Обзор уязвимостей за прошедшую неделю (19-26 сентября)
Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Евгений Касперский, Лаборатория Касперского, WhatsApp, Android, МТС RED, Microsoft WinDbg, Александр Калинин, Citizen Lab, Google Threat Analysis Group, Apple, Predator, Cytrox, Trend Micro, Apex One, GitHub, WinRAR, Palo Alto Networks Unit 42, VenomRAT, GitLab, Atlassian, Jira, Confluence, Bitbucket, Bamboo, Atos Unify.
Евгений Касперский, глава «Лаборатории Касперского», сообщил о наличии серьезных уязвимостей во многих популярных технологических платформах. Особое внимание он уделил проблемам безопасности в WhatsApp и Android.
Эксперты компании МТС RED нашли уязвимость в популярном отладчике программного обеспечения Microsoft WinDbg. ИБ-специалист Александр Калинин выявил ошибку в безопасности, которая может быть использована при кибератаках на разработчиков, в том числе с целью встраивания закладок в разрабатываемые ими приложения.
Специалисты из Citizen Lab и Google Threat Analysis Group (TAG) рассказали, что с мая по сентябрь 2023 года три уязвимости нулевого дня, устраненные корпорацией Apple на прошлой неделе, эксплуатировались в составе цепочки эксплоитов для распространения шпионского ПО Predator компании Cytrox.
На этой неделе компания Trend Micro предупредила пользователей об исправлении критической 0-day уязвимости, которая касается Apex One и других продуктов для конечных точек. Уязвимость уже использовалась киберпреступниками в атаках.
На GitHub обнаружили поддельный PoC-эксплоит для недавно устраненной уязвимости в WinRAR. Специалисты Palo Alto Networks Unit 42 заявили, что под эксплоит был замаскирован загрузчик вредоносного ПО VenomRAT.
В GitLab сообщили о выпуске патчей для исправления критической уязвимости, позволяющей запускать конвейеры (pipeline) от лица других пользователей, злоупотребляя для этого политиками запланированных сканирований безопасности.
Компания Atlassian анонсировала выпуск исправлений для четырех серьезных уязвимостей, затрагивающих ее продукты Jira, Confluence, Bitbucket и Bamboo.
Две уязвимости, обнаруженные ранее в этом году в продуктах Atos Unify, могут позволить злоумышленникам вызвать сбои в работе и даже использовать «бэкдор» в целевой системе.
ⓘ×16+. Реклама. Рекламодатель: ПАО «МегаФон», ИНН: 7812014560 Erid: LjN8KEAA4
Источник: cisoclub.ru