Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Confluence Data Center & Server, BI.ZONE WAF, GitLab, VS (Web IDE), Лаборатория Касперского, Mitsubishi Electric, Positive Technologies, MELSEC System Q, MELSEC System L, Google, Chrome, Fluent Bit, Microsoft, Amazon, Qnap.
Эксперты из Санкт-Петербурга натренировали технологию ИИ для проверки эффективности текстовых капч в целях защиты от вредоносного ПО. Как обнаружили специалисты с помощью нейросети, подобный метод борьбы со киберпреступниками оказался небезопасным.
В конце мая была обнаружена новая уязвимость CVE-2024-21683 в популярной wiki-системе для хранения корпоративных знаний Confluence Data Center & Server. Эксперты BI.ZONE WAF оперативно создали правило для выявления нелегитимной активности и предотвращения использования уязвимости со стороны киберпреступников.
В GitLab устранили серьезную XSS-уязвимость, которую неаутентифицированные хакеры могли эксплуатировать для захвата пользовательских аккаунтов. Ошибка отслеживается под идентификатором CVE-2024-4835, является XSS в редакторе кода VS (Web IDE). Она помогает киберпреступникам в один клик красть закрытую информацию с использованием вредоносных страниц.
Согласно новому отчету «Лаборатории Касперского», одной из основных проблем для организаций из стран СНГ в сфере информационной безопасности является необновленное программное обеспечение и уязвимости в нём.
Компания Mitsubishi Electric поблагодарила эксперта Positive Technologies за выявление ряда уязвимостей в процессорных модулях ПЛК серий MELSEC System Q и MELSEC System L. Это оборудование используется в химической промышленности, для изготовления полупроводников, автоматизации зданий и в иных сферах.
Корпорация Google снова устранила очередную уязвимость нулевого дня в своём браузере Chrome, которая уже эксплуатировалась хакерами для атак. в атаках. Это обновление стало уже четвертым за последние две недели и восьмым патчем для уязвимостей нулевого дня в Chrome в 2024 году.
Обнаруженная в Fluent Bit критическая уязвимость может применяться для проведения DDoS-атак и для удаленного выполнения кода. Эта ошибка, получившая 9,8 балла по шкале CVSS, затрагивает облачных провайдеров и многие технологические компании, в том числе Microsoft, Amazon и Google.
Компания Qnap представила исправления для нескольких уязвимостей в своих NAS, в том числе для устранения опасной ошибки, связанной с выполнением произвольного кода, PoC-эксплоит для которого был опубликован ранее.
Оригинал публикации на сайте CISOCLUB: "Обзор уязвимостей за прошедшую неделю (22-28 мая)".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
