Обзор уязвимостей за прошедшую неделю (22-28 марта)

Дата: 29.03.2021. Автор: Артем П. Категории: Уязвимости

Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: WordPress, OpenSSL, Android, Intel, 5G, Apple, Microsoft Exchange.

В плагине Facebook для сайтов WordPress специалисты по информационной безопасности обнаружили две серьёзные уязвимости, с помощью которых злоумышленники могут загрузить вредоносный софт на уязвимый сайт, удаленно выполнить произвольный код, скомпрометировать конфиденциальную информацию, получить привилегированные права на ресурсе.

Команда OpenSSL объявила о полном устранении обнаруженных ранее двух критических уязвимостей, которые скрывались в продуктах OpenSSL. Первая уязвимость позволяла киберпреступникам вызвать отказ в обслуживании (DoS), вторая ошибка была связана с проблемами при проверке сертификатов.

Специалисты компании Synopsys заявили, что более 60 популярных Android-приложений имеют уязвимые компоненты. Основная проблема безопасности приложений – наличие компонентов с открытым исходным кодом, многие из которых не получали необходимых обновлений безопасности в течение длительного времени.

В процессорах Intel эксперты нашли две новые уязвимости, которые могут быть поэксплуатированы только при запуске специального режима работы. С помощью уязвимостей киберпреступники потенциально могут изменить микрокод и захватить контроль над процессором.

Специалисты из компании AdaptiveMobile нашли в протоколе 5G критические уязвимости. При их активной эксплуатации киберпреступники могут вывести из строя сегменты сети, вызвав отказ в обслуживании (DoS), а также украсть конфиденциальные данные пользователей, в том числе и сведения об их местоположении.

Корпорация Apple объявила о выпуске обновления безопасности после выявления критической уязвимости в iOS. Обновление доступно для iPhone, iPad и Apple Watch. Уязвимость была обнаружена в движке браузера WebKit, на котором работает Safari.

Эксперты нашли в Android новую уязвимость Bluetooth-модуля, с помощью которой хакеры могут получить доступ к пользовательскому устройстве в зоне действия модуля. Уязвимыми версиями системы являются Аndroid 8 Oreo и Android 9 Pie.

Несколько тысяч серверов Microsoft Exchange до сих пор уязвимы, несмотря на выпуск корпорацией Microsoft всех требуемых исправлений. Эксперты отмечают, что установка патчей не позволит очистить уязвимую и уже скомпрометированную систему от присутствия киберпреступников.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *