Компания Meta✴ выплатила $100 000 независимому специалисту в области кибербезопасности Бену Садегипуру (Ben Sadeghipour) за обнаружение серьёзной уязвимости на платформе. Анализируя систему показа рекламы, Садегипур нашёл брешь, которая позволила ему выполнить команду в закрытой части серверной инфраструктуры Facebook✴, фактически получив над сервером полный контроль.

Источник изображения: Shutter Speed / Unsplash

Как сообщает TechCrunch, уязвимость была связана с одним из серверов, используемых Facebook✴ для создания и показа рекламы. Этот сервер оказался подвержен ранее известной и исправленной ошибке в браузере Chrome, который Facebook✴ использует в своей рекламной системе. Садегипур объяснил, что с помощью облегчённой версии браузера Chrome, запускаемой через терминал, он смог взаимодействовать с внутренними серверами компании и получить доступ к управлению ими в качестве администратора.

«Я предположил, что это критическая уязвимость, которую стоит исправить, поскольку она находится прямо внутри вашей инфраструктуры», — написал Садегипур в своём письме для Meta✴. Компания быстро отреагировала на ситуацию и попросила исследователя воздержаться от дальнейших тестов до устранения проблемы. Исправление заняло всего один час.

Садегипур также подчеркнул опасность обнаруженной ошибки. Хотя он не стал проверять всю возможную функциональность, которую можно было бы использовать, находясь внутри инфраструктуры Facebook✴, он предупредил, что данная уязвимость позволяет потенциально получить доступ к другим сайтам и системам внутри инфраструктуры компании. «С помощью уязвимости удалённого выполнения кода можно обойти ограничения и напрямую извлекать данные как с самого сервера, так и с других устройств, к которым он подключен», — пояснил он.

Meta✴ отказалась предоставить комментарий по запросу журналистов, однако факт устранения бага был подтверждён. Садегипур также добавил, что аналогичные проблемы существуют у других компаний, чьи рекламные платформы он тестировал.

Функция шифрования BitLocker, предназначенная для обеспечения безопасности данных, была представлена Microsoft в Windows Vista. Оказалось, что давняя уязвимость BitLocker, позволявшая хакерам обойти механизм безопасности, всё ещё актуальна, несмотря на то, что Microsoft выпустила исправляющий её патч.

Источник изображения: Hack Capital / unsplash.com

Об этом стало известно на прошедшем недавно конгрессе Chaos Communication Congress, когда хакер Томас Ламбертц (Thomas Lambertz) показал, как можно использовать старую, якобы исправленную уязвимость в технологии шифрования Microsoft. Любопытно, что он смог это сделать это на устройстве со свежей версией Windows 11, в которой были установлены актуальные обновления безопасности.

Речь идёт об уязвимости CVE-2023-21563, которая получила имя «bitpixie» и о которой стало известно в 2022 году. Похоже, что Microsoft так и не удалось полностью решить эту проблему. Эксплуатация упомянутой уязвимости позволяет обойти функцию шифрования и получить полный доступ к данным, хотя для этого потребуется физический доступ к атакуемому устройству.

Для эксплуатации упомянутой уязвимости Ламбертц задействовал технологию Secure Boot, благодаря чему смог запустить старую версию загрузчика Windows. Такой подход позволил извлечь ключ шифрования в память и с помощью Linux извлечь данные из памяти. Для рядовых пользователей данная проблема не слишком актуальна. Однако в корпоративном сегменте BitLocker используется значительно чаще, а в актуальных сборках Windows 11 функция шифрования включена по умолчанию. Это означает, что подобные атаки могут использоваться хакерами для извлечения и расшифровки данных с корпоративных устройств с Windows 11.

Современному человеку свойственно тревожиться о том, что хакеры могут украсть его персональные данные, но иногда самые серьёзные инциденты происходят по вине не киберпреступников, а компаний, которым мы доверяем. На этот раз провинилась Volkswagen Group, которая не обеспечила достаточную защиту информации клиентов.

Источник изображения: vw.com

VW Group хранила конфиденциальные данные, касающиеся 800 тыс. электромобилей, в облаке Amazon, не обеспечив им достаточной защиты; информация оставалась уязвимой в течение нескольких месяцев. Под ударом оказались электромобили марок VW, Audi, Seat и Skoda по всему миру; уязвимость затронула геоданные, сведения о заряде аккумуляторов и ключевую информацию о статусе машины, в том числе работает она или нет. При наличии достаточной технической подготовки гипотетический злоумышленник мог добраться до дополнительных данных в онлайн-службах VW Group и связать их с персональной информацией владельца. В 466 тыс. из 800 тыс. случаев данные о местоположении были настолько точными, что можно было составить подробный профиль повседневных привычек каждого владельца.

Под ударом оказались данные не только рядовых граждан, но и должностных лиц: немецких политиков, предпринимателей, сотрудников полиции Гамбурга и даже, вероятно, разведывательной службы. Уязвимость возникла летом 2024 года, когда ошибку допустила ответственная за программные продукты VW Group компания Cariad. Её обнаружил анонимный эксперт, который подтвердил уязвимость и уведомил об инциденте крупнейшую в Европе ассоциацию хакеров Chaos Computer Club (CCC). Организация немедленно известила об этом уполномоченного по защите данных в Нижней Саксонии, МВД и другие органы безопасности — ведомства дали VW Group и Cariad 30 дней на устранение проблемы, после чего обещали обнародовать сведения о ней. Cariad «отреагировала быстро, тщательно и ответственно», заблокировав возможность несанкционированного доступа к данным клиентов, рассказали в CCC.

Cariad впоследствии заверила клиентов, что конфиденциальная информация, включая пароли и платёжные данные, скомпрометирована не была, поэтому с их стороны никаких действий не требуется. Немецкие политики вызвали крайнюю обеспокоенность инцидентом и призвали автопроизводителей усилить меры кибербезопасности.

Выпустив флагманскую линейку Galaxy S24, компания Samsung обязалась обеспечить их семилетней поддержкой с выпуском обновлений безопасности. Этому будет способствовать инициатива Project Infinity, о которой корейский производитель раскрыл некоторые подробности.

В Project Infinity войдут четыре команды экспертов по кибербезопасности: Red («Красная»), Blue («Синяя») и Purple («Пурпурная») и Cyber Threat Intelligence (CTI — «Разведка в области киберугроз»). Эти группы специалистов будут базироваться во Вьетнаме, Польше, Бразилии и работать по всему миру, не привлекая к себе внимания. Каждой команде отведена своя роль: от упреждающего обнаружения угроз до создания и развёртывания защитных мер. Для владельцев телефонов Samsung результатом работы этих подразделений будут обновления безопасности.

Задача специалистов CTI — выявление потенциальных киберугроз, которое гарантирует, что хакеры не смогут воспользоваться уязвимостями устройств Galaxy. Для этого эксперты будут прочёсывать сегменты интернета Deep Web и Dark Web в поисках признаков незаконной деятельности, осуществляя мониторинг вредоносного ПО и украденных данных. Анализируя аномальные запросы данных и подозрительный трафик, они станут выявлять и нейтрализовывать угрозы, сотрудничая с другими подразделениями инициативы.

Программа Project Infinity построена по военному образцу; задача команд Red и Blue — соответственно имитация атак и защита от них. Вбрасывая случайные данные в ПО, эксперты группы Red смогут находить скрытые уязвимости; специалисты Blue в это время будут непрерывно разрабатывать и внедрять средства защиты. Группа Purple будет работать по образцу Red и Blue сразу, но объектом исследований станет инфраструктура безопасности Galaxy; специалисты этого подразделения станут также привлекать сторонних экспертов, которые помогут в выявлении слабых мест.

Исследователи обнаружили несколько уязвимостей в информационно-развлекательных системах, которые используются в некоторых моделях автомобилей марки Škoda. Эксплуатируя эти уязвимости, злоумышленники могут удалённо активировать некоторые элементы управления и в реальном времени отслеживать местоположение автомобилей.

Источник изображения: skoda-auto.com

Открытие принадлежит специалистам компании PCAutomotive, которая специализируется на вопросах кибербезопасности, — они провели исследование на примере седана Škoda Superb III и доложили о 12 уязвимостях на мероприятии Black Hat Europe. Годом ранее та же компания раскрыла у той же модели ещё 9 уязвимостей. Новые уязвимости можно связать друг с другом и использовать для запуска вредоносного ПО в системах автомобиля.

Для инициации атаки злоумышленник может подключиться к медиаблоку Škoda Superb III по Bluetooth — аутентификация не потребуется, и хакер может располагаться на расстоянии 10 м от машины. Уязвимости информационно-развлекательной системы MIB3 позволяют неограниченно выполнять код и запускать его каждый раз при включении устройства.

Хакер может в реальном времени получать координаты автомобиля по GPS, фиксировать данные о скорости, вести запись разговоров в салоне автомобиля через установленный в системе микрофон, делать снимки экрана в интерфейсе информационно-развлекательной системы и воспроизводить через неё произвольный звук. Если владелец автомобиля включил синхронизацию контактов с телефоном, то злоумышленник может скопировать и телефонную книгу — примечательно, что на телефоне эти данные обычно шифруются. Обойти защиту сетевого шлюза автомобиля для доступа к рулевой системе, тормозам и акселератору исследователям не удалось.

Уязвимые системы MIB3 используются в нескольких моделях автомобилей Volkswagen и Škoda; если верить открытым данным об объёмах продаж, уязвимы порядка 1,4 млн машин. С учетом компонентов на вторичном рынке это число может быть намного выше, предупреждают эксперты. Специалисты PCAutomotive сообщили о своих открытиях владеющей чешским предприятием компании Volkswagen, и та закрыла выявленные уязвимости. «Раскрытые уязвимости в информационно-развлекательной системе были и будут устранены посредством постоянного контроля обновлений на протяжении всего жизненного цикла наших продуктов. Угроз безопасности для наших клиентов или наших автомобилей никогда не было и нет», — заявил представитель Škoda ресурсу TechCrunch.

В октябре Anthropic представила модель искусственного интеллекта Claude Computer Use, которая позволяет нейросети Claude самостоятельно управлять компьютером по запросам пользователя. Исследователь в области безопасности ИИ нашёл способ обратить эту функцию во зло.

Источник изображения: anthropic.com

Эксперт в области кибербезопасности Иоганн Ренбергер (Johann Rehnberger) опубликовал доклад о том, как сумел злоупотребить функцией Computer Use: ИИ по его запросу загрузил и запустил вредоносное приложение, после чего вышел на связь с контролирующим зловред сервером.

Следует отметить, что Claude Computer Use пока остаётся на стадии бета-тестирования, и разработавшая её компания Anthropic предупредила, что функция может работать не так, как задумано: «Рекомендуем принять меры предосторожности, чтобы изолировать Claude от важных данных и действий, чтобы избежать рисков, связанных с инъекциями в запросах». Подобные схемы атаки против ИИ остаются распространёнными.

Ренбергер назвал свой эксплойт ZombAIs — с его помощью эксперт заставил систему загрузить среду удалённого управления Sliver, которая была разработана для тестирования на проникновение, но киберпреступники адаптировали её для своих нужд. Он также отметил, что это не единственный способ использовать ИИ для преступной деятельности — например, можно заставить Claude написать вирус с нуля и скомпилировать его, потому что он может писать код на C.

Установлено также, что перед атаками через инъекции в запросах уязвим китайский чат-бот DeepSeek AI. А большие языковые модели оказались способны выводить код с управляющими символами ANSI для взлома системных терминалов — этот подтип атак получил название Terminal DiLLMa.

