Top.Mail.Ru
Видеонаблюдение
СКУД
СКС
Телефония
IT Аутсорсинг 
АТТ

Эксплуатация уязвимостей позволяет удаленно выполнить произвольный код и раскрыть информацию.

Компания Google выпустила обновления безопасности для операционной системы Android, которые устраняют в общей сложности 43 уязвимости, включая несколько критических.

Самыми опасными проблемами являются две критические уязвимости (CVE-2020-0117 и CVE-2020-8597) в компоненте System, которые могут быть проэксплуатирована злоумышленником для удаленного выполнения произвольного кода путем отправки специально сформированных данных. RCE-уязвимости затрагивают версии Android с 8.0, 8.1, 9 и 10.

В System также были исправлены две опасные проблемы, которые можно использовать для раскрытия информации. Уязвимости затрагивают только версию Android 10.

Компания Google также исправила три опасные проблемы в компоненте Framework (две уязвимости повышения привилегий и одна уязвимость раскрытия информации) и две опасные проблемы во фреймворке Media (одна уязвимость повышения привилегий и одна уязвимость раскрытия информации).

Среди остальных 25 проблем, исправленных в этом месяце, была уязвимость раскрытия информации в компоненте Framework, уязвимость повышения привилегий в System, две уязвимости повышения привилегий и одна уязвимость раскрытия информации в компонентах ядра и 20 уязвимостей, не получивших идентификатор CVE, в компонентах Qualcomm и компонентах с закрытым исходным кодом Qualcomm.

Разработчики обнаружили, что вместе с исправлениями безопасности этот патч добавляет уязвимость в ядро Linux

На минувших выходных команда разработчиков Huawei предложила Linux Foundation патч HKSP (Huawei Kernel Self Protection), который добавляет в ядро Linux простую в эксплуатации уязвимость. Когда она была обнаружена, китайская компания сразу же заявила, что не причастна к созданию патча, а всю ответственность возложила на своего сотрудника, который якобы по личной инициативе создал HKSP.

HKSP, как следует из названия, является инструментом для защиты ядра Linux. Его включили в официальный проект Linux Kernel и рекомендовали разработчикам. Однако при проверке было обнаружено, что патч содержит бэкдор, который Huawei называет «простой уязвимостью». Большинство крупных технологических компаний, таких как Google, Microsoft и Amazon, вносят исправления для ядра Linux, поскольку используют эту систему в своих дата-центрах. Когда в этом начала участвовать Huawei, некоторые разработчики решили более детально изучить патч, предложенный китайской компанией. 

Участники проекта Grsecurity проанализировали HKSP и обнаружили, что в патче содержится бэкдор. Далее выяснилось, что владельцем репозитория HKSP является главный сотрудник службы безопасности Huawei 20-го уровня. Это высший технический уровень, который означает, что сотрудник не может публиковать код без ведома компании.

Huawei отрицает свою причастность к созданию HKSP. Компания заявила, что патч предоставляется неофициально, это дело рук одного из её сотрудников, который создал и передал его в Linux Foundation по личной инициативе. После того, как этот случай получил широкую огласку, владелец репозитория HKSP на GitHub опубликовал заявление, в котором говорится, что это личный проект разработчика, и он не имеет отношения к компании Huawei и её продуктам.

По сути, HSKP содержит бэкдор, и этот факт нельзя отрицать. Однако, помимо Huawei, подобные исправления постоянно вносят и другие компании, но там почему-то так подробно уязвимости не разбирают. Видимо, этому способствует испорченная репутация Huawei на международной арене, впрочем как и других китайский компаний.

Источник

Несмотря на самое большое количество уязвимостей, Microsoft исправляет их быстрее всех остальных разработчиков систем

Kenna Security, которая занимается анализом рисков к уязвимостям программного обеспечения и предлагает действия по их исправлению, провела новое исследование. В отчёте компания впервые привела сравнительный анализ корпоративных систем на базе платформ Microsoft, Apple, Linux или Unix, а также сетевых устройств. Результаты показали, что совокупность определённого оборудования играет ключевую роль в определении количества уязвимостей безопасности, с которыми та или иная организация сталкивается каждый месяц. Исследование проливает свет на волнующий многих вопрос: «Являются ли некоторые устройства более подверженными риску, чем остальные?».

Сразу стоит отметить, что любые устройства, независимо от используемой операционной системы, подвержены уязвимостям. Они были обнаружены везде, даже в IoT-устройствах и сетевых гаджетах. Их количество зависит от того, какое оборудование организация использует больше. Для половины корпоративного сегмента устройства с Windows 10 составляют 85% от общего количества. Разумеется, риски здесь будут довольно высокими. 70% всего оборудования, работающего на этой операционной системе, имеет как минимум одну уязвимость с высокой степенью риска, но Windows 10, как правило, получает исправления быстрее, чем другие системы. Важную роль в этом играют частота и автоматизация обновлений.

Forbes: в среднем на один ПК с Windows 10 приходится 14 серьёзных уязвимостей
 

Устройство на Windows имеет в среднем 119 уязвимостей в месяц, которые исправляются в течение 36 дней. Для сравнения, в сетевом оборудовании (маршрутизаторы, принтеры, IoT-устройства) обнаруживают в среднем только 3,6 уязвимости ежемесячно, но для их исправления требуется примерно год. Несмотря на быстрые исправления, наличие огромного количества машин с Windows приводит к большому числу уязвимостей в сетях. За исследуемый период компания Kenna Security обнаружила 215 млн уязвимостей, 179 млн из них были исправлены. Остальные 36 млн остались незакрытыми. Это больше, чем все уязвимости, обнаруженные на Mac, Linux, Unix и сетевых устройствах.

Forbes: в среднем на один ПК с Windows 10 приходится 14 серьёзных уязвимостей
 

Как посчитало издание Forbes, на один Windows-компьютер в среднем приходится 14 открытых уязвимостей с известными эксплойтами. Хорошая новость для пользователей Windows заключается в том, что Microsoft исправляет их быстрее, чем разработчики остальных систем. Устройства Apple, использующие Mac OS X, идут вторыми по частоте критических исправлений (79%). На Linux, Unix и сетевых устройствах было исправлено всего две трети уязвимостей с высокой степенью риска.

Источник

Опубликовано в Программное обеспечение

Компания Positive Technologies, специализирующаяся на разработке программного обеспечения в области информационной безопасности, обнаружила уязвимость в подсистеме Intel CSME. Неустранимая ошибка присутствует в большинстве чипсетов Intel, выпущенных за последние пять лет.

Опубликовано в Общие новости

Эксперты обнаружили уязвимость, с помощью которой можно взломать миллионы смартфонов. На проблему обратило внимание издание XDA Developers.

Tegra Linux Driver (L4T) предназначен для чипов, используемых в Mercedes-Benz MBUX, хромбуках HP и Acer, Android-планшетах и пр.

Опубликовано в Программное обеспечение

Эксплуатация уязвимости позволяет создавать приложения для кражи логинов и паролей для банковских учетных записей.

Уязвимость содержится в библиотеке с открытым исходным кодом libpl_droidsonroids_gif.so.

Для компрометации злоумышленнику нужно всего лишь выяснить номер телефона жертвы и отправить ей вредоносный файл MP4.

В Apple Mail в macOS обнаружена недоработка, позволяющая видеть электронные письма в файле базы данных в незашифрованном виде.

Страница 1 из 4

© 2007-2020 ООО "Центр Информационных Технологий"

Яндекс.Метрика