.
em resumo O diretor de uma escola charter de ciência e tecnologia da Flórida renunciou depois de supostamente preencher um cheque de US$ 100.000 para um imitador de Elon Musk usando fundos da escola.
Dr. Jan McGee, que é listado como membro do conselho fundador da Burns Science and Technology Charter em Oak Hill, Flórida, disse ao conselho de diretores da escola que havia sido enganada pelo falso Musk depois de ser “preparada” (em suas palavras) por meses.
“Eu sou uma senhora muito inteligente. Bem educada. Eu caí em uma farsa”, disse McGee ao conselho, de acordo com reportagens locais. McGee supostamente cortou um cheque de $ 100.000 para uma pessoa que ela acreditava ser um associado de Musk para iniciar investimentos adicionais de até $ 6 milhões.
Como McGee só tinha permissão para preencher cheques de até $ 50.000, o gerente de negócios da escola percebeu e impediu que o cheque fosse processado. De acordo com WESH Orlando, Há anos McGee queria envolver Musk no financiamento da escola, e alguém parece ter captado sua ambição. Outros testemunharam na reunião que McGee havia sido avisada pela equipe de que estava sendo enganada.
A ata de uma reunião de 9 de março do Conselho da Burns Sci-Tech Charter School indica que as ações de McGee já estavam sendo revisadas na época, com um membro do conselho solicitando uma revisão de desempenho de McGee na próxima reunião – aquela em que ela renunciou.
McGee se desculpou na reunião do conselho de 28 de março, mas três administradores escolares disseram que planejavam renunciar se McGee não o fizesse, o que o levou a renunciar.
Vulnerabilidades críticas e explorações ativas desta semana
Já falamos sobre uma árvore inteira cheia de vulnerabilidades da Apple que foram corrigidos esta semana e, ontem, a empresa de comunicações PBX 3CX revelou ter uma séria exploração na cadeia de suprimentos incorporado em seu cliente de desktop.
No entanto, esses não são os únicos problemas identificados nos últimos cinco dias – até mesmo o Internet Explorer ressuscitou para incomodar aqueles que ainda não eliminaram o navegador sem suporte de seus sistemas.
Mas primeiro vamos a todo o resto, que esta semana consiste em bugs conhecidos que foram encontrados explorados na natureza:
- CVSS: 9.8 – CVE-2017-7494: Implementação SMB de software livre O Samba contém uma vulnerabilidade RCE em todas as versões entre 3.5.0 e 4.6.4, 4.5.10 e 4.4.14. Um invasor pode usar a falha para carregar uma biblioteca em um compartilhamento gravável e forçar o servidor a executá-la.
- CVS 9.8 – CVE-2022-42948: O pacote de testes de penetração Cobalt Strike v.4.7.1 escapa indevidamente de tags HTML. Quando eles são exibidos em componentes Swing, um invasor pode injetar código malicioso para executar remotamente comandos na IU do Cobalt Strike.
- CVS 8.8 – CVE-2022-38181: os drivers de kernel da GPU Mali da Arm estão lidando mal com as operações de memória, abrindo a memória liberada para usuários sem privilégios. Isso afeta várias versões das arquiteturas Bifrost, Valhall e Midgard.
- CVS 8.8 – CVE-2022-3038: o serviço de rede do Google Chrome em versões anteriores a 105.0.5195.52 (que foi lançado em agosto passado) contém um bug gratuito de uso posterior que um invasor pode usar para explorar a corrupção de heap com HTML malicioso.
E depois há o Internet Explorer. Um par de exploits com pontuações de 9,3 e 10 no CVSS versão 2 estão sob exploit ativo e visando o IE versões 8 a 10 e 6 a 11 – o primeiro uma vulnerabilidade de corrupção de memória e o último um problema de uso após a liberação.
Como observamos em fevereiro, quando o IE última chamada foi emitido para algumas versões mais antigas do Windows 10, não é mais possível instalar o navegador datado em todas as versões, exceto nas versões mais antigas do Windows (7.1, 8 e algumas distribuições específicas do Win 10). O Edge está disponível para aqueles sistemas operacionais mais antigos sem suporte também, então atualize o mais rápido possível.
Oops: DJI esquece de enviar clientes BCC em e-mail de marketing
A fabricante de drones DJI errou um e-mail de marketing esta semana, quando colocou centenas de endereços de e-mail de clientes no campo “para” em vez de colocá-los em BCC. Os clientes foram ao Reddit para expressar sua insatisfaçãoe um Registro leitor nos avisou sobre a ocorrência.
O Redditor MyAnonID nos disse que havia “819 endereços de e-mail divulgados no que recebi” e acrescentou: “Eles me deram um crédito de $ 20 na minha conta DJI após uma reclamação rápida via chat”. Bem, isso é alguma coisa.
Outros clientes relataram que os e-mails que receberam – que foram direcionados a compradores recentes do modelo Avata da fabricante de drones – expuseram números semelhantes de endereços de e-mail, sugerindo que vários desses e-mails foram enviados. A DJI respondeu no tópico, mas apenas para se desculpar pela inconveniência, que disse ser devido a “uma falha em nosso sistema de distribuição de e-mail”.
Vários Redditors sugeriram que o erro poderia ser um violação do RGPD. Embora isso não esteja imediatamente claro, a Comissão de Proteção de Dados da Irlanda diz que tais incidentes ainda devem ser relatados a ela. A gravidade de tal incidente pode determinar se é punível. ®
.
