Обзор уязвимостей за прошедшую неделю (18-24 апреля)
Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: SLP, Intel, GhostToken, Google Cloud, Chrome Trust Wallet, Nokia, VMware, Intel Trust Domain Extensions.
ИБ-специалисты компаний BitSight и Curesec рассказали об уязвимости CVE-2023-29552 (8,6 по CVSS), выявленной в протоколе SLP (Service Location Protocol, «Протокол обнаружения сервисов»), позволяющей усиливать DDoS-атаки приблизительно в 2,2 тыс. раз.
В процессорах Intel обнаружили новую (уже не первую) уязвимость кражи информации по сторонним каналам. Этот способ атаки позволяет извлекать конфиденциальные данные через регистр EFLAGS и анализ тайминга выполнения инструкций.
Корпорация Google сообщила об устранении опасной уязвимости GhostToken в Google Cloud Platform (GCP). Ошибка касалась всех пользователей и позволяла хакерам создавать бэкдоры для чужих аккаунтов, используя вредоносное ПО с OAuth, которое устанавливалось из магазина Google или сторонних сайтов.
Корпорация Google нашла ещё одну уязвимость нулевого дня в браузере Chrome — всего через несколько суток после устранения предыдущей. Обнаруженной уязвимости Chrome под идентификатором CVE-2023-2136 был присвоен рейтинг «высокой серьёзности».
Разработчики Trust Wallet исправили уязвимость в основной программной библиотеке некастодиального кошелька. Ошибка касалась адресов, которые были созданы через браузерное расширение в период с 14 по 23 ноября 2022 года.
Экспертами по ИБ из Positive Technologies, Владимиром Разовым и Александром Устиновым, были выявлены пять уязвимостей в системе Nokia NetAct компании Nokia. Использование этих багов могло повлиять на защищенность и стабильность работы провайдеров.
На этой неделе компания VMware выпустила исправления для критической уязвимости, обнаруженной на хакерском конкурсе Pwn2Own Vancouver 2023. Отслеживаемая как CVE-2023-20869 (оценка CVSS 9,3), ошибка была выявлена исследователями Star Labs, которые получили за это вознаграждение в размере 80 тыс. долларов США.
Команда Google Audit сообщила об обнаружении 10 уязвимостей в Intel Trust Domain Extensions (TDX). Команда определила 81 потенциальный вектор атаки и десять подтвержденных уязвимостей.
Источник: cisoclub.ru