Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Apple Vision Pro, GAZEploit, Positive Technologies, Microsoft, LiteSpeed Cache, WordPress, Void Banshee, Google, Chrome, GitLab, Ivanti Endpoint Manager, Ivanti Cloud Services Appliance, D-Link.
Выявлена новая неожиданная уязвимость в гарнитуре смешанной реальности Apple Vision Pro. Эксперты в области кибербезопасности продемонстрировали, что с помощью анализа движения глаз пользователя хакеры могут отслеживать, что тот печатает. Данная уязвимость получила название GAZEploit.
Компания Positive Technologies опубликовала список трендовых уязвимостей за август 2024 года. В топ вошли шесть уязвимостей: пять из них обнаружены в продуктах Microsoft, а одна — в плагине LiteSpeed Cache для CMS WordPress.
Недавно устранённая уязвимость спуфинга MSHTML в Windows (CVE-2024-43461) используется в реальных атаках. Хак-группа Void Banshee эксплуатировала эту уязвимость, применяя символы из Unicode-блока шрифта Брайля для маскировки вредоносных файлов под PDF-документы.
В этом году Google в девятый раз обнаруживает и исправляет критическую уязвимость в браузере Chrome. Сегодняшнее обновление устранило проблему CVE-2024-7971, связанную с «путаницей типов» (type confusion) в движке JavaScript. Установка обновления рекомендуется немедленно, так как известно, что эксплойт активно используется злоумышленниками.
Разработчики GitLab выпустили обновления, исправляющие ряд уязвимостей, включая серьёзную уязвимость (CVE-2024-6678), позволяющую при определённых условиях запускать пайплайны от имени любого пользователя. В общей сложности исправлено 18 уязвимостей в версиях 17.3.2, 17.2.5 и 17.1.7 для GitLab Community Edition (CE) и Enterprise Edition (EE).
Появился PoC-эксплойт для критической уязвимости удалённого выполнения кода (CVE-2024-29847) в Ivanti Endpoint Manager. Также сообщается о другой уязвимости в Ivanti Cloud Services Appliance (CSA), которая уже подвергается атакам.
Компания D-Link исправила несколько критических уязвимостей в своих популярных моделях беспроводных маршрутизаторов. Эти баги позволяли удалённым злоумышленникам выполнять произвольный код или получать доступ к устройствам через заранее заданные учётные данные.
Оригинал публикации на сайте CISOCLUB: "Обзор уязвимостей за прошедшую неделю (11-18 сентября) ".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
