Обзор уязвимостей за прошедшую неделю (12-18 апреля)

Дата: 19.04.2021. Автор: Артем П. Категории: Уязвимости

Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: WhatsApp, TCP/IP, Google, Chrome, CS:GO, Valve, Go, Microsoft Exchange, WordPress.

В мессенджере WhatsApp разработчики устранили критические уязвимости, приводящие к возможности удаленного выполнения кода на устройствах пользователей, работающих на версиях Android от 9.0 и ниже. С помощью обнаруженной проблемы киберпреступники могли проводить атаку «man-in-the-disk».

Обнаружено 9 серьезных уязвимостей, которые затрагивают реализацию протокола системы доменных имен в стеках сетевых коммуникаций TCP/IP. Проблема актуальна сейчас более чем для 100 000 000 устройств по всему миру. Набор уязвимостей был назван NAME: WRECK.

В Google заявили об устранении критических уязвимостей нулевого дня с выходом новой версии Chrome для Linux, Windows, Mac. По информации корпорации, для выявленных ранее и уже исправленных уязвимостей сейчас доступны эксплойты. Ошибки имеют идентификаторы CVE-2021-21206 и CVE-2021-21220.

ИБ-эксперты из Агентства национальной безопасности США выявили 4 критические уязвимости в серверах Microsoft Exchange. При эксплуатации ошибок киберпреступники могут удаленного выполнять произвольный код на устройстве жертве. Выявленные уязвимости касаются локальных версией Exchange Server с 2013 по 2019 гг.

Специалисты из компании Secret Club обнаружили несколько уязвимостей в Source Engine, затрагивающих CS:GO и другие игры на этом движке. Предполагается, что с помощью выявленных ошибок киберпреступники могут украсть конфиденциальные данные пользователей через систему приглашений в Steam и серверы сообществ.

В одной из библиотек Go обнаружена уязвимость, эксплуатация которой приводит к возможности проведения DoS-атак на контейнерные движки CRI-O и Podman. Ошибка касается библиотеки Go containers/storage.

Компания Valve заявила об устранении уязвимости в Source Engine, с помощью которой киберпреступники могли похитить учетные данные пользователей Steam. Сообщается, что специалисты сообщали о наличии проблемы в Valve еще 5 месяцев назад, но никакой обратной связи не получили.

Компания Zerodium утроила (до 300 000 долларов) выплаты за обнаружение уязвимостей для WordPress. Так будут оплачиваться только эксплойты, приводящие к удаленному выполнению кода в новых версиях системы управления контентом.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *