Дайджест Jet CSIRT [05.07.2022]

06.07.2022

Google исправила 0-day уязвимость в Chrome для Windows и Android

В новой версии Chrome 103 исправлена ошибка реализации WebRTC, которая уже активно используется в атаках. Уязвимости присвоен идентификатор CVE-2022-2294, она имеет «высокий» уровень критичности и впервые об ошибке сообщил в Google 1 июля Ян Войтесек из команды Avast Threat Intelligence. Google не раскрывает подробности уязвимости, пока большинство пользователей не получат обновление. Оно также исправляет две другие серьезные уязвимости: CVE-2022-2295 в JavaScrip-движке Chrome V8 и CVE-2022-2296 в Chrome OS Shell.


Сотрудник HackerOne крал баг-репорты для продажи

Соучредитель крупнейшей платформы по поиску ошибок HackerOne и директор по информационной безопасности Крис Эванс заявил в своем блоге, что теперь уже бывший сотрудник, чья роль заключалась в сортировке уязвимостей для многочисленных программ баг-баунти, в период с 4 апреля по 22 июня продал информацию за пределы платформы HackerOne. Фирма выявила инцидент после получения 22 июня жалобы клиента, в которой было предложено изучить подозрительное раскрытие уязвимости вне HackerOne.


Django исправила уязвимость SQL- injection в новых выпусках

Команда Django выпустила версии своего продукта 4.0.6 и 3.2.14, которые устраняют серьезную SQL-инъекцию. Эта уязвимость, получившая код CVE-2022-34265, может позволить злоумышленнику атаковать веб-приложения Django с помощью аргументов, переданных функциям Trunc(kind) и Extract(lookup_name). На текущий момент уязвимы основная ветка Django, а также версии 4.1 (бета), 4.0 и 3.2. Приложения, выполняющие какую-либо очистку ввода или экранирование перед передачей аргументов функциям Trunc и Extract, не являются уязвимыми.