Ошибки ChatGPT, PaperCut и Google Chrome оказались в списке эксплуатируемых уязвимостей CISA
CISA предупредила компании о срочном исправлении недостатков для защиты пользователей.
Агентство по кибербезопасности и защите инфраструктуры (CISA) добавило в свой каталог известных эксплуатируемых уязвимостей (KEV) проблему в ПО для управления печатью PaperCut.
PaperCut — компания-разработчик программного обеспечения для управления печатью для Canon, Epson, Xerox, Brother и других крупных производителей принтеров. Инструменты PaperCut широко используются в госучреждениях, университетах и крупных компаниях по всему миру.
PaperCut, поставщик ПО для управления печатью, заявил 19 апреля, что неисправленные серверы PaperCut MF/NG активно используются злоумышленниками в дикой природе.
Из двух обнаруженных уязвимостей одна ( CVE-2023–27350 ) с оценкой CVSS 9,8 является критической. Именно эту ошибку CISA добавила в свой каталог известных эксплуатируемых уязвимостей. Недостаток позволяет неавторизованному злоумышленнику получить удаленный доступ к системам жертв.
Кроме уязвимости PaperCut CISA также добавила в KEV уязвимость нулевого дня, затрагивающая Google Chrome (CVE-2023-2136) после того, как Google выпустила обновление для системы безопасности.
Ошибка затрагивает Skia, инструмент, используемый браузером для рендеринга графики, текста, фигур, изображений и анимации.
Другая добавленная уязвимость, CVE-2023-28432, затрагивает инструмент под названием MinIO, который широко используется для машинного обучения, аналитики и т.д.
Компания GreyNoise, специализирующаяся на анализе угроз, объяснила, что проблема затрагивает ChatGPT. В прошлом месяце OpenAI добавила новую функцию в инструмент парсинга заголовков, который позволяет чат-боту извлекать информацию из других источников.
«Есть некоторые опасения по поводу безопасности примера кода, предоставленного OpenAI для разработчиков, которые хотят интегрировать свои плагины с новой функцией», — сказал Мэтью Ремакл из GreyNoise.
Несмотря на то, что сейчас нет информации, указывающей на то, что какой-либо конкретный субъект нацелен на примеры экземпляров ChatGPT, эксперты наблюдали активное использование этой уязвимости в дикой природе. Исследователи добавили, что под угрозой могут находиться любые развернутые плагины ChatGPT, которые используют устаревшую версию инструмента MinIO.
Как и в случае с PaperCut, уязвимости Google и MinIO должны быть исправлены к 12 мая.
Устали от того, что Интернет знает о вас все?