В клиенте Skype для Mac OS найдена опасная уязвимость

Изъян обнаружил исследователь из австралийской группы PureHacking. Соответствующее сообщение было опубликовано им вчера, 6 мая. Согласно имеющимся данным, Skype подтверждает наличие угрозы и де-факто уже подготовила исправление.


Уязвимость, о которой идет речь, относится к типу 0-day и позволяет злоумышленнику спровоцировать удаленное исполнение кода на целевом компьютере под управлением операционной системы от Apple, после чего установить над ним контроль. Никакое прямое или косвенное содействие жертвы при этом не требуется. Сам исследователь, Гордон Мэддерн, охарактеризовал ошибку как "чрезвычайно опасную" и высокопатогенную.

Технические подробности эксплуатации изъяна специалист оглашать не стал, сообщив, что сначала необходимо дождаться выпуска требуемого исправления для Mac-версии Skype. Он, однако, пояснил вкратце суть проблемы: по его словам, ошибка была найдена случайно, в процессе разговора с одним из его коллег. Обсуждая с ним программное обеспечение, заказанное некоторым клиентом, г-н Мэддерн послал ему кусок кода, который, к удивлению обоих участников беседы, выполнился в контексте Skype-клиента получателя.

Исследователь изучил проблему и установил, что она является специфической именно для Mac-версии программы - в сборках для Windows и Linux найти уязвимость не удалось. Г-н Мэддерн построил тестовый образец эксплойта и убедился, что он вполне успешно срабатывает, открывая вероятному злоумышленнику довольно эффективный путь к нападению. Результаты своих изысканий специалист передал в Skype еще в начале прошлого месяца, однако до сих пор не увидел внятной реакции - что, собственно, и подвигло его на публикацию уведомления об изъяне.

Представители компании в тот же день отозвались блог-сообщением, в котором заявили, что на момент получения письма г-на Мэддерна им уже было известно об уязвимости, и они вели работу по ее исправлению. В итоге 14 апреля был готов экстренный патч, но сотрудники Skype решили не посылать пользователям сигнал о необходимости его установки, а просто включить "заплатку" в состав ближайшего планового пакета обновлений, который должен выйти в начале следующей недели. Аргументировали они свое решение тем, что "на тот момент не было никаких сообщений об эксплуатации изъяна в реальной вирусной среде".

Теперь, впрочем, доступ к патчу все же открыт. Пользователям, желающим установить его, необходимо запустить поиск обновлений в своем клиенте Skype или загрузить новую версию с сайта компании.

V3.co.uk

Письмо автору

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Каждая девятая утечка происходит через бумажные документы

Аналитики компании InfoWatch сообщают о росте доли утечек конфиденциальных данных через бумажные файлы. В 2018 году эта доля выросла с 8,2% до 11%. Процент бумажных документов в утечках благодаря случайным действиям персонала увеличился с 13,5% до 17%. Этот формат также увеличил показатели и в случаях с умышленными утечками — с 4% до 4,9%.

В InfoWatch подчеркивают, что удивляться такому положению вещей не стоит — статистика говорит о том, что бумажный формат по-прежнему составляет существенную часть корпоративного документооборота во всем мире.

Одной из основных причин доли роста «бумаги» в утечках стало несоблюдение правил обращения с бумажными носителями, которое допускается во многих компаниях и государственных организациях.

«В 85,6% случаев через бумажную документацию были скомпрометированы персональные данные, а в 7,4% — платежная информация. На долю государственных секретов пришлось 4,6% утечек, на долю сведений из разряда коммерческой тайны и ноу-хау — 2,4%», — пишут исследователи InfoWatch.

«Примерно каждая третья (32,6%) «бумажная утечка» происходит в медицинских учреждениях, также высока доля государственных (20,9%) и муниципальных организаций (11,3%)».

 

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru