Привет, коллеги!

Выходные подходят к концу, а значит, самое время подвести итоги недели 🥺

🥺 Утечка данных DeepSeek

Исследователи Wiz Research обнаружили открытую базу данных ClickHouse китайской нейросети DeepSeek. Она была доступна без аутентификации и содержала:

🔹 Историю чатов пользователей,
🔹 API-ключи,
🔹 Внутренние конфигурационные файлы.

Серверы oauth2callback.deepseek.com:9000 и dev.deepseek.com:9000 позволяли свободно просматривать эти данные. После уведомления компания закрыла доступ.

🔗 Подробнее: Wiz Research


💀Критические уязвимости в ядре Linux

Опубликованы PoC для CVE-2024-56614 и CVE-2024-56615
Две критические уязвимости обнаружены в ядре Linux в механизме eBPF/XDP, который отвечает за высокопроизводительную обработку сетевых пакетов. Обе позволяют перезаписывать память ядра, что может привести к выполнению произвольного кода с правами root.

В чём проблема?
Ошибка связана с некорректным сравнением индексов элементов в массиве (signed int vs unsigned int) в функциях:

CVE-2024-56614 → xsk_map_delete_elem() (XSKMAP)
CVE-2024-56615 → dev_map_delete_elem() (DEVMAP)

В обоих случаях это приводит к выходу за границы памяти ядра (Out-of-Bounds Write) и возможности эскалации привилегий.

🔗 Ссылки на PoC:
🔹 CVE-2024-56614
🔹 CVE-2024-56615


💀Уязвимость в Apple CoreMedia (CVE-2025-24085)

Эта уязвимость типа "use-after-free" в компоненте CoreMedia, который отвечает за обработку медиа (видео и аудио ) на яблочных устройствах, позволяла вредоносным приложениям повышать привилегии.

Apple выпустила обновления для:

📱 iOS 18.3, iPadOS 18.3
💻 macOS Sequoia 15.3
⌚️ watchOS 11.3
📺 tvOS 18.3
🕶 visionOS 2.3

По словам представителей Apple, уязвимость могла активно эксплуатироваться против версий iOS до 17.2. Патч доступен с 27 января на всех яблочках.

Обновления также устраняют множество других уязвимостей, включая:
CVE-2025-24137: уязвимость типа "type confusion" в AirPlay, которая позволяла удаленному злоумышленнику вызвать неожиданное завершение приложения или выполнить произвольный код.

CVE-2025-24145: уязвимость, которая позволяла получить доступ к номеру телефона юзера через системные журналы.

CVE-2025-24107 и CVE-2025-24159: ошибки в ядре, которые позволяли вредоносному приложению получить root-привилегии.

CVE-2025-24128: уязвимость в Safari, которая связана с возможностью подмены адресной строки. При посещении специально созданного вредоносного сайта злоумышленник мог изменить отображаемый в адресной строке URL, вводя пользователя в заблуждение относительно подлинности сайта.

🔗 Подробнее: support.apple.com

Желаем вам хорошей и продуктивной предстоящей недели! Берегите данные и нервы 😡!