RSA Security заявила о наличии АНБ-бэкдора в своих продуктах

RSA Security заявила о наличии АНБ-бэкдора в своих продуктах

Компания RSA Security, один из крупнейших поставщиков средств коммерческого шифрования данных, сегодня порекомендовала клиентам не использовать функции шифрования в программном обеспечении RSA Data Protection и RSA Bsafe, так как в их компонентах содержатся бэкдоры, созданные в Агентстве национальной безопасности США.

В бюллетене по безопасности RSA, разосланном сегодня компанией, говорится, что в крипто-механизме обоих продуктов содержится генератор ключей Dual EC_DRBG. Этот генератор использует механизм, ранее утвержденный институтом NIST (National Institute of Standards and Technology). На этой неделе стало известно, что NIST сертифицировал этот механизм со встроенным бэкдором АНБ. Механизм работает с генератором случайных чисел, который в реальности генерирует не случайные числа, а позволяет обладателю данных о бэкдоре предугадывать генерации.

"Чтобы гаранитровать высокий уровень безопасности наших приложений, RSA настоятельно рекомендует клиентам более не применять Dual EC_DRBG и использовать иную систему генерации случайных чисел", - говорят в компании. "Технический гид по тому, как переключиться на другой механизм, доступен в разделе документация для клиентов".

Напомним, что библиотека Bsafe используется для развертывания криптографических функций в стороннем программном обеспечении, например в McAfee Firewall Enterprise Control Center. В свою очередь RSA Data Protection Manager используется для управления криптоключами.

В McAfee сообщили, что их продукт McAfee Firewall Enterprise Control Center 5.3.1 полагается на Dual EC_DRBG, но лишь в той его версии, что применяется для государственных нужд или нужд господрядчиков. Более новая версия уже перешла на генератор SHA1 PRNG.

В 7-Zip нашли уязвимость: вредоносный XZ-архив может запустить код

В 7-Zip обнаружили опасную уязвимость CVE-2026-14266, которая позволяет атакующему выполнить произвольный код через специально подготовленный XZ-архив. Из-за переполнения буфера приложение может записать данные за пределами выделенной памяти.

Проблема связана с обработкой фрагментированных XZ-данных. Если эксплуатация сработает, злоумышленник получит возможность запускать код с правами текущего процесса 7-Zip.

Для атаки всё же нужно участие пользователя: жертву необходимо убедить открыть вредоносный архив или скачать его с подконтрольного сайта. Поэтому массового автоматического взлома по воздуху здесь нет, зато для фишинга схема подходит прекрасно.

Опасный файл можно замаскировать под обновление, резервную копию, пакет документов или обычный архив из мессенджера. Уязвимость получила 7 баллов из 10 по шкале CVSS.

Аутентификация и предварительный доступ к устройству атакующему не нужны. После успешной эксплуатации он сможет запустить вредонос, украсть доступные пользователю данные, изменить файлы или просто уронить систему.

О случаях применения CVE-2026-14266 в реальных атаках пока не сообщается. Но технические подробности уже опубликованы, а значит, желающие собрать рабочий эксплойт получили неплохую инструкцию к действию.

Разработчики исправили проблему в 7-Zip 26.0. Пользователям советуют обновиться как можно скорее и не открывать неожиданные XZ-архивы из писем, чатов и файловых обменников.

Архив с названием «документы_важное.xz» теперь лучше сначала проверить. Потому что внутри может лежать не документ, а очень инициативный чужой код.

RSS: Новости на портале Anti-Malware.ru