В ядре Linux выявлена уязвимость (CVE-2021-41073), позволяющая локальному пользователю поднять свои привилегии в системе. Проблема вызвана ошибкой в реализации интерфейса асинхронного ввода/вывода io_uring, приводящей к обращению к уже освобождённому блоку памяти. Отмечается, что исследователем удалось добиться освобождения памяти по заданному смещению при манипуляции с функцией loop_rw_iter() со стороны непривилегированного пользователя, что делает возможным создание рабочего эксплоита. Проблема пока устранена только в виде патча, который бэкпортирован в стабильные ветки ядра, но обновление ещё не выпущено (в сегодняшние обновления 5.14.6, 5.13.19 и 5.10.67 исправление не вошло). (https://www.opennet.ru/opennews/art.shtml?num=55828)

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-41073

MacOS 0day RCE! 🔥🔥🔥

https://ssd-disclosure.com/ssd-advisory-macos-finder-rce/

This is dangerous! 🔥💣

https://www.youtube.com/watch?v=cnvXnqbIr-w

Apple releases urgent updates for iOS and macOS to patch 3 new 0-day flaws actively exploited in the wild.

Attacks involve:

CVE-2021-30860 — maliciously crafted PDFs
CVE-2021-30858 — maliciously crafted web content
CVE-2021-30869 — malicious app

https://thehackernews.com/2021/09/urgent-apple-ios-and-macos-updates.html

Надеюсь все обновились от #VMWare vCenter Server File Upload to #RCE #CVE-2021-22005

как проверить:
cat vmware_centers.txt | while read S do; do curl --connect-timeout 15 --max-time 30 --silent --insecure --user-agent "vAPI/2.100.0 Java/1.8.0_261 (Linux; 4.19.160-6.ph3; amd64)" -X POST "https://$S/analytics/telemetry/ph/api/hyper/send?_c&_i=test" -d "lorem ipsum" -H "Content-Type: application/json" -L --stderr - -v | tac | grep -q "HTTP/1.1 201" && printf "$S \033[1;35mVulnerable\e[0m\n" || printf "$S \033[1;32mPatched\e[0m\n"; done;