В дистрибутиве Linuxfx выявлен вшитый пароль для доступа к базе пользователей

Участники сообщества Kernal выявили необыкновенно беспечное отношение к безопасности в дистрибутиве Linuxfx, предлагающем пользовательское окружение KDE, стилизованное под интерфейс Windows 11. По данным с сайта проекта дистрибутивом пользуется более миллиона пользователей, а за эту неделю зафиксировано около 15 тысяч загрузок. Дистрибутив предлагает активацию дополнительных платных возможностей, которая производится через введение …

Уязвимости в драйвере NTFS-3G, позволяющие получить root-доступ в системе

В выпуске проекта NTFS-3G 2022.5.17, развивающего драйвер и набор утилит для работы с файловой системой NTFS в пространстве пользователя, устранено 8 уязвимостей, позволяющих поднять свои привилегии в системе. Проблемы вызваны отсутствием должных проверок при обработке опций командной строки и при работе с метаданными в NTFS-разделах. from OpenNews.opennet.ru: Проблемы безопасности https://ift.tt/gyIAlzw

Релиз Chrome 102

Компания Google представила релиз web-браузера Chrome 102. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к …

Злоумышленники получили контроль над Python-пакетом ctx и PHP-библиотекой phpass

Неизвестные злоумышленники получили контроль над Python-пакетом ctx и PHP-библиотекой phpass, после чего разместили обновления с вредоносной вставкой, которая отправляла на внешний сервер содержимое переменных окружения с расчётом на кражу токенов к AWS и системам непрерывной интеграции. По имеющейся статистике Python-пакет ‘ctx’ загружается из репозитория PyPI около 22 тысяч раз в …

Релиз nginx 1.22.0

После 13 месяцев разработки представлена новая стабильная ветка высокопроизводительного HTTP-сервера и многопротокольного прокси-сервера nginx 1.22.0, которая вобрала в себя изменения, накопленные в основной ветке 1.21.x. В дальнейшем все изменения в стабильной ветке 1.22 будут связаны с устранением серьёзных ошибок и уязвимостей. В скором времени будет сформирована основная ветка nginx 1.23, …

Злоумышленники получили контроль за Python-пакетом ctx и PHP-библиотекой phpass

Неизвестные злоумышленники получили контроль за Python-пакетом ctx и PHP-библиотекой phpass, после чего разместили обновления с вредоносной вставкой, которая отправляла на внешний сервер содержимое переменных окружения с расчётом на кражу токенов к AWS и системам непрерывной интеграции. По имеющейся статистике Python-пакет ‘ctx’ загружается из репозитория PyPI около 22 тысяч раз в …

Тестирование рабочего стола KDE Plasma 5.25

Доступна для тестирования бета-версия пользовательской оболочки Plasma 5.25. Протестировать новый выпуск можно через Live-сборку от проекта openSUSE и сборки от проекта KDE Neon Testing edition. Пакеты для различных дистрибутивов можно найти на данной странице. Релиз ожидается 14 июня. from OpenNews.opennet.ru: Проблемы безопасности https://ift.tt/EV9JkDm via IFTTT

В каталоге Python-пакетов PyPI выявлена вредоносная библиотека pymafka

В каталоге PyPI (Python Package Index) выявлена библиотека pymafka, содержащая вредоносный код. Библиотека распространялась с именем, похожим на популярный пакет pykafka с расчётом на то, что невнимательные пользователи перепутают подставной пакет с основным проектом (тайпсквоттинг). Вредоносный пакет был размещён 17 мая и до блокировки был загружен 325 раз. from OpenNews.opennet.ru: …

На соревновании Pwn2Own 2022 продемонстрировано 5 взломов Ubuntu

Подведены итоги трёх дней соревнований Pwn2Own 2022, ежегодно проводимых в рамках конференции CanSecWest. Рабочие техники эксплуатации ранее неизвестных уязвимостей были продемонстрированы для Ubuntu Desktop, Virtualbox, Safari, Windows 11, Microsoft Teams и Firefox. Всего было продемонстрировано 25 успешных атак, а три попытки завершились неудачей. При проведении атак использовались самые свежие стабильные …

Уязвимость в подсистеме ядра Linux perf, позволяющая поднять привилегии

В ядре Linux выявлена уязвимость (CVE-2022-1729), позволяющая локальному пользователю получить root-доступ к системе. Уязвимость вызвана состоянием гонки в подсистеме perf, которое можно использовать для инициирования обращения к уже освобождённой области памяти ядра (use-after-free). Проблема проявляется начиная с выпуска ядра 4.0-rc1. Возможность эксплуатации подтверждена для выпусков 5.4.193+. from OpenNews.opennet.ru: Проблемы безопасности …

Обновление Firefox 100.0.2 с устранением критических уязвимостей

Опубликованы корректирующие выпуски Firefox 100.0.2, Firefox ESR 91.9.1 и Thunderbird 91.9.1 с исправлением двух уязвимостей, которым присвоен критический уровень опасности. На проходящем в эти дни соревновании Pwn2Own 2022 продемонстрирован рабочий эксплоит, позволивший при открытии специально оформленной страницы обойти sandbox-изоляцию и выполнить код в системе. Автору эксплоита присуждена премия в 100 …

Обновление Firefox 100.0.2 с устранением критических уязвимостей

Опубликованы корректирующие выпуски Firefox 100.0.2, Firefox ESR 91.9.1 и Thunderbird 91.9.1 с исправлением двух уязвимостей, которым присвоен критический уровень опасности. На проходящем в эти дни соревновании Pwn2Own 2022 продемонстрирован рабочий эксплоит, позволивший при открытии специально оформленной страницы обойти sandbox-изоляцию и выполнить код в системе. Автору эксплоита присуждена премия в 100 …

В Firefox началось тестирование третьей версии манифеста Chrome

Компания Mozilla объявила о начале тестирования реализации в Firefox третьей версии манифеста Chrome, определяющей возможности и ресурсы, доступные для дополнений, написанных с использованием API WebExtensions. Для тестирования третьей версии манифеста в бета-версии Firefox 101 на странице about:config следует установить параметр “extensions.manifestV3.enabled” в значение true, а параметр “xpinstall.signatures.required” в значение false. …

Обновление DNS-сервера BIND c устранением уязвимости в реализации DNS-over-HTTPS

Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.16.28 и 9.18.3, а также новый выпуск экспериментальной ветки 9.19.1. В версиях 9.18.3 и 9.19.1 устранена уязвимость (CVE-2022-1183) в реализации механизма DNS-over-HTTPS, поддерживаемого начиная с ветки 9.18. Уязвимость приводит к аварийному завершению процесса named в случае, если TLS-соединение к обработчику на базе протокола …

Обновление Firefox 100.0.1. Усиление требований Mozilla к удостоверяющим центрам

Доступен корректирующий выпуск Firefox 100.0.1, примечательный усилением sandbox-изоляции на платформе Windows. В новой версии включена по умолчанию блокировка доступа к API Win32k (компоненты Win32 GUI, работающие на уровне ядра) из изолированных процессов обработки контента. Изменение внесено накануне соревнования Pwn2Own 2022, которое состоится 18-20 мая. Участники Pwn2Own продемонстрируют рабочие техники эксплуатации …

Уязвимость в Python, позволяющая вызвать системные команды из изолированных скриптов

Опубликован метод обхода систем изолированного выполнения кода на языке Python, основанный на использовании давно известной ошибки, появившейся в Python 2.7, выявленной в 2012 году и до сих пор не исправленной в Python 3. Ошибка позволяет при помощи специально скомпонованного кода на языке Python инициировать обращение к уже освобождённой памяти (Use-After-Free) …

Уязвимость в unrar, позволяющая перезаписать файлы при распаковке архива

В утилите unrar выявлена уязвимость (CVE-2022-30333), позволяющая при распаковке специально оформленного архива перезаписать файлы вне текущего каталога, насколько это позволяют права пользователя. Проблема устранена в выпусках RAR 6.12 и unrar 6.1.7. Уязвимость проявляется в версиях для Linux, FreeBSD и macOS, но не затрагивает сборки для Android и Windows. from OpenNews.opennet.ru: …

Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить код без аутентификации

В устройствах Zyxel серий ATP, VPN и USG FLEX, предназначенных для организации работы межсетевых экранов, IDS и VPN на предприятиях, выявлена критическая уязвимость (CVE-2022-30525), позволяющая внешнему атакующему без аутентификации выполнить код на устройстве с правами пользователя nobody. Для совершения атаки злоумышленник должен иметь возможность отправки на устройство запросов по протоколу …

Back to Top