Zyxel устранила критические дыры в файрволах и VPN

Активная защита баз данных - когда утечки слишком дорогиГарда DBF сделает прозрачную матрицу доступа к данным, автоматизирует аудит всех учетных записей, выявит факты несанкционированного доступа и аномальное поведение пользователей баз данных и бизнес-приложений.Бесплатный пилотный проект →
Зарегистрироваться на вебинар →
Реклама, ООО "ГАРДА ТЕХНОЛОГИИ", ИНН 5260443081

Екатерина Быстрова 26 Мая 2023 - 10:57

Домашние пользователи

Корпорации

Уязвимости программ

...

Zyxel устранила критические дыры в файрволах и VPN

Корпорация Zyxel выпустила софтовые обновление, чтобы устранить две критические уязвимости, затрагивающие файрволы и VPN. В случае эксплуатации этих брешей злоумышленники могут выполнить код в целевой системе.

Уязвимости отслеживаются под идентификаторами CVE-2023-33009 и CVE-2023-33010 и представляют собой возможность переполнения буфера. По шкале CVSS им дали 9,8 балла из 10.

Согласно описанию, проблемы представляют собой следующее:

CVE-2023-33009 — переполнение буфера в функции уведомлений, которое может привести к DoS и выполнению произвольного кода. Аутентификация атакующего не требуется.
CVE-2023-33010 — переполнение буфера в функции обработки ID, которое также приводит к DoS или удалённому выполнению кода.

Проблемы в безопасности угрожают ряду продуктов Zyxel:

ATP (версий ZLD V4.32 to V5.36 Patch 1, устранено в ZLD V5.36 Patch 2)
USG FLEX (версий ZLD V4.50 to V5.36 Patch 1, устранено в ZLD V5.36 Patch 2)
USG FLEX50(W) / USG20(W)-VPN (версий ZLD V4.25 to V5.36 Patch 1, устранено в ZLD V5.36 Patch 2)
VPN (версий ZLD V4.30 to V5.36 Patch 1, устранено в ZLD V5.36 Patch 2)
ZyWALL/USG (версий ZLD V4.25 to V4.73 Patch 1, устранено в ZLD V4.73 Patch 2)

За информацию о багах корпорация поблагодарила исследователей из TRAPA Security и STAR Labs SG.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Читайте также

В Google Chrome закрыли вторую эксплуатируемую уязвимость с начала года

Екатерина Быстрова 13 Мая 2024 - 11:59

Эксплойты Уязвимости программ Уязвимость нулевого дня Домашние пользователи Google

В Google Chrome закрыли вторую эксплуатируемую уязвимость с начала года

В конце прошлой недели Google выпустила обновление Chrome, устраняющее очередную уязвимость нулевого дня (0-day). По словам корпорации, брешь используется в реальных кибератаках.

Проблему отслеживают под идентификатором CVE-2024-4671, она представляет собой ошибку использования динамической памяти (use-after-free) и затрагивает компонент Visuals.

Google узнала об уязвимости от анонимного исследователя 7 мая 2024 года. В официальном уведомлении интернет-гигант пишет, что разработчики в курсе использования CVE-2024-4671 в реальных атаках. При этом никаких дополнительных деталей не приводится.

Там не менее всем пользователям настоятельно рекомендуют установить последнюю версию Google Chrome: 124.0.6367.201/.202 (для Windows и macOS), 124.0.6367.201 (для Linux).

Таким образом, с начала года Google устранила уже вторую 0-day. Напомним, первая отметилась в январе — CVE-2024-0519. Она затрагивала JavaScript- и WebAssembly-движок V8 и допускала доступ к памяти за пределами границ.

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2024. Все права защищены.

Рекламные коды ОРД: JapBIIgg8, JapBINit6, JapBIR7iO, JapBIM8gm, LdtCKaTR6