Обзор уязвимостей за прошедшую неделю (14-20 декабря)

Дата: 21.12.2020. Автор: Артем П. Категории: Уязвимости

Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Яндекс, Medtronic, Apple, HP, WordPress, Citizen Lab, iPhone.

В поисковой строке Яндекса оказались доступными для всех пользователей учетные данные для входа в закрытую IT-систему медицинских учреждений России. Логины и пароли всплывали в качестве подсказки, если пользователь вводил в поисковую строку название сайта ИТ-системы. В Яндексе сказали, что быстро исправят эту проблему.

Высокотехнологичные кардиостимуляторы компании Medtronic имеют серьезную уязвимость, с помощью которой злоумышленники могут получить контроль над устройствами, которые уже имплантированы пациенту. Сами кардиостимуляторы постоянно обмениваются информацией с сервером Medtronic.

Корпорация Apple сообщила о срочном устранении более 50 уязвимостей выполнения произвольного кода. Патчи были выпущены для Mojave и Catalina (для компонентов Audio, App Store, Bluetooth, CoreAudio, FontParser, Graphics Drivers и ряда других). Представители Apple заявили, что у них нет подтвержденных сведений об эксплуатации хотя бы одной из этих уязвимостей.

Компания HP объявила о наличии серьезной уязвимости нулевого дня в новых версиях программного решения HPE Systems Insight Manager (SIM) для Windows и Linux. Проблема имеет рейтинг 9,8 из 10 по CVSS, что свидетельствует о возможности ее эксплуатации даже новичками и плохо подготовленными хакерами.

Плагин Contact Form 7 для WordPress, который имеет более 5 млн. установок, содержит критическую уязвимость, проявляющуюся при загрузке файлов. Разработчики заявили, что обновление для ее устранения уже выпущено, но далеко не все администраторы сайтов его загрузили, поэтому их ресурсы находятся в опасности.

Компания Citizen Lab сообщила о том, что iPhone 37 журналистов с Ближнего Востока были взломаны через уязвимость, которая содержится в приложении iMessage. Эксперты отмечают, что уязвимость доступна для эксплуатации уже около года, а разработчики Apple исправили ее только при выпуске новой версии iOS от 14. В отчете Citizen Lab сказано о том, что атаки были проведены хакерами из ОАЭ и Саудовской Аравии, которые использовали для этого программное обеспечение компании NSO Group.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *