В SQLite обнаружили уязвимость 22-летней давности

Специалисты из компании Trail of Bits обнаружили опасную уязвимость в библиотеке СУБД SQLite, которая может позволить злоумышленникам контролировать программы или вызывать сбои в их работе. Ошибка была добавлена в код еще в октябре 2000 года. Проблеме присвоили идентификатор CVE-2022-35737 и она получили оценку в 7.5 баллов из 10 по шкале CVSS. Исследователи утверждают, что ошибка … Читать далее

В версии Zoom для macOS исправили опасную уязвимость

blank

В macOS-версии популярного сервиса видеоконференций Zoom была обнаружена опасная уязвимость. Она позволяет потенциальному злоумышленнику подключаться и управлять приложениями в уязвимой системе. Уязвимость получила идентификатор CVE-2022-28762 и 7.3 балла по шкале CVSS. Основной причиной возникновения ошибки является неправильная конфигурация порта отладки, который Zoom открывает в macOS. «macOS-версия клиента Zoom (как стандартная, так и для администраторов) содержит … Читать далее

Google Chrome признан самым уязвимым браузером 2022 года

blank

Данные, представленные сервисом Atlas VPN, показывают, что пользователям Google Chrome следует быть более осторожными в Интернете, поскольку этот браузер является наиболее уязвимым среди самых известных продуктов такого рода. Результаты показали, что в Google Chrome было найдено 303 уязвимости в 2022 году и 3 159 за все время. Выводы основаны на данных платформы VulDB и учитывают … Читать далее

15-летняя уязвимость в Python затрагивает более 350 тыс. проектов

blank

Исследовательский центр Trellix опубликовал результаты исследования 15-летней уязвимости в Python — CVE-2007-4559. Судя по оценкам, ошибка присутствует в более чем 350 тыс. проектов с открытым исходным кодом и встречается в проектах с закрытым исходным кодом. Уязвимость находится в модуле tarfile, который является модулем по умолчанию в любом проекте, использующем Python, и возникает из-за отсутствия очистки … Читать далее

Патч для Retbleed может снижать производительность виртуальных машин Linux на 70%

blank

Специалисты VMware протестировали патч ядра Linux 5.19, исправляющий уязвимость Retbleed. Как выяснилось, патч может снизить производительность виртуальных машин Linux на 70%. Уязвимость Retbleed (идентификаторы — CVE-2022-29900 для AMD и CVE-2022-29901 для Intel) была обнаружена и описана экспертами прошлым летом. Ошибка затрагивает процессоры Intel, выпущенные от 3 до 6 лет назад, а также процессоры AMD, выпущенные … Читать далее

HP устранила критическую уязвимость в предустановленном софте

blank

Компания HP уведомила пользователей о новой уязвимости в программном обеспечении HP Support Assistant, которое предустановлено на всех настольных компьютерах и ноутбуках производителя. Программа HP Support Assistant используется для отслеживания и устранения проблем с компьютером. С ее помощью можно проводить тесты оборудования, углубляться в различные технические детали и проверять наличие обновлений BIOS и драйверов. Уязвимости, получившей … Читать далее

Уязвимость в приложении TikTok для Android может привести к взлому аккаунта в один клик

blank

Серьезная уязвимость в приложении TikTok для Android, которое установлено более 1.5 миллиарда раз, позволяет злоумышленникам завладеть учетной записью пользователя в один клик. Уязвимость, отслеживаемая как CVE-2022-28799, была обнаружена Microsoft и возникает при обработке глубоких ссылок TikTok для Android — особого типа гиперссылок ОС, которые ссылаются на конкретный компонент в приложении. Ошибка может позволить злоумышленникам изменять … Читать далее

Уязвимость в GitLab позволяла удалённо выполнять код на устройстве

blank

GitLab выпустил исправление для RCE-уязвимости CVE-2022-2884, получившей 9.9 баллов из 10 по шкале CVSS. Уязвимость позволяла авторизованному хакеру удалённо выполнить код на устройстве через GitLab Import API. Уязвимость в GitLab Community/Enterprise Edition затрагивает все версии, начиная с 11.3.4 до 15.1.5, все версии с 15.2 до 15.2.3, а также версии с 15.3 до 15.3.1. Информации об использовании CVE-2022-2884 … Читать далее

DirtyCred — новая брешь в ядре Linux

blank

Специалисты раскрыли детали восьмилетней уязвимости в ядре Linux. Ошибка не менее опасна, чем известная всем Dirty Pipe, получившая 7,8 балла по шкале CVSS и затрагивающая Unix-конвейер (pipeline). Уязвимость, отслеживаемая как CVE-2022-2588, получила название DirtyCred. С помощью DirtyCred злоумышленник может повысить свой доступ в уже скомпрометированной системе до максимального уровня. «DirtyCred — это концепция эксплуатации ядра, … Читать далее

iOS нужно обновить, чтобы избежать утечки данных

blank

Apple выпустила обновление iOS 15.6.1, в котором была исправлена серьёзная уязвимость в ядре (CVE-2022-32894) и Webkit (CVE-2022-32893). Данные ошибки могли быть использованы злоумышленниками для выполнения произвольного кода. Обновление направлено на улучшение системы безопасности и не содержит новых функций. Стоит отметить, что это, скорее всего, последнее обновление iOS 15, потому что в следующем месяце Apple выпустит … Читать далее