Od początku sierpnia CERT Polska jako jedyna instytucja w kraju i jeden z 7 CERT-ów w Europie może nadawać numery CVE, które służą identyfikacji i katalogowaniu publicznie ujawnionych podatności.

Microsoft opublikował informację o krytycznej podatności CVE-2023-23397 w aplikacji Outlook na systemie Windows. Może ona prowadzić do zdalnego przejęcia hasła domenowego, bez interakcji użytkownika. Podatność była aktywnie używana w atakach przez jedną z rosyjskich grup APT od kwietnia 2022 roku, w tym w Polsce. Rekomendujemy podjęcie natychmiastowych działań we wszystkich organizacjach, których użytkownicy korzystają z poczty poprzez klienta Microsoft Outlook.

Fortinet opublikował informację o krytycznej podatności CVE-2022-42475 pozwalającej na zdalne wykonanie kodu bez uwierzytelniania w module SSL-VPN (sslvpnd) dla FortiOS. Podatność była aktywnie wykorzystywana w atakach jeszcze zanim jej istnienie zostało ujawnione.

Rok 2021 był wypełniony poważnymi podatnościami, które bardzo szybko były adaptowane i wykorzystywane przez cyberprzestępców, w szczególności przez grupy ransomware. Zaobserwowaliśmy wyraźny trend wzrostu wykorzystania podatności w oprogramowaniu używanym przez firmy np. Microsoft Exchange czy VMware vCenter, względem tych w oprogramowaniu wykorzystywanym przez użytkownika końcowego, takich jak pakiet Office czy przeglądarka.

W bibliotece Apache Log4j, w wersjach od 2.0-alpha1 do 2.16.0 włącznie, z wyłączeniem wersji 2.12.3-2.12.*, znaleziono krytyczne podatności pozwalające na zdalne wykonanie kodu oraz atak odmowy dostępu. Dodatkowo w wersji 2.17.0 znaleziono podatność pozwalającą na zdalne wykonanie kodu, w momencie gdy atakujący …

Pliki Flash, pomimo zbieżności nazwy, nie mają nic wspólnego z przenośnymi pamięciami USB. Flash to zwyczajowe określenie na pliki o rozszerzeniu .swf, przenoszące animacje oraz zapewniające pewien poziom interaktywności. SWF, z angielskiego wymawiane swiff, początkowo przenosiły wyłącznie grafiki wektorowe, lecz szybko okazało się, że jest zapotrzebowanie na coś więcej. Kiedy …

Adobe potwierdziło informację o luce w Adobe Readerze opublikowanej na liście Full Disclosure. Podatność związana jest z błędem alokacji pamięci na stercie występującym w module escript.api, który ma miejsce podczas wywołania funkcji printSeps(). Zaprezentowany Proof of Concept powoduje, iż aplikacja przestaje odpowiadać (Denial of Service), jednak podatność ta może …