СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Дайджесты
Артем
20.03.2024
#Уязвимости #ИБ#ИИ

Обзор уязвимостей за прошедшую неделю (13-19 марта)

Обзор уязвимостей за прошедшую неделю (13-19 марта)

Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Лаборатория Касперского, Intel, Alder Lake, Meteor Lake, Atom, Python, aiohttp, ShadowSyndicate, VUSec, IBM, GhostRace, x86, Arm, RISC-V, Salt Security, ChatGPT, Microsoft, Microsoft Edge, WordPress, Popup Builder, Sucuri, The Shadowserver Foundation, Fortinet, FortiOS, FortiProxy.

«Лаборатория Касперского» опубликовала новый отчёт, который посвящен 10 наиболее распространённым уязвимостям в веб-приложениях в период с 2021 по 2023 год. Исследование было проведено с учётом приложений, которые применялись преимущественно российскими, китайскими и ближневосточными компаниями.

В энергоэффективных E-ядрах Intel выявлена серьёзная уязвимость RFDS. Эти ядра применяются практически во всех коммерческих процессорах Intel новых поколений, начиная от Alder Lake и заканчивая Meteor Lake, а также в чипах Atom.

Эксперты предупреждают, что недавно устранённая уязвимость в Python-библиотеке aiohttp (CVE-2024-23334) уже активно эксплуатируется хакерами, в том числе и вымогательскими группами, такими как ShadowSyndicate.

Группа специалистов из лаборатории VUSec и компании IBM сообщили о деталях новой уязвимости, которая получила название GhostRace. Эта ошибка, основанная на механизме спекулятивного выполнения, затрагивает множество видов процессорных архитектур, в том числе x86, Arm, RISC-V и другие. Баг актуален также для разных операционных систем.

Компания Salt Security завила об обнаружении серьёзных уязвимостей в нескольких плагинах ChatGPT. Эти уязвимости позволяют потенциальным хакерам получить доступ к пользовательским учётным записям на других платформах.

В рамках нового пакета обновлений корпорация Microsoft представила более 60 патчей (+ 4 уязвимости Microsoft Edge, которые были исправлены 7 марта). 18 из исправленных уязвимостей позволяли дистанционно выполнять произвольный код, но в этом месяце не было устранено ни одной 0-day уязвимости.

Эксперты предупредили, что злоумышленники атакуют сайты под управлением WordPress, эксплуатируя уязвимость в устаревших версиях плагина Popup Builder. По данным компании Sucuri, таким способом хакеры уже скомпрометировали свыше 4000 веб-сайтов всего за три недели.

В компании The Shadowserver Foundation предупредили, что 150 тыс. устройств Fortinet FortiOS и FortiProxy до сих пор уязвимы перед критической ошибкой CVE-2024-21762, выявленной и устранённой в феврале 2024 года.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: