Файлообменник Mega устранил семь уязвимостей

Александр Панасенко 11 Февраля 2013 - 10:15

...

Файлообменный сервис Кима Доткома Mega ранее запустил программу вознаграждения за информацию об уязвимостях в программном обеспечении Mega. Чуть позже в Mega заявили, что готовы выплачивать до 10 000 евро за информацию о каждом баге, связанном с безопасностью сайта.

В минувшие выходные сервис сообщил о первых участниках программы, предоставивших данные о багах. Как оказалось, получателей денег стало сразу семеро. В блоге Mega говорится, что компания исправила указанные семь багов, выплатив причитающееся вознаграждение получателям. Впрочем, никакой информации о получателях и размере выплат в Mega так и не предоставили, передает cybersecurity.ru. Одновременно с описанием самих багов, Дотком в блоге начал разделять уязвимости в Mega на шесть уровней опасности: от "исключительно теоретических сценариев" до "фундаментальных проблем в архитектуре". Полностью список уязвимостей выглядит следующим образом:

Class IV vulnerabilities

["Cryptographic design flaws that can be exploited only after compromising server infrastructure (live or post-mortem)"]

Invalid application of CBC-MAC as a secure hash to integrity-check active content loaded from the distributed static content cluster. Mitigating factors: No static content servers had been operating in untrusted data centers at that time, thus no elevated exploitability relative to the root servers, apart from a man-in-the-middle risk due to the use of a 1024 bit SSL key on the static content servers. Fixed within hours.

Class III vulnerabilities

["Generally exploitable remote code execution on client browsers (cross-site scripting)"]

XSS through file and folder names. Mitigating factors: None. Fixed within hours.
XSS on the file download page. Mitigating factors: Chrome not vulnerable. Fixed within hours.
XSS in a third-party component (ZeroClipboard.swf). Mitigating factors: None. Fixed within hours.

Class II vulnerabilities

["Cross-site scripting that can be exploited only after compromising the API server cluster or successfully mounting a man-in-the-middle attack (e.g. by issuing a fake SSL certificate + DNS/BGP manipulation)"]

XSS through strings passed from the API server to the download page (through three different vectors), the account page and the link export functionality. Mitigating factors—apart from the need to control an API server or successfully mounting a man-in-the-middle attack: None. Fixed within hours.

Class I vulnerabilities

["All lower-impact or purely theoretical scenarios"]

HTTP Strict Transport Security header was missing. Fixed. Also, mega.co.nz and *.api.mega.co.nz will be HSTS-preloaded in Chrome.
X-Frame-Options header was missing, causing a clickjacking/UI redressing risk. Fixed.

Следующая главная новость »

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 14 Января 2026 - 21:45

Уязвимости программ Домашние пользователи Корпорации Google

В Chrome 144 закрыли 10 уязвимостей, включая опасные баги в движке V8

Google выпустила Chrome 144 для десктопов, закрыв сразу 10 уязвимостей, включая несколько проблем высокой степени риска в движке V8, который отвечает за обработку JavaScript. Обновление уже начало распространяться с 13 января и доступно для Windows, macOS и Linux.

Новые версии браузера — Chrome 144.0.7559.59 для Linux и 144.0.7559.59/60 для Windows и macOS — приносят не только патчи, но и небольшие улучшения производительности.

Как обычно, апдейт раскатывается постепенно, так что до всех пользователей он дойдёт в течение ближайших дней и недель.

Основной фокус обновления — на уязвимостях в JavaScript-движке V8. Исследователи обнаружили несколько ошибок, связанных с выходом за пределы памяти и некорректной реализацией логики. В худшем сценарии такие баги могут привести к выполнению произвольного кода или выходу за пределы песочницы браузера.

Одна из наиболее опасных уязвимостей, CVE-2026-0899, была обнаружена исследователем под ником @p1nky4745 ещё в ноябре 2025 года. За находку Google выплатила вознаграждение в размере 8 тысяч долларов. Всего в релизе закрыты четыре уязвимости с высокой степенью риска, четыре — со средней и две — с низкой.

Помимо V8, исправления затронули и другие компоненты Chrome: движок рендеринга Blink, механизм загрузки файлов, работу с цифровыми удостоверениями, сетевые политики и элементы интерфейса, связанные с безопасностью.

Google отдельно отметила вклад исследовательского сообщества. За найденные уязвимости участники программы баг-баунти получили вознаграждения от 500 до 8 000 долларов. При этом компания напомнила, что значительная часть проблем выявляется с помощью автоматизированных инструментов — таких как AddressSanitizer, MemorySanitizer, libFuzzer и других средств анализа памяти и поведения кода.

Обновиться можно стандартным способом — через встроенный механизм Chrome. Также свежую версию браузера можно скачать с официального сайта Google. Учитывая количество исправленных уязвимостей и их серьёзность, откладывать обновление явно не стоит.

CVE-идентификатор	Степень опасности	Затронутый компонент	Класс уязвимости	Сообщивший исследователь	Дата репорта	Сумма вознаграждения
CVE-2026-0899	Высокая	V8	Out of bounds memory access	@p1nky4745	2025-11-08	$8,000
CVE-2026-0900	Высокая	V8	Inappropriate implementation	Google	2025-12-03	TBD
CVE-2026-0901	Высокая	Blink	Inappropriate implementation	Irvan Kurniawan (sourc7)	2021-10-04	TBD
CVE-2026-0902	Средняя	V8	Inappropriate implementation	303f06e3	2025-12-16	$4,000
CVE-2026-0903	Средняя	Downloads	Insufficient validation of untrusted input	Azur	2025-09-13	$3,000
CVE-2026-0904	Средняя	Digital Credentials	Incorrect security UI	Hafiizh	2025-10-15	$1,000
CVE-2026-0905	Средняя	Network	Insufficient policy enforcement	Google	2025-12-02	TBD
CVE-2026-0906	Низкая	UI	Incorrect security UI	Khalil Zhani	2025-12-10	$2,000
CVE-2026-0907	Низкая	Split View	Incorrect security UI	Hafiizh	2025-09-12	$500
CVE-2026-0908	Низкая	ANGLE	Use after free	Glitchers BoB 14th.	2025-10-15	TBD