В Mazda Connect не исправлено 6 опасных уязвимостей
Главная » Новости
Публичное облако: кто отвечает за безопасность?Облако в 2026 году — это уже не просто серверы у провайдера, а полноценная часть ИТ-инфраструктуры компании. И главные риски сегодня связаны не с “железом”, а с ошибками настройки, избыточными доступами, API и размытыми зонами ответственности. 10 июня в 11:00 в прямом эфире AM Live разберём, как сегодня выглядит безопасность публичного облака и какие ошибки чаще всего приводят к инцидентам.→ Регистрируйтесь по ссылке
Реклама. ООО «АМ Медиа», ИНН 7703628151, 16+

В Mazda Connect не исправлено 6 опасных уязвимостей

Яков Шпунт 11 Ноября 2024 - 17:20
...
В Mazda Connect не исправлено 6 опасных уязвимостей

Эксперты Trend Micro обнаружили несколько критических уязвимостей в информационно-развлекательном блоке Mazda Connect. Эксплуатация данных брешей позволяет получить полный контроль к сетям транспортных средств, что может создать угрозу безопасности движения.

Ошибки были найдены в Mazda Connectivity Master Unit от Visteon с программным обеспечением, разработанным Johnson Controls. Как отметили исследователи, ошибки не устранены даже в последней версии прошивки 74.00.324A.

Всего эксперты Trend Micro нашли 6 уязвимостей:

  1. CVE-2024-8355: SQL-инъекция в DeviceManager — позволяет злоумышленникам манипулировать базой данных или выполнять сторонний код с помощью внедрения вредоносного ввода при подключении перехваченного устройства Apple.
  2. CVE-2024-8359: Command Injection в REFLASH_DDU_FindFile — позволяет злоумышленникам выполнять произвольные команды в информационно-развлекательной системе, внедряя их во входные пути файлов.
  3. CVE-2024-8360: внедрение команд в REFLASH_DDU_ExtractFile — аналогично предыдущей уязвимости она позволяет злоумышленникам выполнять произвольные команды через несанкционированные пути к файлам.
  4. CVE-2024-8358: внедрение команд в UPDATES_ExtractFile — позволяет выполнять код путём внедрения команд в пути к файлам, используемым в процессе обновления.
  5. CVE-2024-8357: отсутствие корня доверия в App SoC — отсутствуют проверки безопасности в процессе загрузки, что позволяет злоумышленникам сохранять контроль над информационно-развлекательной системой после атаки.
  6. CVE-2024-8356: неподписанный код в VIP MCU — позволяет злоумышленникам загружать несанкционированную прошивку, потенциально предоставляя контроль над определёнными подсистемами автомобиля, включая двигатель, тормоза и трансмиссию.

Старший исследователь Trend Micro's Zero Day Initiative (ZDI) Дмитрий Янушкевич сообщил изданию BleepingComputer, что для эксплуатации данных уязвимостей необходим физический доступ к системе.

Потенциальному злоумышленнику потребуется подключиться к ней через USB, сама процедура атаки займет несколько минут. Особо Дмитрий Янушкевич обратил внимание на дилерские центры и станции техобслуживания, где злоумышленник может получить такой доступ и не вызвать подозрения.

Наиболее опасной эксперт ZDI назвал CVE-2024-8356, которая открывает широкий простор для автоугонщиков и вымогателей. Эта уязвимость позволяет получить доступ к ключевым системам автомобиля.

Следующая главная новость »
AM LiveПубличное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

В магазины и кафе по QR-коду: в Питере готовят цифровую проверку возраста
Екатерина Быстрова 09 Июня 2026 - 11:46
Соответствие законодательству РФ Домашние пользователиГосударство
В магазины и кафе по QR-коду: в Питере готовят цифровую проверку возраста

В Петербурге придумали, как избавить продавцов от вечного вопроса «А вам точно есть 18?». В Смольном подготовили законопроект, который позволит подтверждать возраст покупателей и посетителей заведений с помощью QR-кода из «Госуслуг» или мессенджера МАКС.

Документ представила на заседании комиссии по законности Заксобрания заместитель председателя комитета по образованию Елена Замышляева.

По задумке авторов, новый механизм поможет предпринимателям быстрее проверять возраст посетителей в ситуациях, когда это требуется по закону.

Речь идёт не только о покупке товаров с возрастными ограничениями, но и о посещении заведений категории 18+, а также соблюдении так называемого комендантского часа для несовершеннолетних.

По словам Замышляевой, только за прошлый год в Петербурге составили протоколы в отношении 194 школьников и 293 родителей за нарушение действующих ограничений.

Новая схема выглядит просто: пользователь сможет сформировать специальный QR-код через «Госуслуги» или платформу МАКС. При сканировании проверяющий увидит только информацию о возрасте, без раскрытия других персональных данных.

Таким образом, вместо демонстрации паспорта достаточно будет показать смартфон.

Как отмечают в Смольном, соответствующие механизмы уже предусмотрены на федеральном уровне, поэтому региональный законопроект лишь адаптирует их применение в Петербурге.

Ожидается, что документ будет рассмотрен и принят Законодательным собранием в ближайшее время.

Если инициатива заработает на практике, смартфон окончательно закрепит за собой статус главного документа на все случаи жизни.

AM LiveПубличное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!
Хакер взломал офис ФБР и добрался до файлов по делу Эпштейна
Новость
Хакер взломал офис ФБР и добрался до файлов по делу Эпштейна
ЦИПР-2026 бесплатно откроет выставку для всех желающих в последний день
Новость
ЦИПР-2026 бесплатно откроет выставку для всех желающих в пос...
ChatGPT и DeepSeek пропускают до 50% уязвимостей в софте на Java и Python
Новость
ChatGPT и DeepSeek пропускают до 50% уязвимостей в софте на...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.