СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Уязвимости
Артем
29.01.2025
#Dev#ИБ#Инфра#Облака

Обзор уязвимостей за прошедшую неделю (22-29 января)

Обзор уязвимостей за прошедшую неделю (22-29 января)

Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Positive Technologies, Microsoft, Hunk Companion, WordPress, Apache Struts, Starlink, Subaru, 7-Zip, Apple, iPhone, Cisco, Meeting Management, Cloudflare, Signal, Discord, X, 404 Media, Qualys, Murdoc, Avtech, Huawei, HG532.

В декабре 2024 года специалисты Positive Technologies обозначили четыре уязвимости, которые вызвали наибольший интерес. В этот список вошли проблемы в продуктах Microsoft, уязвимость в плагине Hunk Companion, предназначенном для расширения функционала визуальных тем WordPress, а также недостатки в системе безопасности фреймворка Apache Struts, применяемого для создания веб-приложений.

Эксперты по кибербезопасности выявили критическую уязвимость в системе Starlink, используемой автомобилями Subaru. Этот баг позволяет злоумышленникам отслеживать машины, удалённо управлять ими и даже осуществлять угон в США, Канаде и Японии.

В программе архиватора 7-Zip обнаружена уязвимость CVE-2025-0411, которая даёт возможность обходить защитный механизм Mark-of-the-Web (MOTW), используемый для предотвращения загрузки опасных файлов.

Apple выпустила обновление, закрывающее первую уязвимость нулевого дня в 2025 году. Эксплуатируемая киберпреступниками, эта брешь представляет угрозу для владельцев iPhone.

Компания Cisco выпустила патч для критической уязвимости (оцененной в 9,9 балла по шкале CVSS) в Meeting Management. Ошибка позволяет удалённому атакующему с правами аутентификации получить административный доступ.

Издание 404 Media сообщило о проблеме, связанной с работой Cloudflare. Она позволяет определить, какой дата-центр платформы использует кеширование конкретного изображения, что даёт возможность злоумышленникам приблизительно определить местоположение пользователей Signal, Discord, X (Twitter) и других сервисов.

Исследователи из Qualys выявили новый ботнет Murdoc, нацеленный на эксплуатацию уязвимостей в IP-камерах Avtech и маршрутизаторах Huawei HG532. Уже зафиксировано более 1370 заражённых устройств, расположенных преимущественно в Малайзии, Мексике, Таиланде, Индонезии и Вьетнаме.

Недавнее исследование показало проблемы в нескольких протоколах туннелирования, затрагивающие более 4 миллионов устройств, в том числе VPN-серверы и маршрутизаторы. Эксперты предупреждают, что системы, принимающие туннельные пакеты без верификации источника, могут подвергаться взлому, использоваться для скрытых атак и предоставлять злоумышленникам доступ к закрытым сетям.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: