Windows, QNAP и ASUS: исправления для самых опасных уязвимостей недели

В последние дни компании из разных областей выпустили значимые обновления для устранения критических уязвимостей, которые могут угрожать безопасности пользователей. Представляем обзор ключевых исправлений и выявленных угроз.

Атака DaMAgeCard: уязвимость стандарта SD Express

Компания Positive Technologies разработала метод атаки DaMAgeCard, который использует особенности стандарта SD Express. Новый стандарт позволяет картам памяти работать в режиме PCIe/NVMe, предоставляя прямой доступ к памяти устройства. Атака возможна при использовании специально созданных карт памяти SD Express, подключаемых к уязвимым устройствам. Однако низкий уровень распространенности стандарта пока ограничивает риски.

Уязвимость NTLM: угроза для всех версий Windows

Специалисты ACROS выявили Zero Day уязвимость, которая позволяет злоумышленникам похищать учетные данные NTLM. Для эксплуатации достаточно, чтобы пользователь открыл вредоносный файл в Проводнике Windows . Уязвимость затрагивает все версии операционной системы, начиная с Windows 7 и Windows Server 2008. ACROS уведомила Microsoft и выпустила микропатчи, которые уже доступны для установки.

Обновления QNAP: устранение 10 уязвимостей

Тайваньский производитель QNAP выпустил обновления безопасности для своих продуктов. В рамках обновления устранено 10 уязвимостей, часть из которых активно использовалась на хакерском конкурсе Pwn2Own. Эксперты настоятельно рекомендуют пользователям QNAP установить последние версии прошивок, чтобы защитить устройства от возможных атак.

Уязвимость в SailPoint IdentityIQ: критическая угроза с максимальным баллом

На платформе управления идентификацией SailPoint IdentityIQ обнаружена уязвимость CVE-2024-10905 (оценка CVSS: 10), связанная с недостаточным контролем доступа. Ошибка позволяет получить доступ к статическому контенту в каталоге приложения, который должен быть защищен.

Проблема затрагивает версии IdentityIQ 8.4 (до 8.4p2), IdentityIQ 8.3 (до 8.3p5), IdentityIQ 8.2 (до 8.2p8) и все более ранние версии. SailPoint выпустила исправления для каждой затронутой версии, а будущие обновления закроют данную проблему.

Обновления маршрутизаторов ASUS: новые версии прошивок

ASUS представила обновления безопасности для маршрутизаторов серий RT-AX55, RT-AX56U, RT-AX57 и других моделей. Обновления устраняют уязвимость, связанную с некорректной обработкой входных данных, которая может быть использована для проведения атак. Пользователям рекомендуется установить новые версии прошивок, доступные на официальной странице поддержки ASUS.

Исправления в TeamCity: 13 исправлений и новые функции

JetBrains выпустила крупное обновление для платформы TeamCity. В новой версии добавлены:

• Экспериментальный режим Kubernetes Executor, который позволяет использовать Kubernetes для управления сборками.
• Улучшенное управление токенами OAuth, включая централизованное управление и возможность быстрого удаления устаревших токенов.
• Поддержка пользовательских Kotlin-библиотек для упрощения разработки.
• Улучшения в AWS-интеграции и новая функциональность для Perforce.

Дополнительно введена возможность одобрения целой цепочки сборок за одно действие, что упрощает процессы релиза.

Уязвимости библиотеки Mongoose: риск для IoT-устройств

Специалисты Nozomi Networks выявили 10 уязвимостей в популярной библиотеке Mongoose, используемой в IoT-устройствах. Уязвимости связаны с обработкой TLS-пакетов и позволяют хакерам вызвать сбои или перезагрузку устройств. Хотя разработчик библиотеки выпустил версию Mongoose 7.15 с исправлениями, многие устройства, особенно в IoT и промышленной сфере, могут долго оставаться без обновлений, что создает риски.

Рекомендации для пользователей

• Установить последние обновления для всех упомянутых устройств.
• Регулярно проверять настройки безопасности оборудования и использовать сложные пароли.
• При работе с IoT-устройствами убедиться в наличии актуальных версий ПО.