Файлообменник Mega устранил семь уязвимостей

Александр Панасенко 11 Февраля 2013 - 10:15

...

Файлообменный сервис Кима Доткома Mega ранее запустил программу вознаграждения за информацию об уязвимостях в программном обеспечении Mega. Чуть позже в Mega заявили, что готовы выплачивать до 10 000 евро за информацию о каждом баге, связанном с безопасностью сайта.

В минувшие выходные сервис сообщил о первых участниках программы, предоставивших данные о багах. Как оказалось, получателей денег стало сразу семеро. В блоге Mega говорится, что компания исправила указанные семь багов, выплатив причитающееся вознаграждение получателям. Впрочем, никакой информации о получателях и размере выплат в Mega так и не предоставили, передает cybersecurity.ru. Одновременно с описанием самих багов, Дотком в блоге начал разделять уязвимости в Mega на шесть уровней опасности: от "исключительно теоретических сценариев" до "фундаментальных проблем в архитектуре". Полностью список уязвимостей выглядит следующим образом:

Class IV vulnerabilities

["Cryptographic design flaws that can be exploited only after compromising server infrastructure (live or post-mortem)"]

Invalid application of CBC-MAC as a secure hash to integrity-check active content loaded from the distributed static content cluster. Mitigating factors: No static content servers had been operating in untrusted data centers at that time, thus no elevated exploitability relative to the root servers, apart from a man-in-the-middle risk due to the use of a 1024 bit SSL key on the static content servers. Fixed within hours.

Class III vulnerabilities

["Generally exploitable remote code execution on client browsers (cross-site scripting)"]

XSS through file and folder names. Mitigating factors: None. Fixed within hours.
XSS on the file download page. Mitigating factors: Chrome not vulnerable. Fixed within hours.
XSS in a third-party component (ZeroClipboard.swf). Mitigating factors: None. Fixed within hours.

Class II vulnerabilities

["Cross-site scripting that can be exploited only after compromising the API server cluster or successfully mounting a man-in-the-middle attack (e.g. by issuing a fake SSL certificate + DNS/BGP manipulation)"]

XSS through strings passed from the API server to the download page (through three different vectors), the account page and the link export functionality. Mitigating factors—apart from the need to control an API server or successfully mounting a man-in-the-middle attack: None. Fixed within hours.

Class I vulnerabilities

["All lower-impact or purely theoretical scenarios"]

HTTP Strict Transport Security header was missing. Fixed. Also, mega.co.nz and *.api.mega.co.nz will be HSTS-preloaded in Chrome.
X-Frame-Options header was missing, causing a clickjacking/UI redressing risk. Fixed.

Следующая главная новость »

Многофакторная аутентификация 2026 - обсудим в эфире AM Live! Регистрируйтесь »

Яков Шпунт 03 Февраля 2026 - 12:47

Соответствие законодательству РФ Общее Соответствие требованиям регуляторов

Закупки ИБ-решений выросли в 2025 году на 10%

По итогам 2025 года общий объём закупок в сфере информационной безопасности вырос на 9,3% и достиг 191,7 млрд рублей. Ключевым фактором роста стало укрупнение и усложнение контрактов. При этом количество сделок увеличивалось быстрее, чем рынок в денежном выражении: за год было завершено 51,3 тыс. закупок против 44,1 тыс. в 2024 году.

Такую статистику приводит «Коммерсантъ» со ссылкой на аналитиков СКБ Контур.

Самый быстрый рост показал сегмент небольших сделок на сумму до 600 тыс. рублей — их количество увеличилось почти на треть. Всего на такие закупки пришлось около 23 тыс. процедур общим объёмом 4,23 млрд рублей.

Основной вклад в рост обеспечил коммерческий сегмент, где количество сделок увеличилось на 14%. В то же время число процедур по 44-ФЗ и 223-ФЗ в целом осталось на уровне предыдущего года.

В денежном выражении динамика выглядит менее однозначной. Объём закупок по 44-ФЗ вырос на 12,6% — до 128,19 млрд рублей, по 223-ФЗ — на 20,6%, до 45,83 млрд рублей. Увеличилась и средняя стоимость контрактов: по 44-ФЗ — с 9,19 млн до 10,23 млн рублей, по 223-ФЗ — с 8,31 млн до 9,84 млн рублей. При этом в коммерческом сегменте зафиксировано снижение — с 21,33 млрд до 13,40 млрд рублей.

«При относительно стабильном числе закупок по 44-ФЗ и 223-ФЗ общий объём рынка и средняя цена контракта заметно выросли, что указывает на смещение спроса в сторону более дорогих и комплексных решений. На динамику также влияет применение национального режима в закупках, который меняет состав лотов и требования к приобретаемым решениям», — отметил заместитель руководителя продуктовой группы «Контур.Эгида» и Staffcop Юрий Драченин.

По его словам, ключевой причиной такой динамики стало укрупнение лотов: заказчики всё чаще объединяют в рамках одной закупки сами решения и услуги по их внедрению, интеграции и поддержке.

Директор по продуктовой стратегии UserGate Иван Чернов отметил, что заказчикам удобнее приобретать комплексное решение у одного поставщика, поскольку это упрощает логистику и последующее обслуживание.

Снижение темпов роста рынка представитель UserGate объяснил следующим образом: «На мой взгляд, к 2026 году рынок ИБ успокоился после взрывного роста прошлых лет. Его более плавная динамика сегодня отчасти связана с инфляцией и доразвитием проектов, запущенных ранее».

Коммерческий директор компании «Код Безопасности» Фёдор Дбар охарактеризовал текущие темпы как «умеренные». По его оценке, рынок вошёл в фазу стабилизации и возвращается к привычным темпам роста — порядка 10–15% в год.

В 2026 году, по мнению заместителя генерального директора ГК «Гарда» Рустэма Хайретдинова, также не стоит ожидать высоких темпов роста рынка. Исключением могут стать лишь отдельные нишевые сегменты.

Многофакторная аутентификация 2026 - обсудим в эфире AM Live! Регистрируйтесь »