Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Profanity, PS5, Apple, Insyde Software, InsydeH2O UEFI, Oracle, Wiz, Python, Dataprobe iBoot, Kingspan.
Хакерам удалось украсть дополнительные $950 000 из-за уязвимости в генераторе Profanity. 25 сентября злоумышленник похитил средства и отправил их на криптовалютный миксер Tornado Cash, который ранее попал под американские санкции. Уязвимость Profanity обнаружили на GitHub еще в январе.
Эксперт по кибербезопасности смог взломать PS5 через ту же уязвимость, которую он применял для джейлбрейка на PS4. Уязвимость касается особенностей файловой системы exFAT в реализации Sony.
Корпорация Apple срочно исправила две уязвимости нулевого дня в ядре и браузерном движке iOS и iPadOS, позволявшие запускать произвольный код на целевом устройстве. Известно, что киберпреступники уже начали активно эксплуатировать эти ошибки.
Исследователи фирмы Binarly обнаружили 7 новых уязвимостей в прошивке InsydeH2O UEFI, предоставленной Insyde Software. Затронутый код используется десятками других компаний, в том числе крупными поставщиками, такими как HP, Dell, Intel, Microsoft, Fujitsu, Framework и Siemens.
Компания Wiz, занимающаяся облачной безопасностью, опубликовала информацию об уязвимости в Oracle Cloud Infrastructure (OCI), которая позволяет злоумышленникам изменять объемы хранения пользователей без авторизации.
Исследователи из компании Trellix, занимающейся выявлением и реагированием на угрозы, обнаружили, что уязвимость Python 15-летней давности до сих пор актуальна. Эксперты показали, что она более серьезна, чем предполагалось изначально, и что она может затронуть сотни тысяч приложений.
Критические уязвимости, обнаруженные исследователями в блоке распределения питания Dataprobe iBoot (PDU), могут позволить злоумышленникам удаленно взломать продукт и отключить подключенные устройства, что может привести к нарушению работы целевой организации.
Система управления резервуарами для воды Kingspan TMS300 CS, используемая организациями по всему миру, подвержена критической уязвимости, которую можно использовать удаленно. Разработчик, похоже, не хочет её исправлять.
