Дайджест Jet CSIRT [14.04.2021]

14.04.2021

Исследователи обнаружили уязвимости Man-in-the-Disk в Android-версии мессенджера Whatsapp

 

Специалисты компании CENSUS продемонстрировали возможность использования уязвимости Man-in-the-Disk на примере приложения Whatsapp. Показано, как простая фишинговая атака через приложение может привести к прямой утечке данных из внешнего хранилища. В частности, было обнаружено, что секреты сеанса TLS WhatsApp по ошибке хранились в незащищенном каталоге. Разработчики уже исправили обнаруженные уязвимости. Проблема не актуальна для версия Whatsapp начиная с 2.21.4.18 и выше.


Google исправила две уязвимости в Chrome

 

Специалисты компании Google выпустили новую версию браузера Chrome, которая исправляет две уязвимости, для одной из которых уже существует PoC-код. Тестовый код эксплойта опубликовал исследователь кибербезопасности Раджвардхан Агарвал (Rajvardhan Agarwal), выполнив реверс-инжиниринга патча, который команда Google Chromium поместила в исходном коде компонента браузера. Уязвимость связана с удаленным выполнением кода в механизме рендеринга V8 JavaScript. Вторая уязвимость затрагивает движок Blink и также связана с удаленным выполнением кода.


Microsoft выпустила ряд обновлений безопасности

 

В Microsoft Exchange исправлены критические уязвимости удаленного выполнения кода, обнаруженные АНБ в Exchange Server 2013, Exchange Server 2016 и Exchange Server 2019. На данный момент отсутствуют свидетельства их эксплуатации. В общей сложности в рамках обновления Microsoft исправила 108 уязвимостей, в том числе 5 уязвимостей нулевого дня. Одна из них обнаружена специалистом компании Лаборатория Касперского и активно использовалась в реальных атаках. Рекомендуем установить последние обновления безопасности для закрытия опубликованных уязвимостей.