Механизм безопасности, который AMD использует для защиты памяти виртуальных машин, можно обойти с помощью одноплатного компьютера Raspberry Pi Pico стоимостью $5. Это обнаружила группа учёных из Бельгии, Германии и Великобритании, разработавшая схему атаки BadRAM.

Источник изображений: amd.com

AMD разработала технологию Secure Encrypted Virtualization (SEV), которая обеспечивает создание среды доверенного выполнения (Trusted Execution Environment — TEE). Аналогичные решения есть у конкурентов: Software Guard Extensions (SGX) и Trusted Domain Extensions (TDX) от Intel, а также Arm Confidential Compute Architecture (CCA). Эти технологии используются поставщиками облачных услуг и гарантируют, что администраторы, имеющие доступ к оборудованию центров обработки данных, не смогут скопировать конфиденциальную информацию с виртуальных машин клиентов. Информация в памяти шифруется, защищая клиентов облачных платформ от ненадёжных поставщиков услуг и недобросовестных представителей органов власти.

Учёные исследовали новую версию одной из таких технологий — AMD SEV-SNP (Secure Nested Paging), которая добавляет защиту от атак с перераспределением памяти со стороны гипервизора. Однако, как выяснилось, эта технология обладает изъянами. Для обхода ограничений доступа к содержимому памяти в TEE необходимы одноплатный компьютер Raspberry Pi Pico, разъём DDR и батарейка на 9 В. Предложенная учёными атака BadRAM предполагает злоупотребление механизмами работы чипа SPD (Serial Presence Detect), отвечающего за идентификацию модуля системой. С помощью манипуляций с SPD в физической памяти создаются псевдонимы, позволяющие изучить её содержимое на предмет конфиденциальной информации.

В ходе атаки видимый размер установленного в системе модуля DIMM удваивается, что позволяет обмануть контроллер памяти центрального процессора и заставить его использовать дополнительные биты адресации. В результате на одно и то же местоположение DRAM ссылаются два физических адреса. Метод работает с памятью DDR4 и DDR5. Теоретически атака может быть осуществлена и без физического доступа к оборудованию, например через SSH, поскольку некоторые поставщики DRAM оставляют чип SPD разблокированным. Это было обнаружено на двух модулях DDR4 от Corsair. Для реализации атаки на DDR3 требуется удаление или замена SPD. Технология AMD SEV-SNP используется в Amazon AWS, Google Cloud и Microsoft Azure. Учёные отмечают, что схема атаки BadRAM позволяет добавлять «необнаруживаемые бэкдоры на любую защищённую SEV виртуальную машину».

Актуальные технологии Intel SGX и TDX не подвержены данной уязвимости благодаря реализованным контрмерам, предотвращающим создание псевдонимов памяти. Уязвима лишь устаревшая версия SGX, которая уже не используется производителем. Arm CCA также защищена на уровне спецификации, однако проверить это исследователи не смогли из-за отсутствия оборудования. Схему атаки и образец кода учёные передали AMD 26 февраля 2024 года. Свои выводы они намерены представить в 2025 году на мероприятии IEEE Symposium on Security and Privacy. Компания зарегистрировала уязвимость под номерами CVE-2024-21944 and AMD-SB-3015 — сведения о них она опубликовала накануне.

«AMD считает, что эксплуатация раскрытой уязвимости предполагает, что у злоумышленника есть либо физический доступ к системе, либо доступ к ядру операционной системы, либо установлен изменённый вредоносный BIOS. AMD рекомендует использовать модули памяти, в которых заблокирован Serial Presence Detect (SPD), а также следовать передовым практикам [в области] безопасности физической системы. AMD также выпустила обновления прошивки для клиентов, которые смягчат уязвимость», — заявили в компании ресурсу The Register.

Специалисты Positive Technologies сообщили, что злоумышленники могут использовать карты памяти SD Express для прямого доступа к системной памяти и взлома целевого устройства при наличии физического доступа к нему. Это возможно благодаря архитектурной особенности новых пользовательских устройств, которые подключаются к компьютеру и имеют прямой доступ к его памяти через механизм DMA (Direct Memory Access).

