Обзор уязвимостей за прошедшую неделю (26 июня – 2 июля)

Обзор уязвимостей за прошедшую неделю (26 июня  2 июля)

Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Apple, Safari, WebKit, Microsoft Exchange Server, GPT-5.5-Cyber, Splunk Enterprise.

Apple выпустила очередной пакет обновлений для своих операционных систем и браузера Safari, устранив более 30 уязвимостей. Компания сообщила, что часть критических проблем в движке WebKit была обнаружена с помощью моделей Codex и Claude, что позволило значительно ускорить выпуск исправлений.

В Microsoft Exchange Server обнаружена уязвимость с оценкой 8,8 балла по шкале CVSS. Ошибка позволяет злоумышленникам получать доступ к локальным файлам почтового сервера, что создаёт серьёзные риски для корпоративной инфраструктуры.

Согласно исследованию Cobalt, доверие специалистов к ИИ-инструментам поиска уязвимостей заметно снизилось. Если год назад полностью полагаться на автоматическое сканирование были готовы 29% компаний, то теперь этот показатель сократился до 9% из-за пропуска критических ошибок.

Исследование Aikido Security показало, что массовое применение ИИ при разработке программного обеспечения значительно ускорило выпуск новых версий продуктов. При этом традиционные пентесты всё чаще не успевают за скоростью релизов, что требует перехода к непрерывной проверке безопасности.

OpenAI представила обновлённую модель GPT-5.5-Cyber, предназначенную для помощи специалистам по информационной безопасности. Вместе с ней компания обновила плагин Codex Security и запустила инициативу Patch the Planet, направленную на ускорение поиска и устранения уязвимостей в программном обеспечении.

Исследователи из Университета Уэйк Форест проанализировали 444 iOS-приложения с поддержкой больших языковых моделей и обнаружили проблемы безопасности в 282 из них. Среди выявленных недостатков — раскрытые API-ключи, токены доступа и ошибки авторизации, которые могут привести к компрометации серверной инфраструктуры.

Исследователи Paradigm Shift обнаружили аппаратную уязвимость usbliter8 в нескольких поколениях устройств Apple. Проблема затрагивает USB-контроллеры процессоров A12, A13 и ряда других чипов, не устраняется обновлениями прошивки и может быть полностью исключена только при переходе на более новые устройства.

В Splunk Enterprise выявлена критическая уязвимость, позволяющая неавторизованному злоумышленнику выполнять файловые операции и потенциально получать контроль над SIEM-системой. Эксперты рекомендуют организациям как можно скорее установить обновления и пересмотреть защиту инфраструктуры.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: