Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Trust Wallet, iMessage, iOS, Lenovo, Intel, Lighttpd, Palo Alto Networks, Pan-OS, Volexity, Telegram, Windows, VUSec, Амстердамский свободный университет, Linux, Intel, Microsoft, Rust, BatBadBut, CVE-2024-24576.
Разработчики криптовалютного кошелька Trust Wallet рассказали о выявлении опасной 0-day уязвимости в мессенджере iMessage, встроенный в iOS. На текущей момент, как отмечают эксперты, эксплойт уязвимости продают в теневом интернете примерно за 2 млн долларов.
«Железо» компаний Lenovo и Intel всё еще подвержено уязвимости шестилетней давности. В веб-сервере Lighttpd, который применяется в контроллерах управления серверными платами, выявили уязвимость. Слабое место оперативно исправили, но продукты известных компаний до сих пор её содержат.
Компания Palo Alto Networks заявила об обнаружении критической уязвимости нулевого дня в своих межсетевых экранах под управлением Pan-OS. Ошибка, которую нашли специалисты по кибербезопасности Volexity, уже эксплуатируется хакерами.
В десктопном приложении Telegram для ОС Windows была устранена уязвимость нулевого дня, которая могла применяться для обхода предупреждений безопасности и автоматического запуска Python-скриптов.
Эксперты из группы VUSec при Амстердамском свободном университете обнаружили новую вариацию атаки Spectre v2, которая касается Linux-систем, работающих на базе современных процессоров Intel.
В рамках апрельского пакета обновлений корпорация Microsoft представила исправления для 150 уязвимостей в своих продуктах, 67 из которых помогают хакерам добиться удаленного выполнения кода, но всего 3 получили статус критических. Также 2 ошибки представляли собой уязвимости нулевого дня и активно эксплуатировались киберпреступниками в атаках.
Уязвимость, получившая название BatBadBut и идентификатор CVE-2024-24576 (10 баллов по CVSS), касается стандартных библиотек многих языков программирования, в том числе и Rust. Из-за этого Windows-системы уязвимы перед кибератаками на внедрение команд аргументов.
Оригинал публикации на сайте CISOCLUB: "Обзор уязвимостей за прошедшую неделю (10-16 апреля)".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.