Обзор уязвимостей за прошедшую неделю (1-7 июня)
Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Chrome, Gmail, Tron, Gigabyte UEFI, macOS, KeePass, Zyxel.
В Google Chrome была исправлена третью 0-day уязвимость в 2023 году. Ошибка получила идентификатор CVE-2023-3079. Уточняется, что для неё уже есть работающий эксплоит. Уязвимость, выявленная специалистами Google Threat Analysis Group (TAG) в начале июня, описывается как ошибка типа type confusion в JavaScript-движке V8.
Обнаружена уязвимость Gmail, которая затрагивает свыше 1,8 миллиарда пользователей. На прошлой неделе эксперт по кибербезопасности Крис Пламмер выявил, что хакеры подделывают новую функцию «Голубые галочки», получая их на все произвольные email-адреса.
Команда кибербезопасности 0d из dWallet Labs обнаружила в сети Tron критическую уязвимость механизма мультиподписи, потенциально затрагивающая активы примерно на $500 млн. Разработчики сети «оперативно признали наличие ошибки», внеся необходимые исправления в течение нескольких дней.
Исследовательская фирма Eclysium выявила серьёзную уязвимость в прошивке Gigabyte UEFI, которая установлена на сотнях моделей материнских плат. Бэкдор помогает злоумышленникам установить обновления BIOS с незащищённых веб-серверов. Этот код компания Gigabyte применяла для установки обновлений BIOS через Интернет или из подключённого хранилища в локальной сети.
Эксперты корпорации Microsoft нашли уязвимость Migraine (CVE-2023-32369) в macOS. Теперь, когда специалисты Apple устранили ошибку, стало известно, что он помогает хакерам с root-привилегиями обходить защиту System Integrity Protection (SIP), выполнять установку на устройство «неудаляемого» вредоноса и получать доступ к личным информации жертвы, просто опуская проверки безопасности Transparency, Consent and Control (TCC).
Разработчики KeePass исправили уязвимость, позволявшую узнать мастер-пароль в сервисе. Менеджер паролей обновился до версии 2.54, за счет чего была устранена уязвимость CVE-2023-32784, которая позволяла извлекать мастер-пароль из памяти приложения в формате простого текста.
Компания Zyxel призвала своих клиентов обновить брандмауэры ATP, USG Flex, VPN и ZyWALL/USG, чтобы предотвратить использование недавно выявленных уязвимостей. Отслеживаемые как CVE-2023-28771, CVE-2023-33009 и CVE-2023-33010 проблемы могут привести к выполнению команд ОС, удаленному выполнению кода (RCE) и отказу в обслуживании (DoS).
Источник: cisoclub.ru