Новости Уязвимости июля: миллиарды устройств на грани взлома

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
Positive Technologies представила топ трендовых уязвимостей.


d8hm0kskz0024c1k3d9sjch9klkgb9bh.jpg


В июле 2024 года эксперты Positive Technologies Для просмотра ссылки Войди или Зарегистрируйся к трендовым три уязвимости: в продукте для преобразования документов Ghostscript , в гиперконвергентной платформе Acronis Cyber Infrastructure, а также же в движке для обработки и отображения HTML-страниц Windows .

Уязвимость в движке для обработки и отображения HTML-страниц Windows MSHTML Platform
CVE-2024-38112 (оценка по CVSS — 7,5)

По оценкам, данная уязвимость может затронуть около миллиарда устройств, включая пользователей устаревших версий Windows, таких как Windows 10, Windows 11 и Windows Server 2022. Эксплуатация этого недостатка позволяет злоумышленнику обмануть пользователя, отправив ему вредоносное вложение, замаскированное под PDF-файл, что может привести к утечке конфиденциальной информации. Преступники могут использовать методы фишинга, рассылать электронные письма с опасными вложениями или ссылками на подконтрольные им ресурсы.

Для устранения уязвимости рекомендуется установить официальные Для просмотра ссылки Войди или Зарегистрируйся Windows.

Уязвимость, связанная с выполнением произвольного кода в гиперконвергентной платформе Acronis Cyber Infrastructure (ACI)
CVE-2023-45249 (оценка по
CVSS — 9,8)

Для просмотра ссылки Войди или Зарегистрируйся , сервисы Acronis, среди которых и ACI, используют около 20 000 сервис-провайдеров. Уязвимость может коснуться пользователей устаревших версий.

Эксплуатация уязвимости позволяет неавторизованному злоумышленнику получить доступ к серверу ACI и выполнить произвольный код, что может привести к полному контролю над системой и дальнейшему развитию атаки. Уязвимость связана с использованием пароля по умолчанию, и для ее устранения необходимо установить последние Для просмотра ссылки Войди или Зарегистрируйся безопасности от Acronis.

Уязвимость в программном обеспечении для преобразования документов Ghostscript, Artifex
CVE-2024-29510 (оценка по CVSS — 6,3)


Программное обеспечение для преобразования документов Ghostscript, присутствующее на большинстве UNIX-узлов, а также на значительном количестве Windows-устройств, оказалось под угрозой из-за уязвимости, позволяющей нарушителю выполнить выход из изолированной программной среды. Злоумышленник может взломать сервис, использующий форматы PostScript или PDF, и изменить файлы в системе, включая их шифрование. Этот недостаток безопасности связан с выходом операции записи за границы буфера памяти. Оптимальным решением для устранения этой уязвимости является обновление программы до версии 10.03.1, например, Для просмотра ссылки Войди или Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся .

<strong> Общий анализ и рекомендации</strong>

Трендовые уязвимости представляют наибольшую опасность для корпоративной инфраструктуры и требуют быстрого реагирования. Эксперты Positive Technologies используют множество источников для выявления таких уязвимостей, включая базы данных уязвимостей, бюллетени безопасности, социальные сети и блоги.

Компании должны внимательно следить за новыми уязвимостями и оперативно принимать меры для их устранения, устанавливая все необходимые обновления безопасности. Это поможет избежать потенциальных атак и защитить конфиденциальную информацию, хранящуюся в их системах.
 
Источник новости
www.securitylab.ru

Похожие темы