Search the Community
Showing results for tags 'уязвимостях'.
-
На днях неизвестная израильская контора CTS Labs опубликовала отчёт об обнаружении свыше дюжины уязвимостей процессоров AMD Ryzen и EPYC. При этом не были соблюдены стандартные процедуры информирования производителя и в целом история оказалась как минимум неоднозначной. Но широкий резонанс она всё же получила, так что среди прочих создатель Linux Линус Торвальдс (Linus Torvalds) решил её прокомментировать. В ветке обсуждения Google+ он написал: «Когда вы в последний раз видели описание проблем с безопасностью, которые бы в основном сводились к тому, что если заменить BIOS или микрокод процессора зловредной версией, у пользователя может возникнуть проблема с защитой данных? Угу». Другой комментатор развил мысль: «А я обнаружил уязвимости во всём аппаратном обеспечении. Нет безопасных устройств: если у вас есть физический доступ, вы можете просто взять его под мышку и унести. Я уже эксперт по безопасности?». CTS Labs дала AMD менее суток на исправление выявленных ошибок, которые назвала броскими именами Ryzenfall, Master Key, Fallout и Chimera. В беседе с ресурсом Tom’s Hardware израильская фирма пояснила, что пошла на этот шаг по той причине, что хотела скорее проинформировать общественность, а AMD якобы всё равно не сможет исправить уязвимости в течение многих, многих месяцев или даже за год. Почему CTS Labs могла это сделать? Господин Торвальдс делает более простой и приземлённый вывод: «Для меня вся эта история больше походит на манипулирование курсом акций, чем на советы по безопасности». Да, ошибки были выявлены, но они требуют наличия прав администратора и едва ли не физического доступа к системе — по мнению Линуса Торвальдса, всё это совершенно не стоит шумихи, которая была поднята. Это не первый случай. Например, в Linux недавно была выявлена уязвимость Chaos, главным условием для работы которой является наличие у злоумышленника root-пароля. Но если хакер имеет такой пароль, то система уже по сути взломана, остальное — детали. По мнению господина Торвальдса, сейчас индустрия безопасности научила всех относиться к выводам экспертов некритически, и это сильно вредит. Он полагает, что есть настоящие исследователи безопасности, но большинство спекулируют на самых мелких дырах, придумывая при этом броские имена и создавая специальные сайты — из-за этого, по мнению создателя Linux, они часто выглядят клоунами. Господин Торвальдс далеко не в первый раз в грубой форме критикует положение дел в индустрии кибербезопасности из-за того, что важные проблемы часто игнорируются, а мелкие ошибки раздуваются до небес.
-
Компания Google в очередной раз раскрыла информацию об уязвимости до релиза соответствующего обновления безопасности. На прошлой неделе специалисты команды Google Project Zero обнародовали данные о проблеме в компоненте Windows GDI (Graphics Device Interface), затрагивающей библиотеку gdi32.dll, а в этот раз опубликовали информацию об уязвимости в браузерах Microsoft Edge и Internet Explorer. Речь идет о проблеме типа type confusion (путаница типов данных) в модуле Edge и IE, позволяющей удалено выполнить код. Уязвимость, получившая идентификатор CVE-2017-0037, затрагивает версии Windows 7, Windows 8.1 и Windows 10. Это уже третья уязвимость в Windows, обнародованная Google за последний месяц. Помимо подробностей о проблеме, специалист Google Айван Фратрик также опубликовал PoC-эксплоит, позволяющий вызвать отказ в обслуживании Microsoft Edge и Internet Explorer, выполнить произвольный код и получить права администратора на целевой системе.Фратрик успешно опробовал эксплоит на 64-разрядной версии IE в Windows Server 2012 R2. По его словам, атака также затрагивает 32-битные версии IE 11 и Microsoft Edge. Напомним, ранее Microsoft отложила выпуск февральских обновлений безопасности в связи с проблемой, обнаруженной в последние минуты перед релизом.
-
- продолжает
-
(and 5 more)
Tagged with:
-
Eset представила ежегодный отчет о кибератаках и уязвимостях, обнаруженных в программных продуктах Microsoft Windows. Как рассказали в компании, традиционно большинство уязвимостей Windows приходится на веб-браузеры – 220 брешей было закрыто производителем в 2016 г. В «слабом звене» предыдущего отчета, Internet Explorer, в отчетный период обнаружено 109 уязвимостей, что в два раза меньше, чем в 2015 г. В новом Microsoft Edge, браузере по умолчанию в Windows 10, закрыта 111 уязвимость. Важно отметить, что ни одна из уязвимостей Edge не использовалась в 2016 г. в кибератаках до выхода закрывающих обновлений. В три раза возросло число уязвимостей различных компонентов пользовательского режима Windows – 116 против 30 в 2015 г. В целом, в 2016 г. Microsoft закрыла 518 уязвимостей в программных продуктах. Примерно треть этих уязвимостей могла быть использована для удаленного исполнения вредоносного кода в зараженной системе.
-
- eset
- представила
-
(and 5 more)
Tagged with: