OpenNews.opennet.ru: Проблемы безопасности
  • GitHub добавил средства информирования об уязвимостях в репозиториях
    GitHub реализовал отображение меток, информирующих об использовании проектами зависимостей с неисправленными уязвимостями. Вместе с меткой также выводятся сведения о путях устранения проблемы и версиях, в которых уязвимость уже устранена. В настоящее время выставление меток добавлено только для проектов на языках Javascript и Ruby, которые составляют 75% от кода с зависимостями, размещённого на GitHub. В 2018 году ожидается вывод аналогичных меток для проектов на языке Python. Вывод уведомлений об уязвимостях и построение графа зависимостей по умолчанию включено для всех публично доступных проектов.

  • Производитель дронов DJI по ошибке опубликовал закрытые ключи и пароли
    Компания DJI, один из крупнейших производителей дронов, по недосмотру разместила на GitHub архив, в котором были оставлены закрытые ключи для HTTPS-сертификатов *.dji.com, AES-ключи для шифрования прошивок, а также пароли доступа к облачным окружениям в AWS и службе хранения Amazon S3. По данным заметивших ключи исследователей, архив находился в открытом доступе от двух до четырёх лет.

  • Уязвимость в реализации jail из FreeBSD
    Во FreeBSD выявлена уязвимость (CVE-2017-1087), позволяющая обойти ограничения системы изолированных окружений jail и получить доступ к разделяемой памяти процессов вне текущего jail. Проблема вызвана отсутствием разделения контекста при работе с POSIX shared memory по именованным каналам, что позволяет читать и изменять объекты в shared-памяти, созданные на стороне хоста или в других изолированных окружениях. Проблема проявляется только в ветке FreeBSD 10.x и может применяться для атаки на приложения, завязанные на разделяемой памяти, такие как Squid.

  • Уязвимость в Apache CouchDB, позволяющая совершить атаку на реестр пакетов NPM
    Опубликованы сведения о двух уязвимостях, устранённых в недавно опубликованных выпусках документ-ориентированной СУБД Apache CouchDB 2.1.1 и 1.7.1. В своей комбинации уязвимости позволяют провести атаку по удалённому выполнению произвольных shell-команд на сервере с правами процесса CouchDB, имея доступ к БД.

  • Результаты исследования методов захвата учётных записей
    Компания Google совместно с Калифорнийским университетом в Беркли подвела итоги (PDF-отчёт) исследования методов, используемых злоумышленниками для получения контроля за учётными записями пользователей. Судя по статистике более 15% всех пользователей глобальной сети сталкивались с захватом их учётных записей в социальных сетях или сервисах электронной почты. Представленные в отчёте данные получены на основе анализа баз паролей и инструментариев для осуществления фишинга и перехвата паролей, продаваемых на некоторых чёрных рынках с марта 2016 по март 2017 года.

  • В Chrome появится защита от открытия рекламных страниц без ведома пользователя
    Компания Google объявила о намерении реализовать ряд средств для противодействия рекламным блокам, обманным путём перебрасывающим пользователей на другие страницы. В Chrome 64 будет запрещено автоматическое перенаправление на ссылки из внешних iframe-блоков, что позволит блокировать работу жульнических рекламных вставок, открывающих другие страницы без ведома пользователя. Начиная с Chrome 65 дополнительно будет блокироваться проброс на новый URL на текущей странице при открытии ссылки в новой вкладке. При подобных пробросах будет выводиться предупреждение, требующее от пользователя подтвердить переход явным кликом.

  • Серия критических уязвимостей в Android
    В ноябрьском обновлении платформы Android устранено 9 критических уязвимостей, часть из которых потенциально можно эксплуатировать удалённо. Три критические уязвимости (CVE-2017-11013, CVE-2017-11014, CVE-2017-11015) найдены в беспроводном драйвере Qualcomm/Atheros и позволяют осуществить удалённую атаку через WiFi-сеть путём отправки специально оформленных управляющих кадров 802.11. Драйвер qcacld включает почти 700 тысяч строк кода - в основном из-за того, что уровень управления доступом к среде MAC (Media Access Control), отвечающий за адресацию и механизмы управления доступом, вынесен на сторону драйвера.

  • В USB-стеке ядра Linux выявлено 14 уязвимостей
    В процессе проверки в системе fuzzing-тестировния syzkaller выявлено 14 уязвимостей в USB-стеке ядра Linux, позволяющих атаковать систему при подключении к компьютеру специально подготовленных USB-устройств. Уязвимости могут быть эксплуатированы при наличии физического доступа к оборудованию и могут привести к инициированию краха ядра, но не исключаются и другие проявления. Три проблемы вызваны обращением к уже освобождённым блокам памяти (use-after-free), девять - чтением из областей вне границ буфера и две - обращению по некорректному указателю (GPF, General Protection Fault). Проблемы устранены в выпуске 4.13.11.

  • Обновление Chrome с устранением критической уязвимости
    Доступно обновление браузера Chrome 62.0.3202.89, в котором устранено две уязвимости, одной из которых присвоен статус критической проблемы (CVE-2017-15398), позволяющей обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения. Уязвимость вызвана переполнением стека в реализации протокола QUIC (Quick UDP Internet Connections).

  • Поддельное приложение WhatsApp в Google Play установили более миллиона пользователей
    В Google Play зафиксирована одна из крупнейших мошеннических акций, жертвами которой стало более миллиона пользователей. Мошенники разместили в каталоге приложение "Update WhatsApp Messenger" и стилизовали логотип и оформление страницы под оригинальный "WhatsApp Messenger". После установки мошенническое приложение загружало и устанавливало оригинальный WhatsApp, но добавляло прослойку для показа полноэкранной рекламы.