TippingPoint опубликовала список незакрытых zero-day уязвимостей

TippingPoint опубликовала список незакрытых zero-day уязвимостей

Компания HP/TippingPoint выполнила свое обещание, опубликовав список программного обеспечения, в котором до сих пор не исправлены критические уязвимости. В списке из 22 пунктов значатся продукты крупных игроков рынка информационных технологий, таких как Microsoft, CA, EMC, HP и IBM.

Полгода назад HP/TippingPoint предупреждала вендоров о том, что опубликует данные о найденных ошибках, если они не будут закрыты в течение установленного срока.

В «черный список» вошли такие продукты как Lotus Notes, HP Data Protector Client и CA ETrust Secure Content Manager, а так же PowerPoint и Excel от  Microsoft. Большинство из обнаруженных уязвимостей могли позволить злоумышленнику получить доступ к целевой системе.

Как известно, в рамках программы Zero Day Initiative (ZDI), компания HP/TippingPoint тесно сотрудничает с исследователями в области информационной безопасности. Причем за предоставленную информацию о найденных в программных продуктах дефектах специалисты получают вознаграждение. Более того, для подтверждения своего "открытия" специалисты предоставляют код эксплойта для обнаруженной ошибки. Ранее, на их устранение компания отводила ИТ производителям больше времени. Но, поскольку этот процесс порой затягивался на год, в результате чего страдали пользователи, было решено изменить условия, сократив срок до 180 дней.

Однако стоит заметить, что прочие уязвимости, о которых не упомянуто в отчете были исправлены. Так, например компании Adobe и Microsoft  на этой неделе опубликовали обновления.

Вышедший вчера патч от Microsoft включает в себя 12 бюллетеней по безопасности, в которых закрыты три zero-day уязвимости, найденных  в Internet Explorer и IIS. Кроме того, в обновлении предусмотрено отключение  функции автозапуска при подключении USB устройств, о котором мы сообщали ранее.

А что касается Adobe, то они закрыли уязвимости в Flash Player, Shockwave и Adobe Reader. Более подробную информацию можно получить здесь.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Уязвимые Yealink Meeting Server могут слить учетки участников видеовстреч

Эксперты Positive Technologies выявили в Yealink Meeting Server уязвимость, позволяющую аутсайдеру получить учетные данные всех пользователей системы видео-конференц-связи (ВКС) в целевой организации.

Патч включен в состав сборки 26.0.0.67 и давно доступен, однако далеко не все корпоративные клиенты провайдера удосужились его применить, в том числе в России. Тем, кто этого еще не сделал, рекомендуется обновить софт в кратчайшие сроки.

Уязвимость CVE-2024-48352 (7,5 балла CVSS) классифицируется как раскрытие конфиденциальной информации. Эксплойт осуществляется подачей на сервер HTTP-запроса с ID атакуемого предприятия.

«До своего исправления уязвимость CVE-2024-48352 позволяла любому злоумышленнику без авторизации получить учетные данные всех пользователей системы, — уточнил старший специалист PT по пентесту Егор Димитренко. — Это означает, что атакующий мог бы входить в ВКС-систему от имени любого пользователя и перехватывать информацию внутри организации».

По данным ИБ-компании, в прошлом месяце в интернете присутствовал 461 непропатченный экземпляр Yealink Meeting Server. Больше половины установок расположены в Китае, 13% — в России.

 

В начале этого года исследователи из PT обнаружили в том же продукте Yealink еще одну, более опасную проблему — CVE-2024-24091 (инъекция команд, 9,8 балла CVSS). Использование обеих уязвимостей в связке, по словам экспертов, позволяет получить начальный доступ к корпоративной сети.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru