Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Google Project Zero, Zoom, Zyxel, Chrome, Chrome OS, Google, Chrome, Trend Micro, Cisco, IOS XR, NVIDIA.
В Google Project Zero опубликовали данные о нескольких уязвимостях в Zoom, которые эксплуатировались злоумышленниками для компрометации пользователей через отправку специально созданных XMPP-сообщений и исполнение вредоносного кода.
Компания Zyxel предупредила о множестве уязвимостей, которые были обнаружены в её продуктах. Уязвимости при этом критическими не являются, но всё равно представляют угрозу для пользователей сами по себе и в связке с другими ошибками.
В популярном расширении Screencastify для Chrome выявлена уязвимость межсайтового скриптинга (XSS), которая позволяла произвольным сайтам запускать камеры на устройствах пользователей. За счет этой уязвимости киберпреступники могли скачивать полученные видеоролики с Google Drive жертв.
В Chrome OS обнаружена серьезная уязвимость, которая позволяет злоумышленникам получить доступ к ядру системы пользователя. Недостаток связан с особенностями работы приложения USBGuard, встроенного в Chrome OS.
Корпорация Google объявила о выпуске стабильной версии Chrome 102, в рамках которой было исправлено 32 уязвимости, в том числе одна критическая. Критический недостаток безопасности, отслеживаемый как CVE-2022-1853, был описан как ошибка использования после освобождения, влияющая на индексированную базу данных
Компания Trend Micro заявила о выпуске срочного исправления одной уязвимости в своём продукте, которая, как предполагается, уже эксплуатировалась «китайскими кибершпионами». Уточняется что уязвимым решением является только Trend Micro Security.
Компания Cisco сообщила клиентам, что ей известно о попытках эксплуатации злоумышленниками новой уязвимости, затрагивающей её программное обеспечение IOS XR. Попытки эксплуатации были обнаружены в этом месяце, но никакой дополнительной информации об этих атаках не поступало.
Компания NVIDIA объявила о выпуске обновлений для своих графических драйверов, с помощью которых было исправлено множество уязвимостей, в том числе четыре недостатка CVE с рейтингом «высокой серьезности».