Срочный патч: в Google Chrome устранили восьмую 0-day с начала года

Срочный патч: в Google Chrome устранили восьмую 0-day с начала года

Google выпустила важное обновление браузера Chrome, устраняющее очередную уязвимость нулевого дня. Будем надеяться, что это последняя 0-day в этом году (восьмая по счёту с начала 2023-го).

Брешь получила идентификатор CVE-2023-7024. По типу она является классическим багом переполнения буфера и затрагивает фреймворк WebRTC.

В случае успешной эксплуатации злоумышленник может либо вызвать сбой в работе программы, либо выполнить произвольный код. Отмечается, что уязвимость обнаружили исследователи из команды Google Threat Analysis Group (TAG).

Несмотря на то что Google признала факт эксплуатации CVE-2023-7024 в реальных кибератаках, никаких дополнительных деталей корпорация не раскрывает. Но это уже привычное поведение, позволяющее снизить риски дальнейшего использования бреши.

Пользователям рекомендуют как можно скорее установить последнюю версию браузера. Актуальный билд Chrome получил номера 120.0.6099.129/130 (для Windows) и 120.0.6099.129 (для macOS и Linux).

Интересно, что в Qualys подсчитали общее число уязвимостей, устранённых в 2023 году. Их оказалось 26 447, что на 1500 превышает аналогичный показатель прошлого года. При этом 115 брешей участвовали в реальных атаках.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

НКЦКИ запустил сервис проверки утечки персональных данных в России

Национальный координационный центр по компьютерным инцидентам (НКЦКИ) запустил онлайн-сервис проверки утечки личных данных, аналогичный Have I Been Pwned. Поиск осуществляется по сводной базе, регулярно пополняемой из открытых источников.

Пользоваться новым ИБ-порталом просто, нужно лишь ввести в форму запроса объект поиска — имейл, логин, пароль или номер телефона. Положительный ответ может содержать название сервиса, с которого произошла утечка (если такая информация присутствует в базе).

Пострадавшему также предоставляются рекомендации по безопасности: сменить пароль, подключить двухфакторную аутентификацию (2FA) и т. п. Введенные в веб-форму сведения нигде не сохраняются. База утечек на сайте не хранится.

Последнее время новости об утечках баз данных российских компаний появляются с завидной регулярностью, и объемы скомпрометированных ПДн стремительно растут. Так, в минувшем квартале этот показатель, по данным DLBI (сервис мониторинга утечек), в пять раз превысил уровень годовой давности.

Злоумышленники могут использовать информацию из утечек для проведения атак с применением социальной инженерии. Последствия могут быть плачевными: потеря денег, компрометация других аккаунтов, репутационный ущерб.

Меры предосторожности, которые НКЦКИ и другие эксперты рекомендуют принимать, следует распространить и на неиспользуемые учетные записи. Взлом заброшенного аккаунта позволяет, используя контакты жертвы, рассылать спам, распространять вредоносов, реализовывать различные мошеннические схемы.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru