СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Дайджесты
Артем
22.01.2025
#Уязвимости #Dev#ИБ#ИИ#Инфра#Облака

Обзор уязвимостей за прошедшую неделю (15-22 января)

Обзор уязвимостей за прошедшую неделю (15-22 января)

Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Лаборатория Касперского, 7-Zip, Windows, Microsoft, Windows Defender, UEFI, GitHub, WordPress.

Эксперты «Лаборатории Касперского» исследовали информационно-развлекательную платформу Mercedes-Benz User Experience (MBUX) первого поколения и выявили несколько уязвимостей. Анализ основывался на предыдущем исследовании KeenLab, охватив диагностику, работу через USB-интерфейсы и взаимодействие с использованием специализированных межпроцессных протоколов.

В архиваторе 7-Zip была обнаружена уязвимость, которая позволяет злоумышленникам внедрить вредоносное ПО на устройство сотрудника, обеспечивая себе доступ к корпоративной сети.

Исследователи представили доказательство концепции (PoC) для нулевого дня уязвимости Windows, зарегистрированной как CVE-2024-49138. Этой уязвимостью активно пользовались для осуществления атак.

Microsoft выпустила обновление безопасности KB5007651 для Windows Defender, устраняющее проблему, из-за которой функция защиты от фишинга в SmartScreen отключалась после перезагрузки. Этот баг затрагивал в первую очередь тех, кто использует вход в систему через PIN-код Windows Hello.

Новое исследование выявило недостатки в нескольких туннельных протоколах, подверженных атакам. Уязвимости затрагивают более 4 миллионов устройств, в том числе VPN-серверы и маршрутизаторы. Эксперты предупреждают, что хосты, принимающие туннельные пакеты без проверки отправителя, могут быть взломаны, использованы для анонимных атак или получения доступа к внутренним сетям.

На GitHub была опубликована статья специалиста по информационной безопасности Бенджамина Флеша, где он отметил, что единственный HTTP-запрос к API ChatGPT может быть применён для DDoS-атаки на целевой ресурс. При этом атака будет исходить от краулера ChatGPT, известного как ChatGPT-User.

В плагине W3 Total Cache, установленном на более чем миллионе сайтов WordPress, выявлена уязвимость. Она предоставляет злоумышленникам возможность получить доступ к различным данным, в том числе к метаданным облачных приложений.

Уязвимость обхода UEFI Secure Boot (CVE-2024-7344), связанная с подписанным приложением Microsoft, позволяет устанавливать буткиты, несмотря на активированную защиту Secure Boot. Проблемное UEFI-приложение используется в ряде сторонних инструментов для восстановления системы.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: