СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Дайджесты
Артем
13.12.2023
#Уязвимости #Dev#ИБ#Инфра

Обзор уязвимостей за прошедшую неделю (7-13 декабря)

Обзор уязвимостей за прошедшую неделю (7-13 декабря)

Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: iPhone, Mac, Android, Linux, Cisco Talos Intelligence Group, Qualcomm, MediaTek, 5Ghoul, Apple, WordPress, Adobe ColdFusion, CISA, Apache Log4j, Log4Shell, AMD, Intel, Arm, SLAM, VUSec, Vrije Universiteit Amsterdam, WinRAR.

iPhone, Mac, устройства на Android и Linux можно захватить с использованием новой уязвимости в технологии Bluetooth. Критическая уязвимость позволяет захватывать контроль над гаджетами, модуль Bluetooth в которых запущен и допускает обнаружение устройства.

Северокорейские хакеры продолжают активно использовать Log4Shell для проведения атак на организации из различных стран мира. Исследование, проведенное командой Cisco Talos Intelligence Group, описывает киберпреступную кампанию, которая продолжалась в течение 2023 года и включала в себя эксплуатацию уязвимости Log4j.

Эксперты нашли множество уязвимостей в 5G-модемах Qualcomm и MediaTek. Ошибки получили общее название 5Ghoul. Уточняется, что уязвимости представляют угрозу для 714 моделей смартфонов 24 брендов, гаджетов Apple, многочисленных маршрутизаторов и USB-модемов.

Разработчики WordPress представили патч для исправления RCE-уязвимости в своей CMS. RCE-баг был исправлен в WordPress версии 6.4.2, и уточняется, что его можно связать с другой уязвимостью, которая позволяет хакерам запускать произвольный PHP-код на целевом сайте.

Хакеры смогли взломать несколько американских правительственных учреждений, воспользовавшись уязвимостью в продукте Adobe ColdFusion. Об этом сообщило Агентство по кибербезопасности и защите инфраструктуры США (CISA).

Большое количество приложений, использующих библиотеку Apache Log4j, применяют версии, уязвимые перед разными проблемам, включая известную уязвимость Log4Shell (CVE-2021-44228), хотя с момента ее выявления и устранения прошло уже больше 2-х лет.

Существующие и будущие процессоры AMD, Intel и Arm уязвимы к кибератаке SLAM — она помогает хакерам воровать учетные данные и ключи. Это выяснила группа исследователей VUSec из Амстердамского университета Vrije.

Исправленная разработчиком в августе 2023 года уязвимость нулевого дня в коде WinRAR теперь квалифицируется как новая Advanced Persistent Threat (APT), иными словами, представляет собой постоянную и серьёзную угрозу.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: