15-летний баг в PEAR открывал вектор атаки на цепочки поставок

Екатерина Быстрова 04 Апреля 2022 - 11:26

...

15-летний баг в PEAR открывал вектор атаки на цепочки поставок

В PHP-репозитории PEAR на протяжении 15 лет существовала уязвимость, которая могла позволить злоумышленникам провести атаку на цепочку поставок, получить возможность публиковать вредоносные пакеты и выполнять произвольный код.

О проблеме в безопасности рассказал Томас Шаушфайн, специалист компании SonarSource, который описывает брешь так:

«Условный атакующий с помощью эксплуатации выявленной уязвимости может захватить аккаунт разработчика и публиковать от его имени вредоносные релизы. Есть и второй баг, позволяющий злоумышленникам получить доступ к центральному серверу PEAR».

Интересна, что эта проблема освещалась аж в 2007 году, когда эксперты указывали на небезопасную PHP-функцию mt_rand(), используемую для сброса паролей. Тогда, по словам специалистов, киберпреступникам понадобилось бы менее 50 попыток для подбора токена.

Само собой, такая брешь открывала вектор атак на цепочку поставок с помощью специальных версий пакетов, в которые было бы добавлена функциональность трояна.

Вторая уязвимость, о которой упомянул Шаушфайн, работает в связке с основной и позволяет получить несанкционированный доступ на начальном этапе атаки. Проблема в этом случае кроется в использовании старой версии Archive_Tar, которую затрагивает дыра под идентификатором CVE-2020-36193 (7,5 балла по шкале CVSS).

Шаушфайн поразился тому, что уязвимости были актуальны более десяти лет, хотя их достаточно легко обнаружить и использовать в атаке. Такая ситуация, по мнению эксперта, заставляет сомневаться в состоятельности практик компании.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 14 Июня 2024 - 19:37

Домашние пользователи Блокировщики рекламы Бесплатная блокировка рекламы Google

Борьба с AdBlock: YouTube встраивает рекламу в видео на стороне сервера

Согласно последним сообщениям, YouTube теперь встраивает рекламу непосредственно в видеопоток, чтобы затруднить её блокировку. Так сервис продолжает бороться с AdBlock и его аналогами.

На новый подход видеохостинга обратили внимание разработчики SponsorBlock, стороннего расширения для браузера.

По словам девелоперов, нововведения YouTube ломают функциональность SponsorBlock (следующим апдейтом обещают всё исправить), но при этом затрагивают и другие блокировщики рекламы.

Ранее YouTube внедрял рекламу на стороне клиента. За её вывод отвечали скрипты JavaScript и видеоплеер, но при этом видеопоток и рекламные объявления разделялись.

Плеер настроен таким образом, чтобы в определённых временных точках ролик ставился на паузу, а вместо видео пользователю отображалась реклама.

AdBlock и схожий софт режет рекламу, блокируя код JavaScript, предназначенный для её вывода. Но при новом подходе YouTube реклама на стороне сервера интегрирует объявления прямиком в видео. Таким образом, пользователь получает непрерывный поток с уже встроенной туда рекламой.

Теперь разработчики AdBlock и аналогов должны использовать более сложные алгоритмы детектирования рекламы, задействовать анализ метаданных и новые паттерны, чтобы выявить внезапные изменения в аудио- и видеопотоке.

Напомним, в мае YouTube пытался прокручивать видео до конца для пользователей AdBlock Plus.