СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Дайджесты
Артем
24 сентября
#Уязвимости #Dev#ИБ#ИИ#Инфра#Облака

Обзор уязвимостей за прошедшую неделю (18-24 сентября)

Обзор уязвимостей за прошедшую неделю (18-24 сентября)

Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: OpenAI, Gmail, IDrive, RemotePC, Wi-Fi Protected Setup, Pixie Dust, Chromium, Android, RARLAB WinRAR, 7-Zip, TrueConf Server, SAP NetWeaver.

По новому отчёту Bugcrowd «Внутри разума руководителя службы информационной безопасности 2025», развитие технологий ИИ одновременно ускоряет процессы цифровой трансформации и увеличивает атакуемую поверхность. Документ построен на базе информации, полученной в рамках международных bug bounty-программ и инициатив по раскрытию уязвимостей.

Компания Radware сообщила о серьёзной уязвимости, затрагивающей агента Deep Research от OpenAI. Согласно заявлению, баг позволяет атакующему незаметно выгружать содержимое почтового ящика Gmail пользователя, не требуя прямого взаимодействия жертвы. Методика атаки получила название ShadowLeak и базируется на скрытой передаче команд, обрабатываемых на уровне облачных вычислений.

Согласно отчёту Zimperium Global Mobile Threat Report за 2025 год, уязвимости мобильных приложений продолжают оставаться серьёзной проблемой. Около трети Android-приложений демонстрируют риск утечки личной информации, а среди программ для iOS ситуация ещё более тревожная — эксперты выявили, что свыше половины приложений могут привести к потере конфиденциальных данных.

Эксперт группы PT SWARM Егор Филатов содействовал в устранении уязвимостей в двух продуктах компании IDrive: в облачном хранилище и в сервисе удалённого доступа RemotePC. Проблемы позволяли потенциальному злоумышленнику получить повышенные привилегии в macOS и использовать систему как точку входа в корпоративную сеть. Производитель оперативно выпустил патчи, получив уведомление в рамках политики ответственного взаимодействия с исследователями.

Анализ компании NetRise показал, что даже спустя годы устройства по-прежнему уязвимы к атакам через протокол Wi-Fi Protected Setup. В особенности это касается эксплойта Pixie Dust, который до сих пор может использоваться против домашних и офисных маршрутизаторов, несмотря на его известность с 2014 года.

Инженер из команды Яндекса нашёл опасную уязвимость в кодовой базе проекта Chromium, используемого в большинстве современных браузеров. Угроза потенциально позволяла выполнять произвольные действия внутри браузера, делая его уязвимым элементом в сложных сценариях атак.

В Android изменилась схема приоритизации обновлений безопасности. Новый подход Google под названием Risk-Based Update System (RBUS) ориентируется на реальную эксплуатацию уязвимостей злоумышленниками, а не на абстрактную критичность по формальной шкале. Приоритет получают те проблемы, которые используются в реальных атаках или встроены в известные цепочки вредоносного кода.

Positive Technologies выпустила сентябрьский список актуальных уязвимостей. В него вошли критические дефекты в утилитах RARLAB WinRAR и 7-Zip, системе видеосвязи TrueConf Server и корпоративной платформе SAP NetWeaver.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: