СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Дайджесты
Артем
29 октября
#ИБ#ИИ#Инфра

Обзор уязвимостей за прошедшую неделю (23-29 октября)

Обзор уязвимостей за прошедшую неделю (23-29 октября)

Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: TrueConf, TP-Link Omada, Festa, TARmageddon, GutenKit, Hunk Companion, ChatGPT Atlas, OpenAI, Ray-Ban Smart Glasses, WhatsApp, BIND 9.

Эксперты компаний RED Security и CICADA8 сообщили о новой волне атак, при которых злоумышленники используют уязвимости в системе видеоконференцсвязи TrueConf. Через эти бреши хакеры проникают в инфраструктуры российских организаций, заражают их вредоносным программным обеспечением и развивают атаки для кражи данных или нанесения ущерба бизнес-процессам.

Исследователи из подразделения Vedere Labs компании Forescout опубликовали отчёт о двух критических уязвимостях, обнаруженных в VPN-маршрутизаторах TP-Link Omada и Festa. Эти дефекты позволяют выполнять команды с административными правами и фактически захватывать контроль над устройствами, что представляет высокий риск для корпоративных сетей.

Обнаружена серьёзная уязвимость TARmageddon (CVE-2025-62518), получившая оценку 8,1 по шкале CVSS. Ошибка классифицирована как угроза высокой степени опасности, поскольку даёт возможность злоумышленникам выполнять несанкционированные операции с критическими файлами и компрометировать безопасность целевых систем.

Эксперт PT SWARM Егор Филатов помог компании Trend Micro устранить опасную уязвимость в антивирусном программном обеспечении для компьютеров Apple. Уязвимость сохранялась даже после удаления продукта и могла использоваться для доступа к пользовательским данным или нарушения работы корпоративных систем. Обновления безопасности уже выпущены и доступны пользователям.

Компания Wordfence сообщила о масштабной кампании по эксплуатации критических уязвимостей в WordPress-плагинах GutenKit и Hunk Companion. За двое суток система защиты компании зафиксировала более 8,7 млн попыток атак. Злоумышленники стремились получить контроль над сайтами и разместить вредоносный код через уязвимые расширения.

Исследователи NeuralTrust обнаружили опасную уязвимость в агентном браузере ChatGPT Atlas от OpenAI. Проблема связана с омнибоксом — строкой поиска и ввода адресов. Специалисты выяснили, что вредоносные промпты могут быть замаскированы под безобидные ссылки, что позволяет выполнять произвольные команды от имени пользователя и открывает возможность для целевых атак.

На хакерском конкурсе Pwn2Own Ireland 2025 участники продемонстрировали 73 эксплоита нулевого дня для популярных устройств и сервисов, заработав в общей сложности 1,02 млн долларов. Среди целей тестов были смартфоны, NAS, роутеры, системы «умного дома» и очки Ray-Ban Smart Glasses. Попытка взлома WhatsApp не увенчалась успехом, но мероприятие подтвердило высокий уровень активности исследователей безопасности.

Организация Internet Systems Consortium (ISC) выпустила обновления для DNS-сервера BIND 9, устраняющие три критические уязвимости. Две из них позволяли атакующим отравлять кеш и перенаправлять трафик, а третья могла вызвать отказ в обслуживании. Исправления уже опубликованы и рекомендованы для немедленного внедрения администраторам сетей.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: