Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: ERNW, Bose, Sony, Jabra, JBL, Marshall, Teufel, WinRAR, Pathlock, SAP GUI, Semperis, Entra ID, Microsoft, Realtek, Positive Technologies, Microsoft Exchange, Outlook, Cisco, ReliaQuest, Citrix.
Исследовательская группа из ERNW выявила опасные уязвимости в Bluetooth-чипах Airoha, используемых в 29 популярных моделях аудиоустройств от брендов Bose, Sony, Jabra, JBL, Marshall, Teufel и других. Проблема охватывает беспроводные наушники, микрофоны и колонки формата True Wireless Stereo и открывает путь для атак на Bluetooth-соединения.
Специалисты по ИБ обнаружили серьёзную уязвимость в архиваторе WinRAR, позволяющую загружать вредоносные файлы в чувствительные директории системы. Уязвимыми остаются пользователи Windows, не обновившие программу до версии 7.12 beta 1 и выше.
Pathlock опубликовала технический отчёт, в котором анализируются уязвимости в SAP GUI для Windows и Java. Недочёты в механизмах хранения пользовательских данных могут привести к нарушению политики безопасности персональной и корпоративной информации.
На конференции TROOPERS25 в Гейдельберге компания Semperis рассказала о рисках, связанных с уязвимостью nOAuth в Entra ID от Microsoft. Несмотря на то что проблема известна с 2023 года, по данным экспертов, она по-прежнему актуальна для как минимум 15 тыс. SaaS-приложений по всему миру.
Bluetooth-чипы Realtek оказались уязвимыми к DoS-атакам в процессе сопряжения через BLE. Эксперты предупреждают, что злоумышленники всё чаще используют этот недостаток для временного выведения из строя беспроводных устройств пользователей.
Positive Technologies сообщила о масштабной атаке на серверы Microsoft Exchange, при которой вредоносный JavaScript внедряется в страницы входа Outlook. По результатам анализа, зловред был обнаружен на более чем 70 серверах и применялся для кражи учётных данных.
Cisco раскрыла информацию о двух критических уязвимостях удалённого выполнения кода, поражающих компоненты Identity Services Engine и Passive Identity Connector. Обе уязвимости не требуют аутентификации, что делает их особенно опасными.
Исследователи из ReliaQuest сообщили об активном использовании критической уязвимости Citrix Bleed 2 (CVE-2025-5777). На устройствах Citrix зафиксирован рост подозрительной активности, что может свидетельствовать о начале новой волны атак.
Оригинал публикации на сайте CISOCLUB: "Обзор уязвимостей за прошедшую неделю (26 июня - 2 июля)".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.