Источник изображения: pexels.com

Стандарт SD Express, разработанный SD Association, объединяет формат SD с протоколами PCIe и NVMe, что позволяет достичь скорости передачи данных до 985 Мбайт/с для карты памяти, соответствующей формату SD. Для повышения производительности, что необходимо для работы с большими медиафайлами, в стандарт введена функция PCIe Bus Mastering, позволяющая SD-картам напрямую обращаться к системной памяти. Если кратко, то DMA — это такой режим обмена данными, в котором не участвует центральный процессор, а управляет информацией периферийное оборудование. Хотя эта функция призвана обойти узкие места процессора для повышения скорости, она не обеспечивает адекватной защиты от несанкционированного доступа к памяти.

Было установлено, что при наличии физического доступа к целевому устройству злоумышленник может использовать механизм DMA, применяемый в SD Express для повышения скорости передачи данных, для проведения сложных атак на устройства с поддержкой этого стандарта. Специалисты компании показали, каким образом модифицированные карты памяти SD Express могут обходить механизмы защиты вроде IOMMU. Из-за архитектурных особенностей режима прямого доступа к памяти шина PCIe остаётся удобной точкой входа для злоумышленников, а теперь благодаря SD Express не нужно даже вскрывать устройство, чтобы осуществить взлом. Это создаёт серьёзную угрозу для ноутбуков, игровых консолей и других мультимедийных устройств, поддерживающих стандарт SD Express.

В настоящее время поддержка стандарта SD Express преимущественно реализована в высокопроизводительных ноутбуках премиального сегмента. Для проведения атаки на такие устройства злоумышленники могут использовать специальным образом модифицированное устройство, которое внешне выглядит как карта памяти и совместимо с интерфейсом целевого оборудования, чтобы получить полный доступ к шине PCIe. В результате они смогут читать и редактировать данные в памяти устройства, внедрять вредоносный код, извлекать ключи шифрования и пароли, обходить аутентификацию операционной системы и отключать инструменты защиты.

В компании тип атак через механизм DMA в SD Express назвали DaMAgeCard. Отмечается, что в ближайшие годы стандарт укрепится на рынке, и его поддержка будет реализована не только в премиальных ноутбуках, но и в других потребительских устройствах, включая компьютеры, видеокамеры и прочее. В этом случае атаки DaMAgeCard могут стать удобной точкой входа для злоумышленников, позволяя атаковать устройства без их вскрытия.

Заметим, что защититься от DaMAgeCard и подобных атак на основе DMA можно. Во-первых, нужно избегать использования незнакомых SD-карт. Во-вторых, систему можно настроить так, чтобы разрешить прямой доступ к памяти только доверенным устройствам. Также эксперты рекомендуют регулярно проверять подключённые устройства, регулярно обновлять прошивки, реализовать проверку карт SD Express с помощью криптографических подписей и активировать IOMMU на всех устройствах с поддержкой PCIe.

Исследование американских учёных показало, что современные системы искусственного интеллекта, способные анализировать картинки, уязвимы для манипуляций при помощи альфа-канала в файлах изображений — набора данных, который отвечает за их прозрачность.

Источник изображения: Google DeepMind / unsplash.com

Исследователи из Техасского университета в Сан-Антонио установили, что управляющий прозрачностью изображения альфа-канал зачастую игнорируется при создании средств анализа с ИИ. И он может стать средством для кибератак на системы в области медицины и автопилота. Чтобы подтвердить свой тезис, группа учёных под руководством доцента Гвиневры Чэнь (Guenevere Chen) разработала метод атаки AlphaDog, эксплуатирующий эту уязвимость в системах ИИ. Из-за альфа-канала люди и ИИ могут воспринимать изображения совершенно по-разному.

Учёные создали 6500 изображений и протестировали их на 100 моделях ИИ, включая 80 систем с открытым исходным кодом и 20 облачных платформ, таких как ChatGPT. Как показали испытания, схема AlphaDog особенно эффективна при атаках в областях изображений в оттенках серого. Уязвимости подвержены модели ИИ, лежащие в основе систем автопилота — альфа-канал позволяет манипулировать алгоритмами распознавания дорожных знаков, которые содержат фрагменты в оттенках серого. В результате дорожные знаки могут распознаваться неверно, и возникает угроза тяжёлых последствий.

Ещё один потенциальный объект атаки — системы медицинской визуализации, в которых ИИ помогает с постановкой диагноза. Здесь в оттенках серого часто представляются рентгеновские снимки, результаты МРТ и КТ, и ими тоже можно манипулировать с помощью AlphaDog, что грозит постановкой заведомо неверного диагноза. Наконец, предложенная учёными схема атаки эффективна против систем распознавания лиц — это может повлечь проблемы с конфиденциальностью людей и безопасностью охраняемых объектов. Авторы исследования поделились своими выводами с крупными технологическими компаниями, в том числе Google, Amazon и Microsoft, чтобы оказать помощь в устранении обнаруженных уязвимостей в системах ИИ.

Эксперты в области кибербезопасности обнаружили две уязвимости нулевого дня, которые эксплуатировались хакерской группировкой RomCom — жертвами стали владельцы машин под управлением Windows и пользователи Firefox по всей Европе и в Северной Америке.

Источник изображений: ESET

В крупномасштабной кампании специалисты ESET обвинили группировку RomCom, которая якобы базируется в России. В серии взломов злоумышленники эксплуатировали сразу две уязвимости нулевого дня в браузере Firefox и ОС Windows — ошибки, которые использовались хакерами против жертв ещё до того, как разработчики ПО их исправили. Атака осуществлялась с минимальным участием пользователей — им было достаточно посетить вредоносный веб-сайт. Когда жертва открывала ресурс, автоматически активировался эксплойт, и на компьютер устанавливался бэкдор RomCom, предоставляя злоумышленникам доступ к машине.

Большинство жертв атаки оказалось в Европе и Северной Америке

Число вероятных жертв вредоносной кампании варьируется от 1 до 250 на страну — большинство пострадавших находились в Европе и Северной Америке. Разработчики Mozilla исправили уязвимость в браузере Firefox 9 октября — на следующий день после того, как ESET их уведомила. Исправили уязвимость и разработчики проекта Tor – одноимённый браузер основан на кодовой базе Firefox. Доказательств того, что в ходе кампании эксплуатировалась уязвимость браузера Tor, экспертам ESET обнаружить не удалось. Microsoft исправила уязвимость Windows 12 ноября — о ней компании сообщили в подразделении Google Threat Analysis Group.

D-Link сообщила, что у нескольких её маршрутизаторов обнаружена уязвимость, допускающая удалённое выполнение кода. Компания не собирается ничего предпринимать: эти устройства достигли установленного ей окончания срока службы, поэтому их предлагается утилизировать, а вместо них приобрести новые. Ранее компания аналогичным образом поступила с устаревшими NAS.

Источник изображения: D-Link

Потенциальные злоумышленники могут воспользоваться уязвимостью, связанной с переполнением буфера стека, и запустить удалённое выполнение кода. Подробностей обнаруженной угрозы D-Link не привела, видимо, чтобы не облегчать киберпреступникам задачу. Тем не менее, оборудование остаётся уязвимым для кражи данных, установки вредоносного и шпионского ПО; оно также способно стать частью ботнета в участвовать в DDoS-атаках. Проблема затрагивает маршрутизаторы следующих моделей: DSR-150, DSR-150N, DSR-250, DSR-250N, DSR-500N и DSR-1000N. Примечательно, что первые четыре из указанных устройств подошли к концу жизненного цикла только в этом году.

Никаких активных действий производитель предпринимать не намерен. «Если продукт достиг окончания [срока] поддержки (EOS) / окончания срока службы (EOL), по нему обычно не оказывается расширенная поддержка или разработка», — говорится в заявлении D-Link. Владеющим указанными устройствами американским потребителям предлагается скидка 20 % на покупку устройств того же бренда. На уязвимые маршрутизаторы можно также устанавливать альтернативные прошивки — это аннулирует гарантию, но в данном случае значения это, видимо, уже не имеет.

Ранее стало известно, что несколько моделей сетевых хранилищ (NAS) от D-Link подвержены уязвимости CVE-2024-10914. Но производитель заявил, что эти устройства также достигли окончания срока службы, и никаких действий компания предпринимать не будет — потребителям рекомендовали купить свежие модели.

Google с помощью искусственного интеллекта выявила 26 новых уязвимостей в проектах с открытым исходным кодом (Open Source), включая баг в OpenSSL, который оставался незамеченным в течение двух десятилетий. Этот баг, получивший название CVE-2024-9143, связан с «выходом за границы памяти», вызывал сбои программы, а в редких случаях запускал вредоносный код.

Источник изображения: AI-генерация

Для поиска уязвимостей и автоматизации процесса разработчики Google применили метод «фаззинг-тестирование» (fuzz testing), при котором в код загружаются случайные данные для выявления возможных сбоев. В блоге компании отмечается, что подход заключался в использовании возможностей больших языковых моделей (LLM) для генерации большего количества целей фаззинга.

Как выяснилось, LLM оказались «высокоэффективными в эмуляции всего рабочего процесса типичного разработчика по написанию, тестированию и сортировке обнаруженных сбоев». В результате искусственный интеллект был применён для тестирования 272 программных проектов, где и были обнаружены 26 уязвимостей, включая «древний» баг в OpenSSL.

По словам исследователей, причина, по которой баг оставался незамеченным 20 лет, заключается в сложности тестирования отдельных сценариев кода, а также из-за того, что данный код считался уже тщательно протестированным и, соответственно не привлекал к себе большого внимания. «Тесты не способны измерять все возможные пути выполнения программы. Разные настройки, флаги и конфигурации могут активировать и разное поведение, которое выявляют новые уязвимости», — пояснили специалисты. К счастью, ошибка имеет низкий уровень опасности из-за минимального риска эксплуатации процесса.

Ранее разработчики вручную писали код для фаззинг-тестов, но теперь Google планирует научить ИИ не только находить уязвимости, но и автоматически предлагать исправления, минимизируя участие человека. «Наша цель — достичь уровня, при котором мы будем уверены в возможности обходиться без ручной проверки», — заявили в компании.

Apple выпустила экстренные обновления безопасности для macOS, iOS и iPadOS, устранив две критические уязвимости нулевого дня, которые активно использовались хакерами. Проблемы безопасности связаны с WebKit и JavaScriptCore — ключевыми компонентами, предназначенными для обработки веб-контента. Пользователям настоятельно рекомендуется обновить операционные системы своих устройств.

Источник изображения: Garin Chadwick / Unsplash

Уязвимости были обнаружены специалистами из Google Threat Analysis Group — команды исследователей, которая занимается анализом кибератак. Пока неизвестно, сколько пользователей Apple пострадали от действий злоумышленников. Эксперты предполагают, что уязвимости могли быть частью масштабной кампании кибершпионажа.

Apple выпустила обновления для macOS, iOS и iPadOS, включая устройства, работающие на более старых версиях iOS 17, что позволяет охватить максимальное число пользователей техники Apple и снизить риск хакерских атак. Компания сообщила, что уязвимости затрагивают WebKit и JavaScriptCore — движки, играющие ключевую роль в работе браузера Safari и обработке веб-контента. Эти компоненты, особенно WebKit, регулярно становятся целями хакеров, так как их компрометация открывает злоумышленникам доступ к устройству и личным данным жертвы.

В официальном сообщении Apple по безопасности указывается, что уязвимости могут быть использованы для выполнения вредоносного кода. Это возможно, если злоумышленники заставят устройство обработать специально созданный веб-контент, например, сайт или электронное письмо. Подобная атака может привести к установке вредоносного ПО на устройство.

D-Link не планирует исправлять критическую уязвимость, которая была обнаружена в её старых сетевых хранилищах (NAS) и позволяет внедрять команды с помощью соответствующего эксплойта. Вместо этого производитель рекомендует владельцам затронутых устройств перейти на использование более новых моделей, которые данная проблема не затрагивает.

Источник изображения: D-Link

Речь идёт об уязвимости CVE-2024-10914, которая получила критическую оценку серьёзности 9,2 балла и была обнаружена специалистами компании Netsecfish. Уязвимость присутствует в скрипте account_mgr.cgi, где злоумышленник может особым образом скорректировать параметр имени для выполнения эксплойта. Другими словами, неаутентифицированный пользователь имеет возможность внедрения произвольных команд оболочки посредством отправки на уязвимое устройство запросов HTTP GET.

В сообщении сказано, что проблема затрагивает несколько моделей сетевых хранилищ D-Link: DNS-320 версии 1.00, DNS-320LW версии 1.01.0914.2012, DNS-325 версии 1.01 и DNS-340L версии 1.08. Для пользователей этих устройств плохая новость заключается в том, что D-Link не намерена выпускать патч для исправления упомянутой уязвимости. Это объясняется тем, что период поддержки всех проблемных NAS-устройств завершён, поэтому для них больше не выпускаются обновления программного обеспечения.

Производитель рекомендует владельцам затронутых проблемой NAS-устройств оперативно перейти на использование более актуальных моделей. Тем, кто не может сделать это быстро, следует изолировать устройства от интернета или же настроить для них более строгие правила доступа. Можно также попытаться найти альтернативную прошивку от сторонних разработчиков, но в этом случае до её загрузки следует убедиться в надёжности и безопасности прошивки.

Разработчики платформы 0patch (принадлежит словенской Acros Security) выпустили бесплатный микропатч, который устраняет проблему с утечкой учётных данных NTLM в Windows. Microsoft обещала подключиться к решению проблемы позже.

Источник изображения: Windows / unsplash.com

Проблема связана с утечкой учётных данных New Technology LAN Manager (NTLM) — набора разработанных Microsoft протоколов безопасности, которые используются для аутентификации пользователей и компьютеров в сети. Ещё в январе Microsoft исправила связанную с NTLM уязвимость CVE-2024-21320, но затем эксперт по кибербезопасности Akamai Томер Пелед (Tomer Peled) обнаружил, что злоумышленники могут обойти патч, отправив потенциальной жертве файл темы Windows и заставив её провести с ним некоторые манипуляции — открывать файл даже не требуется. После этих манипуляций Windows отправляет на удалённые хосты аутентифицированные сетевые запросы с учётными данными NTLN, принадлежащими пользователю.

В результате была зарегистрирована уязвимость CVE-2024-38030, связанная с подменой тем Windows — она была исправлена в июле. Специалисты Acros Security проанализировали проблему и выявили дополнительный экземпляр уязвимости, которая присутствует во всех полностью обновлённых версиях Windows вплоть до Windows 11 24H2. Компания сообщила о своей находке в Microsoft и отказалась публиковать подробности, пока софтверный гигант не исправит новую уязвимость, но выпустила собственный микропатч, который её закрывает. «Мы знаем об этом отчёте и примем необходимые меры, чтобы помочь защитить клиентов», — пообещали в Microsoft.

Чтобы эксплуатировать уязвимость, «пользователь должен либо скопировать файл темы, например, из электронного письма или чата в папку или на рабочий стол, либо посетить вредоносный сайт, с которого файл автоматически скачивается в папку „Загрузки“», — пояснили в Acros Security. То есть некоторые действия со стороны потенциальной жертвы всё-таки необходимы.