Google продолжает искать баги в системах Microsoft

Сотрудники Google нашли 32 ошибки в продуктах Microsoft

Кирилл Токарев 14 Февраля 2013 - 01:03

Средства защиты веб-сайтов (приложений)

Средства поиска уязвимостей

Защита персональных компьютеров

Системы реагирования и управления инцидентами (IRP)

Сетевые черви

Уязвимости программ

...

Недавно компания Microsoft опубликовала одно из самых масштабных обновлений системы безопасности за последнее время. Патч должен был устранить 57 неисправностей в ОС Windows, браузере Internet Explorer, Microsoft Office, и другой продукции компании. Так вот, оказалось, что более половины всех этих неисправностей обнаружила компания Google.

Инженеры компании часто находят и сообщают о проблемах безопасности в продуктах Microsoft, но в этом месяце они явно побили все рекорды. Инженер системы безопасности Google Матеуш Юржик (Mateusz Jurczyk) обнаружил 32 угрозы в операционных системах Windows. Ещё один сотрудник Google – Гинвил Колдвинд (Gynvael Coldwind) отыскал 5 ошибок. Всего в феврале 2013 года было обнаружено 64 проблемы с безопасностью продукции Microsoft.

Юржик не сразу ответил на письмо, в котором его спрашивали о том, почему он и его коллега копались в коде Windows. Вполне вероятно, что баги могли быть обнаружены и при исследовании другой продукции компании, таких как встроенных программ для просмотра PDF в браузере Google Chrome.

Кстати, если вы заинтересованы в 32 багах, которые нашли Юржик или Колвинд, вам стоит посетить мероприятие SyScan в этом году. Конференция пройдёт в апреле 2013 года. Там будут присутствовать эксперты из Google. Вероятно, именно там они подробно расскажут о поиске неисправностей в системах Microsoft.

Инженеры Google в прошлом раскрыли множество багов Microsoft, однако они не всегда делают это настолько скромно и скрытно. Например, в июне 2010 года сотрудники Google нашли серьезную уязвимость в ОС Windows и дали Microsoft только 5 дней на её решение. По истечению срока специалисты поклялись опубликовать код, который позволит атаковать операционную систему. В ответ на это корпорация Била Гейтса решила усердно искать изъяны в продукции Google. В июле прошло года один из инженеров Microsoft сказал, что нашёл бот-сеть, которая распространяла спам и вирусы по Android–устройствам. Представители Google опровергли эти данные.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 09 Февраля 2026 - 10:33

Фишинг Социальная инженерия Мошенничество Онлайн-мошенничество Домашние пользователи

Новая атака в Telegram использует официальную аутентификацию мессенджера

Эксперты зафиксировали новую и довольно изощрённую фишинговую кампанию в Telegram, которая уже активно используется против пользователей по всему миру. Главная особенность атаки в том, что злоумышленники не взламывают мессенджер и не подделывают его интерфейс, а аккуратно используют официальные механизмы аутентификации Telegram.

Как выяснили аналитики компании CYFIRMA, атакующие регистрируют собственные API-ключи Telegram (api_id и api_hash) и с их помощью инициируют реальные попытки входа через инфраструктуру самого мессенджера. Дальше всё зависит от того, как именно жертву заманят на фишинговую страницу.

Всего специалисты наткнулись на два подобных сценария. В первом случае пользователю показывают QR-код в стиле Telegram, якобы для входа в аккаунт. После сканирования кода в мобильном приложении запускается легитимная сессия, но уже на стороне злоумышленника.

Во втором варианте жертву просят вручную ввести номер телефона, одноразовый код или пароль двухфакторной защиты. Все эти данные тут же передаются в официальные API Telegram.

Ключевой момент атаки наступает позже. Telegram, как и положено, отправляет пользователю системное уведомление в приложении с просьбой подтвердить вход с нового устройства. И вот тут в дело вступает социальная инженерия. Фишинговый сайт заранее подсказывает, что это якобы «проверка безопасности» или «обязательная верификация», и убеждает нажать кнопку подтверждения.

В итоге пользователь сам нажимает «Это я» и официально разрешает доступ к своему аккаунту. Никакого взлома, обхода шифрования или эксплуатации уязвимостей не требуется: сессия выглядит полностью легитимной, потому что её одобрил владелец аккаунта.

По данным CYFIRMA, кампания хорошо организована и построена по модульному принципу. Бэкенд централизованный, а домены можно быстро менять, не затрагивая логику атаки. Такой подход усложняет обнаружение и блокировку инфраструктуры.

После захвата аккаунта злоумышленники, как правило, используют его для рассылки фишинговых ссылок контактам жертвы, что позволяет атаке быстро распространяться дальше — уже от лица доверенного пользователя.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »