двух серьезных уязвимостей в Video Station — внедрения SQL (CVE-2023-41287) и внедрения команд ОС (CVE-2023-41288), которые можно использовать по сети.
Компания Ivanti предупредила об уязвимости критической серьезности в своем продукте Endpoint Manager (EPM), которую можно использовать для удаленного выполнения кода (RCE). Отслеживаемая как CVE-2023-39336 уязвимость описывается как ошибка внедрения SQL-кода, которая позволяет злоумышленнику, имеющему доступ к внутренней сети, «выполнять произвольные SQL-запросы и получать выходные данные без необходимости аутентификации».
Корпорация Google объявила о первом обновлении безопасности для Chrome в 2024 году, которое устраняет шесть уязвимостей, в том числе четыре, о которых сообщили сторонние исследователи. Две ошибки, отслеживаемые как CVE-2024-0222 и CVE-2024-0223, представляют собой уязвимости использования после освобождения и переполнения буфера кучи в механизме графического рендеринга ANGLE.
ИБ-эксперты Palo Alto Networks сообщили об уязвимостях в Google Kubernetes Engine, которые могут сделать возможным захват кластера. Проблемы, которые сами по себе не представляют значительного риска, были выявлены в FluentBit, агенте журналирования по умолчанию в GKE, и в Anthos Service Mesh (ASM), дополнительном дополнении для управления связью между сервисами внутри среда.
Злоумышленники стараются активно эксплуатировать критическую уязвимость Apache OFBiz. Некоммерческая организация по кибербезопасности Shadowserver сообщила об обнаружении признаков эксплуатации уязвимости Apache OFBiz, отслеживаемой как CVE-2023-49070, вскоре после того, как SonicWall раскрыла подробности другой ошибки OFBiz, CVE-2023-51467.
Оригинал публикации на сайте CISOCLUB: "Обзор уязвимостей за прошедшую неделю (3-9 января)".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Эксперты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
