Обзор уязвимостей за прошедшую неделю (15-21 февраля)

Дата: 22.02.2021. Автор: Артем П. Категории: Уязвимости

Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Центробанк РФ, OpenSSL, iCloud, iOS, Trend Micro, Agora SDK, QNAP.

Центробанк РФ разослал отечественным банкам официальные уведомления о том, что большинство мобильных приложений для онлайн-банкинга имеют уязвимости разной степени серьезности, что позволяет киберпреступникам красть деньги со счетов юридических и физических лиц.

Разработчики OpenSSL объявили о выпуске срочного исправления для устранения трех уязвимостей, благодаря использованию которых хакеры могли осуществлять кибератаки DoS.

На сайте iCloud была обнаружена XSS-уязвимость, которая до исправления присутствовала в компонентах Keynote и Apple Pages, размещенных в iCloud. Использование ошибки подразумевало, что киберпреступник создавал новый документ или презентацию с внедрением полезной XSS-нагрузки в поле имени. За обнаружение проблемы ИБ-эксперту Вишалу Бхараду корпорация Apple заплатила 5000 долларов.

В iOS обнаружены и исправлены три уязвимости, которые «могли быть использованы хакерами». Две уязвимости были выявлены в WebKit, а еще одна – в ядре операционной системы. С их помощью киберпреступники могли получить удаленный доступ к управлению устройством пользователя и расширенные права.

Компания Trend Micro заявила, что в одном из наиболее популярных в мире приложений SHAREit уже три месяца назад были найдены критические уязвимости, но они до сих пор не исправлены разработчиками. Эксперты отмечают, что ошибки могут применяться киберпреступниками для запуска произвольного кода на пользовательских устройствах.

В распространенном наборе инструментов для разработки Agora SDK найдена серьезная уязвимость, которая позволяет злоумышленникам незаметно наблюдать за пользовательскими видеозвонками и прослушивать аудиовызовы. Agora SDK применяется во многих популярных приложениях: eHarmony, Plenty of Fish, MeetMe, Skout Talkspace и Practo.

Компания QNAP объявила об исправлении критической уязвимости в своем приложении Surveillance Station, с помощью которой киберпреступники могли удаленно выполнять произвольный код в сетевых хранилищах (NAS) с уязвимым программным обеспечением.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *