Обзор уязвимостей за прошедшую неделю (1-7 июня)

Дата: 07.06.2023. Автор: Артем П. Категории: Новости по информационной безопасности, Уязвимости

Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Chrome, Gmail, Tron, Gigabyte UEFI, macOS, KeePass, Zyxel.

В Google Chrome была исправлена третью 0-day уязвимость в 2023 году. Ошибка получила идентификатор CVE-2023-3079. Уточняется, что для неё уже есть работающий эксплоит. Уязвимость, выявленная специалистами Google Threat Analysis Group (TAG) в начале июня, описывается как ошибка типа type confusion в JavaScript-движке V8.

Обнаружена уязвимость Gmail, которая затрагивает свыше 1,8 миллиарда пользователей. На прошлой неделе эксперт по кибербезопасности Крис Пламмер выявил, что хакеры подделывают новую функцию «Голубые галочки», получая их на все произвольные email-адреса.

Команда кибербезопасности 0d из dWallet Labs обнаружила в сети Tron критическую уязвимость механизма мультиподписи, потенциально затрагивающая активы примерно на $500 млн. Разработчики сети «оперативно признали наличие ошибки», внеся необходимые исправления в течение нескольких дней.

Исследовательская фирма Eclysium выявила серьёзную уязвимость в прошивке Gigabyte UEFI, которая установлена на сотнях моделей материнских плат. Бэкдор помогает злоумышленникам установить обновления BIOS с незащищённых веб-серверов. Этот код компания Gigabyte применяла для установки обновлений BIOS через Интернет или из подключённого хранилища в локальной сети.

Эксперты корпорации Microsoft нашли уязвимость Migraine (CVE-2023-32369) в macOS. Теперь, когда специалисты Apple устранили ошибку, стало известно, что он помогает хакерам с root-привилегиями обходить защиту System Integrity Protection (SIP), выполнять установку на устройство «неудаляемого» вредоноса и получать доступ к личным информации жертвы, просто опуская проверки безопасности Transparency, Consent and Control (TCC).

Разработчики KeePass исправили уязвимость, позволявшую узнать мастер-пароль в сервисе. Менеджер паролей обновился до версии 2.54, за счет чего была устранена уязвимость CVE-2023-32784, которая позволяла извлекать мастер-пароль из памяти приложения в формате простого текста.

Компания Zyxel призвала своих клиентов обновить брандмауэры ATP, USG Flex, VPN и ZyWALL/USG, чтобы предотвратить использование недавно выявленных уязвимостей. Отслеживаемые как CVE-2023-28771, CVE-2023-33009 и CVE-2023-33010 проблемы могут привести к выполнению команд ОС, удаленному выполнению кода (RCE) и отказу в обслуживании (DoS).

16+. Реклама. Рекламодатель: ПАО "МегаФон", ИНН: 7812014560 Erid: LjN8KDpg8

Об авторе Артем П

Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *