Архив рубрики: Безопасность

Фонд СПО объявил обладателей ежегодной премии за вклад в развитие свободного ПО

Ричард Столлман объявил на конференции LibrePlanet 2019 лауреатов ежегодной премии «Free Software Awards 2018», учрежденной Фондом свободного ПО (FSF) и присуждаемой людям, внесшим наиболее значительный вклад в развитие свободного ПО, а также социально значимым свободным проектам.

Уязвимость в библиотеке Fizz с реализацией TLS 1.3 от Facebook

В Fizz, развиваемой компанией Facebook открытой реализации протокола TLS 1.3 на языке C++14, выявлена уязвимость (CVE-2019-3560), позволяющая совершить DoS-атаку через введение обработчика в состояние бесконечного зацикливания из-за целочисленного переполнения.

На соревновании Pwn2Own 2019 продемонстрированы взломы Firefox, Edge, Safari, VMware и VirtualBox

Подведены итоги второго дня соревнования Pwn2Own 2019, ежегодно проводимого в рамках конференции CanSecWest в Ванкувере. На соревновании были продемонстрированы рабочие техники эксплуатации ранее неизвестных уязвимостей в Firefox, Edge, Safari, VMware Workstation и VirtualBox. Суммарный размер выплат составил 510 тысяч долларов (общий призовой фонд составлял более 2 млн долларов).

Анализ утечек конфиденциальных данных через репозитории на GitHub

Группа исследователей из Университета штата Северная Каролина опубликовала результаты (PDF) анализа случайного попадания конфиденциальных данных в публично доступные репозитории на GitHub. Например, из-за недосмотра в репозитории временами попадают оставленные в рабочем каталоге или вшитые в код ключи доступа к облачным сервисам, пароли к СУБД, ключи к VPN и сертификаты для цифровых подписей.

Очередные критические уязвимости в Ghostscript

Продолжают находить критические уязвимости в Ghostscript, наборе инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF. Новые проблемы CVE-2019-3835 и CVE-2019-3838 позволяют при обработке специально оформленных документов обойти режим изоляции «-dSAFER» и получить доступ к содержимому ФС, что можно использовать для организации атаки для выполнения произвольного кода в системе (например, через добавление команд в… Читать далее »

Уязвимость в пакетном менеджере pacman, позволяющая выполнить код в ходе MITM-атаки

В пакетном менеджере pacman, применяемом в дистрибутиве Arch Linux, выявлена уязвимость (CVE-2019-9686), позволяющая добиться выполнения кода с правами root в момент установки пакета, в случае контроля атакующим зеркала репозитория или транзитного трафика жертвы (например, при подключении пользователя через сетевой шлюз, VPN или беспроводную точку доступа, подконтрольные атакующему).

Утечка 800 млн email через СУБД MongoDB сервиса подтверждения адресов

Исследователь безопасности Боб Дьяченко (Bob Diachenko) обнаружил наличие неограниченного доступа к БД, включающей сведения о 800 млн email-адресов (размер загруженных данных — 150 ГБ).

SPOILER — новая атака на механизм спекулятивного выполнения CPU Intel

Группа исследователей из Вустерского политехнического института (США) и Любекского университета (Германия) раскрыли детали новой атаки SPOILER на механизм спекулятивного выполнения операций в процессорах. Атака специфична для процессоров Intel и не проявляется в CPU AMD и ARM. Предложенная техника атаки даёт возможность определить отражение виртуальных адресов в физическую память, что позволяет существенно повысить эффективность проведения известных низкоуровневых атак,… Читать далее »

Анализ запроса ненадлежащих полномочий в VPN-приложениях для Android

Издание Thebestvpn, специализирующееся на сравнении различных VPN-провайдеров, провело анализ полномочий, запрашиваемых приложениями для организации работы через VPN, поставляемыми в каталоге Google Play. Исследование показало, что большинство из проверенных Android-приложений запрашивали полномочия, не имеющие отношения к функциональности VPN.

На GitHub выявлено 73 репозитория с бэкдорами

Исследователи безопасности из команды «dfir it» выявили на GitHub цепочку учётных записей, предлагающих подложные репозитории с библиотеками и сборками различных проектов, включающими вредоносный код для получения контроля за системой пользователя. Всего было выявлено 73 репозитория с вредоносным кодом и несколько сотен бинарных файлов в формате ELF, JAR и PE, содержащих бэкдоры. В настоящее время все связанные с выявленной вредоносной… Читать далее »