Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Шейн Джонс, Microsoft, OpenAI, Ivanti Connect Secure, Policy Secure, Apple, Positive Technologies, Yealink, Snyk Security Labs, Linux, BI.ZONE, Websoft HCM, WebTutor, Mastodon.
Старший инженер по ИИ Microsoft Шейн Джонс нашёл уязвимость в генераторе изображений OpenAI DALL-E 3, позволяющую обходить защитные механизмы нейросети и генерировать недопустимый контент. Но в компаниях Microsoft и OpenAI опровергли факт присутствия этой уязвимости и старались не допустить огласку проблемы.
Новую 0-day уязвимость, которая затрагивает решения Ivanti Connect Secure и Policy Secure, уже активно эксплуатирую злоумышленники. Ошибка позволяет обходить аутентификацию и получать доступ к некоторым ресурсам на уязвимых устройствах.
Корпорация Apple предложила заплатить $1 млн хакеру, который сможет взломать iPhone. Это наиболее крупное вознаграждение за выявление уязвимости, которую когда-либо назначали глобальные технологические компании.
Российская компания Positive Technologies помогла исправить опасную уязвимость в системе видеоконференций Yealink. Разработчик уже поблагодарил компанию Positive Technologies за выявление критически опасной уязвимости BDU:2024-00482 в системе видео-конференц-связи Yealink Meeting Server.
Американская компания Apple заявила о наличии серьёзной уязвимости в своих новых MR-очках дополненной реальности Vision Pro. Было выпущено срочное обновление безопасности для операционной системы VisionOS 1.0.2.
Эксперт команды Snyk Security Labs заявил о выявлении четырех уязвимостей runC в инструменте CLI для создания и запуска контейнеров в Linux. Разговор идёт об ошибках с идентификаторами CVE-2024-23652, CVE-2024-23653, CVE-2024-23651 и CVE-2024-21626.
Эксперты по кибербезопасности компании BI.ZONE в ходе проведения тестирования red team для одного из заказчиков выявили 5 уязвимостей в версии 2019.2.3 платформы Websoft HCM (ранее — WebTutor).
В коде децентрализованной соцсети Mastodon была устранена критическая уязвимость, которая позволяла хакерам выдавать себя за любую учетную запись и захватывать управление над ней.
Оригинал публикации на сайте CISOCLUB: "Обзор уязвимостей за прошедшую неделю (1-6 февраля)".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.