Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: GitLab, Microsoft Support Diagnostic Tool, UNISOC, Лаборатория Касперского, TrueConf Server, CISA, Illumina, Atlassian Confluence, Horde, Microsoft, Android, Quanta Cloud Technology.
В GitLab заявили об устранении критической уязвимости, при эксплуатации которой злоумышленники могли захватить учетную запись пользователей. В продуктах Community и Enterprise Edition в общей сложности были исправлены 8 уязвимостей.
Уязвимость в Microsoft Support Diagnostic Tool позволяет удалённо выполнить код в Windows через вредоносный офисный документ. Ошибка актуальна для офисных пакетов Microsoft Office 2013-2019, а также Office 2021, Office 365 и Office ProPlus.
В чипсетах UNISOC выявлена уязвимость, при эксплуатации которой злоумышленники могут отключить целевое мобильное устройство от сети. Соответствующие чипсеты, как отмечается, используются преимущественно в недорогих смартфонах.
Специалисты «Лаборатории Касперского» заявили об обнаружении двух критических уязвимостей в решении для видеоконференцсвязи TrueConf Server. Сведения об обнаруженной ошибке были переданы разработчику (обновление ПО с исправлениями уже выпущено).
Агентство кибербезопасности и безопасности инфраструктуры США (CISA) предупредило о наличии критических уязвимостей в устройствах генетического анализа Illumina. Они позволяют удаленному злоумышленнику, не прошедшему проверку подлинности, завладеть управлением уязвимого устройства.
Серверы Atlassian Confluence были взломаны из-за эксплуатации уязвимости нулевого дня. Клиенты Atlassian уже были предупреждены о том, что хакеры используют уязвимость нулевого дня в Confluence Server.
Программное обеспечение веб-почты Horde подвержено серьезной уязвимости, которую можно использовать для получения полного доступа к электронной почте целевой организации. Уязвимость, обнаруженная исследователями из компании по безопасности приложений Sonar (ранее SonarSource), отслеживается как CVE-2022-30287.
Корпорация Microsoft заявила об обнаружении серьезных уязвимостей безопасности в предустановленных приложениях для Android. Эксперты убеждены, что их эксплуатация могла привести к внедрению постоянного бэкдора на устройства Android.
Серверы, созданные Quanta Cloud Technology (QCT), подвержены уязвимости контроллера управления основной платой (BMC), известной как CVE-2019-6260 или Pantsdown.
