СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
Артем
Вчера в 13:25
#Дайджесты #ИБ#ИИ

Обзор уязвимостей за прошедшую неделю (12-18 февраля)

Обзор уязвимостей за прошедшую неделю (12-18 февраля)

Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: OpenClaw, WPvivid Backup & Migration, WordPress, iOS, iPadOS, macOS Tahoe, tvOS, watchOS, visionOS, dyld, Windows 11 Notepad.

Специалисты SecurityScorecard выявили более 220 000 экземпляров OpenClaw, доступных напрямую из интернета. Эксперты предупреждают, что ИИ-агенты становятся всё более привлекательной целью для атак, поскольку часто имеют расширенные права доступа и работают с корпоративными данными. При недостаточной защите такие инстансы могут использоваться для кражи информации и дальнейшего проникновения во внутреннюю инфраструктуру.

В плагине WPvivid Backup & Migration для WordPress обнаружена критическая уязвимость, позволяющая загружать произвольные файлы и добиваться удалённого выполнения кода без прохождения аутентификации. Проблема затрагивает свыше 900 000 сайтов и может привести к полному контролю над ресурсом со стороны атакующего.

Apple выпустила обновления для iOS, iPadOS, macOS Tahoe, tvOS, watchOS и visionOS, устранив уязвимость в компоненте dyld. По данным Google Threat Analysis Group, ошибка применялась в целевых атаках против отдельных пользователей, что вынудило компанию оперативно закрыть брешь.

Microsoft устранила уязвимость в «Блокноте» для Windows 11. Недочёт позволял запускать локальные и удалённые файлы через Markdown-ссылки, создавая риск выполнения вредоносного кода при открытии специально подготовленного документа.

Компания SmarterTools подтвердила компрометацию своей инфраструктуры после эксплуатации критической уязвимости в почтовом сервере SmarterMail. Злоумышленники проникли через необновлённую виртуальную машину и получили доступ примерно к 30 серверам.

Исследователи из ETH Zurich и Università della Svizzera italiana представили детальный разбор архитектуры защиты облачных менеджеров паролей. В отчёте описаны сценарии атак, при которых злоумышленник способен получить доступ к содержимому пользовательских хранилищ, изменять данные и даже восстанавливать сохранённые учётные данные.

Компания TrendAI опубликовала аналитический материал о рисках, связанных с так называемыми навыками искусственного интеллекта. В документе говорится, что инструменты, предназначенные для внедрения и масштабирования ИИ-решений в корпоративной среде, способны стать уязвимым звеном инфраструктуры.

Согласно новому прогнозу, 2026 год может установить исторический рекорд по количеству зарегистрированных уязвимостей. Ожидается, что число записей в базе CVE превысит 50 000 за 1 календарный год, что существенно увеличит нагрузку на команды информационной безопасности.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: