Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: QNAP, KeePass, Windows, Apple, Lexmark, Google, Chrome, VMware, Realtek.
Разработчики тайваньской компании QNAP представили обновления безопасности, которые устраняют критическую уязвимость в сетевых хранилищах (NAS). Её эксплуатация может привести к внедрению произвольного кода. Ошибка получила идентификатор критической (9,8 балла из 10 по шкале CVSS), она относится к QTS 5.0.1 и QuTS hero h5.0.1.
В менеджере паролей в KeePass выявлена уязвимость (CVE-2023-24055), позволяющая хакерам, имеющим доступ на запись в целевой системе, менять XML-файл конфигурации KeePass и интегрировать в него вредоносный триггер, позволяющий выполнять экспорт базы данных менеджера, в том числе все хранящихся там учетных данных пользователей в простом текстовом формате.
Эксперты компании Akamai заявили, что старая уязвимость в Windows CryptoAP (CVE-2022-34689) до сих пор угрожает пользователям Windows и ЦОДам. Уязвимость имеет оценку CVSS 7,5 за счёт различных показателей.
Корпорация Apple представила обновления для устранения уязвимости CVE-2022-42856 в Webkit, которой уже пользуются злоумышленники. В конце 2022 года ошибка была устранена на более современных устройствах, а теперь пришёл черёд и владельцев устаревших гаджетов.
Компания Lexmark предупредила об уязвимости удаленного выполнения кода (RCE), затрагивающей более 120 моделей принтеров, для которых был опубликован PoC-код. Ошибка, отслеживаемая как CVE-2023-23560 (оценка CVSS 9,0), описывается как проблема подделки запросов на стороне сервера (SSRF) в функции веб-служб новых устройствLexmark.
Корпорация Google сообщила об устранении шести уязвимостей в браузере Chrome, в том числе четырех ошибок, о которых сообщили внешние исследователи. Две из них — это серьезные проблемы использования после освобождения, влияющие на компоненты WebTransport и WebRTC.
Компания VMware выпустила обновление безопасности, устраняющее критические ошибки выполнения кода в продуктах разработчика. VMware заявила, что ошибки затрагивают пользователей её решения VMware vRealize Log Insight.
Хакеры пытаются активно эксплуатировать уязвимость Realtek под идентификатором CVE-2021-35394 (оценка CVSS: 9,8) — зафиксировано более 134 миллионов попыток взломать IoT-устройства.
