Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Google, Roundcube Webmail, Microsoft, Hewlett Packard Enterprise, Windows, Chrome, Qualcomm.
Google устранила серьёзную уязвимость в механизме восстановления учётных записей. Ошибка позволяла злоумышленникам получить доступ к телефонному номеру, привязанному к чужому аккаунту, всего за несколько секунд. Степень риска зависела от страны, в которой зарегистрирован пользователь.
В начале июня специалисты выявили критическую уязвимость в почтовом сервисе Roundcube Webmail. Ошибка позволяет удалённо запускать произвольный код. По шкале оценки CVSS она получила почти максимальный балл — 9,9, что подчёркивает потенциальную опасность для компаний, использующих данный клиент.
Microsoft в ходе традиционного обновления во второй вторник месяца закрыла 66 уязвимостей. В этот список вошли две проблемы нулевого дня, одна из которых уже использовалась в кибератаках. Также был устранён механизм обхода Secure Boot, представлявший угрозу внедрения вредоносных загрузчиков.
Компания Hewlett Packard Enterprise обновила систему StoreOnce, применяемую для резервного копирования и удаления дубликатов данных. Обновление ликвидировало восемь ошибок, потенциально открывающих путь к обходу авторизации и запуску кода на удалённых устройствах.
Разработчики Microsoft представили скрипт на базе PowerShell, восстанавливающий пустую директорию inetpub. Эта мера помогает устранить уязвимость, при которой возможен несанкционированный рост привилегий в процессе работы службы активации Windows.
Эксперты предупреждают, что недавно обнаруженная уязвимость в Roundcube Webmail уже используется в атаках. Проблема позволяет злоумышленнику выполнять команды на удалённом сервере, не проходя процедуру авторизации.
Google выпустила экстренное обновление для браузера Chrome, устранив три уязвимости. Одна из них уже активно используется хакерами, поэтому устранение было проведено вне стандартного расписания.
Qualcomm закрыла три брешь нулевого дня, которые уже эксплуатировались в целевых атаках. Уязвимости представляли серьёзную опасность для мобильных пользователей, особенно в условиях ограниченного масштаба атак.
Оригинал публикации на сайте CISOCLUB: "Обзор уязвимостей за прошедшую неделю (5-11 июня)".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.