СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Дайджесты
Артем
02.07.2025
#ИБ#Инфра#Облака

Обзор уязвимостей за прошедшую неделю (26 июня — 2 июля)

Обзор уязвимостей за прошедшую неделю (26 июня 8212 2 июля)

Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: ERNW, Bose, Sony, Jabra, JBL, Marshall, Teufel, WinRAR, Pathlock, SAP GUI, Semperis, Entra ID, Microsoft, Realtek, Positive Technologies, Microsoft Exchange, Outlook, Cisco, ReliaQuest, Citrix.

Исследовательская группа из ERNW выявила опасные уязвимости в Bluetooth-чипах Airoha, используемых в 29 популярных моделях аудиоустройств от брендов Bose, Sony, Jabra, JBL, Marshall, Teufel и других. Проблема охватывает беспроводные наушники, микрофоны и колонки формата True Wireless Stereo и открывает путь для атак на Bluetooth-соединения.

Специалисты по ИБ обнаружили серьёзную уязвимость в архиваторе WinRAR, позволяющую загружать вредоносные файлы в чувствительные директории системы. Уязвимыми остаются пользователи Windows, не обновившие программу до версии 7.12 beta 1 и выше.

Pathlock опубликовала технический отчёт, в котором анализируются уязвимости в SAP GUI для Windows и Java. Недочёты в механизмах хранения пользовательских данных могут привести к нарушению политики безопасности персональной и корпоративной информации.

На конференции TROOPERS25 в Гейдельберге компания Semperis рассказала о рисках, связанных с уязвимостью nOAuth в Entra ID от Microsoft. Несмотря на то что проблема известна с 2023 года, по данным экспертов, она по-прежнему актуальна для как минимум 15 тыс. SaaS-приложений по всему миру.

Bluetooth-чипы Realtek оказались уязвимыми к DoS-атакам в процессе сопряжения через BLE. Эксперты предупреждают, что злоумышленники всё чаще используют этот недостаток для временного выведения из строя беспроводных устройств пользователей.

Positive Technologies сообщила о масштабной атаке на серверы Microsoft Exchange, при которой вредоносный JavaScript внедряется в страницы входа Outlook. По результатам анализа, зловред был обнаружен на более чем 70 серверах и применялся для кражи учётных данных.

Cisco раскрыла информацию о двух критических уязвимостях удалённого выполнения кода, поражающих компоненты Identity Services Engine и Passive Identity Connector. Обе уязвимости не требуют аутентификации, что делает их особенно опасными.

Исследователи из ReliaQuest сообщили об активном использовании критической уязвимости Citrix Bleed 2 (CVE-2025-5777). На устройствах Citrix зафиксирован рост подозрительной активности, что может свидетельствовать о начале новой волны атак.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: