СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Дайджесты
Артем
17.09.2025
#Dev#ИБ

Обзор уязвимостей за прошедшую неделю (10-17 сентября)

Обзор уязвимостей за прошедшую неделю (10-17 сентября)

Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Android, RBUS, WinRAR, 7-Zip, TrueConf Server, SAP NetWeaver, Windows, iPhone, iOS, KioSoft, Chrome, AppSec.Sting.

Компания Google внедрила новую схему приоритезации обновлений безопасности для Android. Механизм, получивший название Risk-Based Update System (RBUS), фокусируется не на формальных уровнях критичности, а на реальной опасности уязвимостей. Теперь первыми исправляются проблемы, которые уже используются в атаках или интегрированы в цепочки эксплойтов. Об этом сообщает издание Android Authority.

По оценке специалистов Positive Technologies, список актуальных угроз пополнился восемью уязвимостями. Речь идёт о проблемах в RARLAB WinRAR, 7-Zip, TrueConf Server и SAP NetWeaver. Эти продукты активно используются в бизнес-среде, а уязвимости создают значительный риск компрометации систем.

Компания Microsoft устранила уязвимость, найденную экспертом PT Expert Security Center Сергеем Тарасовым. Проблема присутствовала сразу в восьми версиях Windows и открывала путь для похищения учётных данных с возможным дальнейшим движением по корпоративной сети. Разработчик получил уведомление об угрозе в рамках политики ответственного взаимодействия и выпустил обновление.

Пользователи iPhone вновь подверглись целевым шпионским атакам, использующим неизвестные ранее уязвимости. Об этом сообщили в CERT-FR, подразделении ANSSI. Французские специалисты заявили, что с начала года зафиксировано как минимум четыре таких инцидента, причём использовались инструменты высокого уровня сложности.

Юрий Шабалин, руководитель направления AppSec.Sting в AppSec Solutions, рассказал об уязвимостях в приложениях под iOS. Свои выводы он представил 10 сентября на мероприятии Mobile Meetup в Москве, где обсуждались риски, связанные с мобильной безопасностью.

Компания SEC Consult, входящая в группу Eviden, проанализировала уязвимость в продукции KioSoft — поставщика платёжных решений. По словам исследователей, устранение проблемы, связанной с NFC-картами, заняло у разработчиков более года.

Google закрыла критическую дыру в браузере Chrome, связанную с ошибкой use-after-free. Уязвимость могла привести к выполнению произвольного кода. Автор находки получил премию в размере 43 тыс. долларов в рамках программы bug bounty.

Microsoft распространила ежемесячный набор обновлений, устранив 81 уязвимость в собственных продуктах. Среди них — две zero-day-проблемы, о которых стало известно до выхода патчей. Это поднимает актуальность регулярного применения обновлений в корпоративной среде.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: