Обзор уязвимостей за прошедшую неделю (23-29 ноября)

Дата: 30.11.2020. Автор: Артем П. Категории: Уязвимости

Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Xiaomi, cPanel, Drupal, Windows 7, VMware, Xbox, PlayStation 5.

Некоторые модели роботов-пылесосов Xiaomi могут использоваться как шпионские устройства. Специалисты университета Мэриленда рассказали, что технику китайского производителя можно перенастроить таким образом, чтобы встроенные в неё лидары считывали вибрации от звуковых колебаний с поверхностей. Проведенные испытания показали реальную возможность выполнения такой шпионской атаки.

В панели управления хостингом cPanel найдена критическая уязвимость, которая позволяет хакерам без проблем обойти двухфакторную аутентификацию с помощью выполнения атак грубой силы с применением брутфорса.

Разработчики Drupal объявили о срочном выпуске внеочередного обновления безопасности, с помощью которого устраняется обнаруженная ранее критическая уязвимость. С ее помощью киберпреступники потенциально могут выполнить произвольный код в системе жертвы.

В Windows 7 специалисты по кибербезопасности случайно нашли критическую уязвимость. Проблема заключается в неправильной настройке разделов реестра для служб DNS Cache и RPC Endpoint Manager. Уязвимость позволяет хакерам, уде имеющим доступ к рабочей станции или серверу, поменять настройки реестра Windows, получив доступ к системе мониторинга и загрузить в нее произвольный код. В Microsoft отмечают, что не будут выпускать патч для устранения опасной ошибки.

Компания VMware заявила о выпуске временного исправления для серьезной уязвимости, ранее обнаруженной в продуктах разработчика. С ее помощью киберпреступники могут получить полный контроль над системой жертвы. Об фактах эксплуатации уязвимости при проведении реальных атак компании VMware ничего не известно.

На сайте Xbox найдена уязвимость, с помощью которой злоумышленники могут связать теги игроков (пользовательские имени) с их реальными адресами email. Проблема была найдена в рамках программы Bug Bounty, которая совсем недавно была запущена Microsoft. Отмечается, что разработчики уже исправили проблему.

Компания Sony решила банить владельцев новой консоли PlayStation 5, которые активно эксплуатировали недавно обнаруженные уязвимости PlayStation Plus. С помощью сервиса PlayStation Plus Collection геймеры могли бесплатно получить 20 игр-хитов, выпущенных для PS4. Некоторые пользователи узнали, что есть просто активировать игры на PS5, то они будут доступны и на PS4 за счет наличия общей библиотеки между консолями. Некоторые пользователи решили заработать на этом, продавая доступ к своим консолям нового поколения, чтобы подписчики PS Plus смогли воспользоваться уязвимостью.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *