Обзор уязвимостей за прошедшую неделю (14-20 сентября)

Дата: 21.09.2020. Автор: Артем П. Категории: Уязвимости

Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Mozilla, Microsoft Office, Safari, Microsoft Netlogon, Bluetooth, Node.js, Windows Server.

Компания Mozilla объявила об исправлении уязвимости, при использовании которой хакеры имеют возможность получить доступ к чужому браузеру Firefox, если он установлен на android-устройстве, которое подключено к общественной Wi-Fi-сети.

Киберпреступники снова стараются воспользоваться уязвимостью CVE-2017-11882, которая была обнаружена в Microsoft Office еще 10 лет назад. Соответствующее исследование было проведено компанией NordVPN.

После выхода Safari 14 компания Apple объявила о том, что были оперативно исправлены уязвимости WebKit в браузере, которые потенциально позволяли киберпреступникам выполнять удаленно произвольный код.

Американское агентство кибербезопасности и безопасности инфраструктуры (CISA) опубликовало предупреждение об обнаружении общедоступного кода эксплойта для CVE-2020-1472 – критической уязвимости, позволяющей повысить привилегии в Microsoft Netlogon.

Миллиарды смартфонов, планшетных компьютеров, ноутбуков, IoT-устройств пользуются программными стеками Bluetooth, которые имеют уязвимость, названную BLESA.

Согласно сообщению на GitHub, функция переноса в популярной библиотеке JavaScript node-forge содержит уязвимость, которая позволяет киберпреступникам организовывать кибератаки на приложения с загрязнением прототипа. Загрязнение прототипа – опасная ошибка, позволяющая хакера манипулировать поведением приложения, меняя его код в процессе выполнения.

Органы кибербезопасности США выпустили срочное предупреждение всем правительственным агентствам – в соответствии с документом, государственным ведомствам дано 4 дня на то, чтобы исправить используемые системы, работающие на Windows Server, для устранения уязвимости повышения привилегий. Найденная уязвимость получила рейтинг 10 CVSS, поэтому является критической. Эксплуатация ошибки потенциально может позволить киберпреступнику получить доступ во внутреннюю сеть организации.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *