Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Cisco, Калифорнийский университет, ACM ASPLOS 2024, Intel, AMD, Forminator, WordPress, BI.ZONE WAF, BI.ZONE, SlowMist, CMS WP, WP Automatic, Citizen Lab, Google, Chrome 124, ANGLE, AG Security Research, Адам Говдяк, PlayReady, Microsoft.
Компания Cisco сообщила, что с ноября 2023 года группа «правительственных хакеров» из APT-группы эксплуатирует две уязвимости нулевого дня в межсетевых экранах Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD) для компрометации государственных сетей по всему миру.
Группа экспертов по кибербезопасности во главе с учёными из Калифорнийского университета в Сан-Диего на конференции ACM ASPLOS 2024 представила доклад о двух новых выявленных уязвимостях в новых сериях процессоров Intel и AMD. Ошибка затрагивает множество процессоров, а её устранение приведёт к катастрофическому уменьшению производительности CPU.
Недавно стало известно о 3-х уязвимостях в плагине Forminator для системы управления содержимым сайта WordPress. Эксперты BI.ZONE WAF и группа анализа защищенности BI.ZONE изучили эти ошибки, после чего создали правила, которые предотвращают их эксплуатацию.
Поставщик решений для информационной безопасности SlowMist предупредил владельцев сайтов и держателей цифровых активов о вероятной угрозе, которая исходит от системы управления контентом WordPress (CMS WP). Уязвимости плагинов могут эксплуатироваться для внедрения на взломанные веб-ресурсы опасного кода JavaScript, который инициирует кибератаки на криптокошельки жертв.
Киберпреступники начали использовать критическую уязвимость в плагине WP Automatic для WordPress. Ошибка эксплуатируется для создания новых пользователей с правами администратора и внедрения бэкдоров.
Специалисты Citizen Lab нашли многочисленные уязвимости в облачных приложениях пиньинь-клавиатур. В компании заявили, что эти ошибки могут эксплуатироваться для перехвата нажатий клавиш, и в общей сложности угрожают примерно 1 млрд. пользователей.
Корпорация Google представила обновление для Chrome 124, в рамках которой устраняются сразу 4 уязвимости, в том числе критическая ошибка CVE-2024-4058 в ANGLE (Almost Native Graphics Layer Engine).
Основатель и руководитель компании AG Security Research Адам Говдяк сообщил, что нашёл уязвимости в технологии защиты контента PlayReady корпорации Microsoft. По его словам, эти ошибки могут позволить недобросовестным подписчикам стриминговых сервисов незаконно загружать контент.
Оригинал публикации на сайте CISOCLUB: "Обзор уязвимостей за прошедшую неделю (24-30 апреля)".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
