Обзор уязвимостей за прошедшую неделю (19-25 сентября)

Дата: 27.09.2022. Автор: Артем П. Категории: Новости по информационной безопасности, Уязвимости
Обзор уязвимостей за прошедшую неделю (19-25 сентября)

Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Profanity, PS5, Apple, Insyde Software, InsydeH2O UEFI, Oracle, Wiz, Python, Dataprobe iBoot, Kingspan.

Хакерам удалось украсть дополнительные $950 000 из-за уязвимости в генераторе Profanity. 25 сентября злоумышленник похитил средства и отправил их на криптовалютный миксер Tornado Cash, который ранее попал под американские санкции. Уязвимость Profanity обнаружили на GitHub еще в январе.

Эксперт по кибербезопасности смог взломать PS5 через ту же уязвимость, которую он применял для джейлбрейка на PS4. Уязвимость касается особенностей файловой системы exFAT в реализации Sony.

Корпорация Apple срочно исправила две уязвимости нулевого дня в ядре и браузерном движке iOS и iPadOS, позволявшие запускать произвольный код на целевом устройстве. Известно, что киберпреступники уже начали активно эксплуатировать эти ошибки.

Исследователи фирмы Binarly обнаружили 7 новых уязвимостей в прошивке InsydeH2O UEFI, предоставленной Insyde Software. Затронутый код используется десятками других компаний, в том числе крупными поставщиками, такими как HP, Dell, Intel, Microsoft, Fujitsu, Framework и Siemens.

Компания Wiz, занимающаяся облачной безопасностью, опубликовала информацию об уязвимости в Oracle Cloud Infrastructure (OCI), которая позволяет злоумышленникам изменять объемы хранения пользователей без авторизации.

Исследователи из компании Trellix, занимающейся выявлением и реагированием на угрозы, обнаружили, что уязвимость Python 15-летней давности до сих пор актуальна. Эксперты показали, что она более серьезна, чем предполагалось изначально, и что она может затронуть сотни тысяч приложений.

Критические уязвимости, обнаруженные исследователями в блоке распределения питания Dataprobe iBoot (PDU), могут позволить злоумышленникам удаленно взломать продукт и отключить подключенные устройства, что может привести к нарушению работы целевой организации.

Система управления резервуарами для воды Kingspan TMS300 CS, используемая организациями по всему миру, подвержена критической уязвимости, которую можно использовать удаленно. Разработчик, похоже, не хочет её исправлять.

Об авторе Артем П

Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *