Обзор уязвимостей за прошедшую неделю (18-24 апреля)

Дата: 25.04.2022. Автор: Артем П. Категории: Новости по информационной безопасности, Уязвимости
Обзор уязвимостей за прошедшую неделю (18-24 апреля)

Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Qualcomm, MediaTek, Cisco, Atlassian, Cue Health, Lenovo, WhatsApp, Drupal, Cisco, Oracle.

Специалисты по информационной безопасности выяснили, что Android-устройства, работающие на чипсетах Qualcomm и MediaTek, уязвимы для удаленного выполнения кода из-за серьёзной уязвимости в реализации кодека Apple Lossless Audio Codec (ALAC).

Компания Cisco объявила о выпуске обновления безопасности в целях срочного устранения критической уязвимости в виртуальном устройстве Umbrella Virtual Appliance (VA), которая позволяет неавторизованным пользователям дистанционно красть учётные данные администратора системы.

Компания Atlassian исправила критическую уязвимость в своём флагманском ПО Jira. При её эксплуатации злоумышленники могли полностью обойти процедуру аутентификации. Уязвимость отслеживается как CVE-2022-0540 и имеет оценку 9.9 по CVSS.

Из-за уязвимости в бытовых тестах на коронавирус Cue Health у пользователей была возможность подделывать получившиеся результаты. В компании-разработчике заявили, что о реальных случаях подделки результатов ничего не известно.

Обнаружена уязвимость мессенджера WhatsApp при авторизации по QR-коду. Для этого злоумышленникам необходимо обманным путём заставить пользователя отсканировать предоставленный ему QR-код.

В UEFI на ноутбуках Lenovo выявлены критические уязвимости, которые затрагивают более 100 моделей производителя. Компания уже выпустила все необходимые обновления безопасности.

Корпорация Meta, деятельность которой запрещена в России, предлагает выплату серьёзных вознаграждений за обнаружение уязвимостей в её продуктах, позволяющих злоумышленникам обходить проверки целостности.

Разработчики Drupal объявили о выпуске обновлений безопасности для устранения критических уязвимостей, которые позволяли злоумышленникам осуществлять обход доступа и перезаписывать данные в CMS пользователей.

Компания Cisco объявила о выпуске исправлений для нескольких серьезных уязвимостей в своих продуктах, включая ошибку, о которой сообщило ранее Агентство национальной безопасности (АНБ) США.

Компания Oracle заявила о выпуске 520 исправлений безопасности в рамках своего обновления (CPU) за апрель 2022 года, включая почти 300 исправлений для уязвимостей, которые можно использовать удаленно без аутентификации.

Об авторе Артем П

Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован.