|
Microsoft выпустила мартовские обновления безопасности
В рамках ежемесячного цикла Patch Tuesday корпорация Майкрософт выпустила 71 исправление безопасности для программного обеспечения, 41 из которых связано с Windows, пять – с Microsoft Office и два с Microsoft Exchange. Две уязвимости - CVE-2022-22006 и CVE-2022-24501 оцениваются как критичные. Ни одна из них активно не эксплуатируется. Эксперты Sophos отмечают, что для одной из исправленных уязвимостей - CVE-2022-21990 имеется РоС-эксплойт. Ее можно использовать для повышения привилегий и получения контроля над машиной жертвы, после того, как она подключается к RDP-серверу, который контролируется злоумышленником. |
|
В Linux обнаружена критичная уязвимость CVE-2022-0847
Исследователь безопасности Макс Келлерман обнаружил ошибку в безопасности Linux, затрагивающую все ядра начиная с версии 5.8, включая Android. Уязвимость, получившая название «Dirty Pipe», позволяет перезаписывать данные в файлах, доступных только для чтения, и может привести к повышению привилегий за счет внедрения кода в корневые процессы. Исследователь также опубликовал экспериментальный код эксплойта. В версиях 5.16.11, 5.15.25 и 5.10.102 проблема исправлена. |
|
Мартовские обновления безопасности Android исправляют три критические ошибки
Google выпустила обновления безопасности для Android, устраняющие три критические уязвимости, одна из которых затрагивает все устройства, работающие под управлением последней версии мобильной ОС. Уязвимость, получившая идентификатор CVE-2021-39708, затрагивает системные компоненты и позволяет повысить привилегии без участия пользователя или дополнительных привилегий выполнения. Две другие критичные уязвимости - CVE-2021-1942 и CVE-2021-35110 затрагивают компоненты с закрытым исходным кодом на устройствах на базе Qualcomm. Никаких дополнительных технических подробностей ни об одной из уязвимостей не публиковалось, поскольку это подвергнет риску пользователей, использующих более старые версии ОС. |
|
В миллионах устройств HP обнаружены критичные уязвимости
Исследователи кибербезопасности обнаружили 16 новых уязвимостей высокой степени критичности в прошивке Unified Extensible Firmware Interface (UEFI). Бреши имеют оценки CVSS от 7,5 до 8,8. В число затронутых устройств входят ноутбуки HP, настольные компьютеры, PoS-терминалы и граничные вычислительные узлы. Злоумышленники могут использовать данные уязвимости для привилегированного выполнения кода во встроенном ПО или для внедрения вредоносного кода, позволяющего обходить решения безопасности. Наиболее серьезная уязвимость связана с System Management Mode (SMM) прошивкой. Ее эксплуатация позволяет выполнять произвольный код с самыми высокими привилегиями в обход механизмов защиты. |