Поиск
Показаны результаты для тегов 'критическую'.
Найдено: 3 результата
-
Компания Mozilla выпустила версию браузера Firefox 58.0.1, устраняющую критическую уязвимость, которая позволяет злоумышленнику удаленно выполнить код на компьютере пользователя. Уязвимость CVE-2018-5124 была обнаружена инженером Mozilla Иоганном Хофманом. По словам специалиста, проблема затрагивает компоненты пользовательского интерфейса (Chrome, не путать с браузером Google Chrome). Под сhrome разработчики подразумевают видимую часть браузера, которая не является непосредственно web-страницей, например, панели инструментов, строки меню, вкладки. Данные компоненты не изолированы от кода, который выполняется на web-страницах. Как пояснил эксперт, вредоносный web-сайт может запустить код, предназначенный для элементов интерфейса Firefox. Злоумышленник может скрыть внутри данного кода вредоносный фрагмент HTML, который в свою очередь позволит выполнять команды на компьютере пользователя. Код работает с привилегиями текущего пользователя. Таким образом, если пользователь использует учетную запись администратора, то код может запускать команды на уровне SYSTEM. Вредоносный код может быть скрыт внутри iframe и загружен за пределами экрана втайне от пользователя. Как полагают исследователи, хакеры добавят CVE-2018-5124 в свой арсенал в течение следующих нескольких дней, так как это быстрый и простой способ тайно установить вредоносное ПО на компьютеры пользователей. Компания настоятельно рекомендует пользователям обновить свои браузеры. Уязвимость затрагивает версии Firefox 56.x, 57.x. и 58.0.0. Проблема не распространяется на версии Firefox для Android и Firefox 52 ESR.
-
На этой неделе Google выпустила плановые ежемесячные обновления безопасности для Android, исправляющие 17 критических уязвимостей. Традиционно компания разделила патчи на два уровня. Первая часть обновлений (Partial security patch level) исправляет уязвимости, общие для всех Android-устройств, а вторая (Complete security patch level) предназначена для уязвимостей в аппаратном обеспечении и компонентах ядра отдельных устройств. Наиболее серьезная уязвимость затрагивает Mediaserver – компонент Android для обработки изображений и видео. С ее помощью злоумышленник может удаленно выполнить код на устройстве, используя электронную почту, браузер или MMS. Другими словами, атакующий может обманом заставить жертву загрузить на смартфон или планшет особым образом сконфигурированный медиафайл и выполнить произвольный код. Для успешной эксплуатации уязвимости даже нет необходимости открывать вредоносный файл – при получении медиафайла сразу же активируется Mediaserver для его обработки. Проблема была обнаружена в начале текущего года и затрагивает версии Android, начиная от 4.4.4 KitKat и заканчивая 7.1.2 Nougat. Google также исправила четыре уязвимости в компонентах Qualcomm, позволяющие повысить привилегии до суперпользователя. CVE-2016-10275 и CVE-2016-10276 затрагивают загрузчик Qualcomm. С их помощью локальное вредоносное приложение может выполнить произвольный код в контексте ядра. Уязвимость CVE-2017-0604 в драйвере также позволяет локальному приложению выполнить код в контексте ядра.
-
Менее чем через неделю после релиза обновления безопасности iOS 10.3, исправляющего почти 90 уязвимостей в мобильной ОС, компания Apple выпустила экстренное обновление iOS 10.3.1, в котором устранила ряд критических проблем, в том числе уязвимость, позволяющую злоумышленникам выполнять произвольный код на iPhone и iPad в пределах действия сети Wi-Fi. Apple не раскрыла подробности о проблеме. Известно, что уязвимость переполнения буфера, получившая идентификатор CVE-2017-6975, была обнаружена специалистом Google Project Zero Гэлом Беньямини. Эксперт пообещал более подробно описать уязвимость чуть позже. Проблема затрагивает iPhone 5 и более поздние версии, 4-е поколение iPad и выше, iPod touch 6-го поколения и выше, работающие под управлением iOS 10.3. iPhone 5S уязвимости не подвержен. Apple рекомендует всем владельцам iPhone и iPad установить обновление как можно скорее.