Новая уязвимость угрожает миллиарду пользователей Windows, Mac OS X и Linux

Критическая уязвимость в Java, которую корпорация Oracle пропустила в своем последнем обновлении среды выполнения, угрожает миллиарду пользователей персональных компьютеров, сообщает Computerworld со ссылкой на специалиста по информационной безопасности из компании Security ExplorationsАдама Говдяка (Adam Gowdiak).

По словам Говдяка, речь идет о новой критической уязвимости или так называемой уязвимости «нулевого дня» (то есть ранее неизвестной специалистам по безопасности). Напомним, в конце августа специалисты уже били тревогупо поводу кросс-платформенной критической уязвимости в Java, затронувшей пользователей Windows, Mac OS X и Linux. Издание Ars Technica добавило к списку операционных систем Solaris. После обнаружения прошлой уязвимости пользователям было рекомендовано отключить плагин Java в браузерах, или вообще удалить Java из системы, передает safe.cnews.ru.

Новая уязвимость также является кросс-плафторменной и тоже позволяет злоумышленникам получить контроль над машиной жертвы. Для этого пользователю достаточно посетить зараженный веб-сайт с помощью любого из следующих браузеров: Google Chrome, Mozilla Firefox, Microsoft Internet Explorer, Opera и Apple Safari.

Говдяк сообщил, что новая уязвимость является более масштабной в сравнении с той, которая была обнаружена в августе, потому что она содержится не в одной, а сразу в трех версиях среды выполнения - Java 5, 6 и 7. Ранее эксперты ужепредупреждали, что последний патч, который выпустила Oracle, устранил не все содержащиеся в Java 7 уязвимости.

Специалист перечислил конкретные версии программного обеспечения, в которых он успешно проэксплуатировал эксплойт. Это следующие версии Java: Java SE 5 Update 22, Java SE 6 Update 35 и Java SE 7 Update 7, и браузеры: Chrome 21.0.1180.89, Firefox 15.0.1, Internet Explorer 9.0.8112.16421, Opera 12.02 и Safari 5.1.7. Все версии в процессе проверки были запущены в среде 32-разрядной Windows 7.

Эксперт рекомендует пользователям вновь отключить Java-плагин в браузерах, если они включили его после обнаружения уязвимости в августе и выпуска патча, и дождаться очередного обновления от Oracle. Следующий пакет для устранения критических уязвимостей планируется выпустить 16 октября 2012 г., поэтому, вероятно, придется дожидаться этой даты, добавил Говдяк.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Тысячи iOS- и Android-приложений умышленно игнорируют SSL-защиту

Проведенное в Symantec исследование показало, что около 7% приложений для iOS и 3,4% для Android отключают SSL-защиту соединений при обмене с некоторыми бэкенд-серверами. Использование нешифрованных каналов ставит под угрозу сохранность передаваемых данных, среди которых может оказаться конфиденциальная информация.

Специалисты подразделения Symantec компании Broadcom изучили сотни тысяч приложений из каталогов App Store и Google Play за 2017 – 2020 годы и обнаружили, что некоторые разработчики сознательно закладывают в свой продукт возможность отключения  проверки SSL-сертификатов, а также спецзащиты Apple и Google, диктующей использование HTTPS-соединений.

Примечательно, что процент iOS-программ, демонстрирующих такое поведение, растет. В 2020 году, по данным Symantec, в App Store числилось около 600 тыс. приложений; из них более 45 тыс. (7,6%) аналитики сочли потенциально опасными.

Почти все эти нарушители безопасности (94%) отключают защитную функциональность App Transport Security (ATS), доступную в iOS с версии 9.0 (от 2015 года), на всех сетевых соединениях. Об этой угрозе также предупреждал полтора года назад другой ИБ-исследователь — компания Wandera.

Соотношение Android-приложений, создающих аналогичные риски для пользователей, напротив, снизилось с 5% в 2017 году до 2,85% в 2020-м. В настоящее время в Google Play только 2,4% процента программ можно упрекнуть в пренебрежении SSL-защитой соединений.

Список потенциально опасных приложений в разделении по областям использования возглавили программы для геймеров, которые обычно передают большое количество медиаконтента из открытых источников. К удивлению экспертов, второе место в этом рейтинге заняли программы для проведения финансовых транзакций, хотя они оперируют гораздо более чувствительной информацией — удостоверениями личности и данными банковских карт. В одном из случаев iOS-приложение крупного финансового сервиса передавало логины и пароли пользователей в открытом виде; после сигнала разработчик исправил этот недочет, выпустив обновление.

 

К сожалению, пользователям мобильных приложений трудно выявить подобные нарушения безопасности — из-за песочниц и других ограничений, которые Apple и Google ввели для устройств, использующих их ОС. Снизить риск перехвата данных, по мнению Symantec, поможет использование защищенных точек доступа и хорошо зарекомендовавших себя VPN.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru