Многочисленные уязвимости обнаружены в расширении Pocket для Firefox
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Многочисленные уязвимости обнаружены в расширении Pocket для Firefox

Александр Панасенко 20 Августа 2015 - 09:54
...

Проведя поверхностный анализ защищённости службы Pocket, исследователь выявил серию серьёзных уязвимостей, демонстрирующих халатное отношение разработчиков к защите данных пользователей и показывающих, что при разработке не уделялось должного внимания безопасности.

В частности, через манипуляцию с URL "file://" оказалось возможным получить содержимое системных файлов из серверных окружений Amazon EC2, которые используются для обеспечения работы Pocket.

Проблема была обнаружена после попытки отложить в Pocket ссылку "http://127.0.0.1/server-status", что привело к появлению на другом синхронизированном устройстве содержимого страницы со статистикой работы сервера. Кроме того, был продемонстрирован URL, добавление которого в очередь Pocket приводит к редиректу на "file:///etc/passwd" и позволяет получить содержимое файла /etc/passwd серверов Pocket. Этим методом можно получить доступ для чтения других файлов с с сервера, например, SSH-ключей. Более того, проверка параметров текущего процесса через получение содержимого /proc/self/status показала, что выполняющий запрос процесс выполняется с правами root, что даёт возможность получить полный контроль над сервером, сообщает opennet.ru.

Проблемы с Pocket заслуживают внимания в силу интеграции поддержки данной службы непосредственно в Firefox. Начиная с версии 38.0.5 в Firefox были встроены средства обращения к службе Pocket, которая позволяет отложить страницы, чтобы вернуться к ним когда появится время, в том числе с других устройств. Данное нововведение вызвало неоднозначную реакцию в сообществе и требования исключить поддержку Pocket из основного состава Firefox, ограничив возможность работы с ним как с внешним дополнением. Главным образом, недовольство связано с тем, что Pocket является проприетарной разработкой и его встраивание в Firefox воспринимается как продвижение одного из сторонних коммерческих проектов, пренебрежение персональными данными пользователей и навязывание лишней функциональности, востребованной лишь небольшой категорией пользователей.

Выявленные уязвимости лишний раз указали на то, что проприетарным службам, реализация которых не может быть проконтролирована сообществом, не следует слепо доверять данные пользователей. Информация об уязвимости опубликована после устранения проблемы на стороне Pocket, тем не менее, выявленные проблемы красноречиво говорят об уровне защиты данного сервиса.

Дополнение: Судя по странице с информацией о порядке уведомления администрации Pocket об уязвимостях, в 2015 году поступило 42 уведомления о проблемах с безопасностью в Pocket, в 2014 - 63 уведомления, в 2013 - 53. 

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Молодой уральский медик попал под суд за поиск экстремистских материалов
Яков Шпунт 07 Ноября 2025 - 14:50
Соответствие законодательству РФ Домашние пользователиГосударство
Молодой уральский медик попал под суд за поиск экстремистских материалов

В Свердловской области суд рассматривает дело молодого медика, обвиняемого в умышленном поиске экстремистских материалов (ст. 13.53 КоАП РФ). Это первый известный случай попытки привлечь к ответственности по новой статье, введённой летом 2025 года.

Согласно законодательству, штраф до 5 тысяч рублей грозит тем, кто осуществляет «поиск заведомо экстремистских материалов и получение доступа к ним, в том числе с использованием программно-аппаратных средств для обхода ограничений доступа к информационным ресурсам».

Как сообщают местные СМИ со ссылкой на адвоката обвиняемого Сергея Барсукова, 20-летний медик столкнулся с запрещённой информацией случайно — 24 сентября, по дороге на работу. По словам защитника, молодой человек лишь наткнулся на сведения о ряде организаций, признанных в России экстремистскими.

Однако, как уточнили источники РИА Новости в оперативных службах, фигурант состоял в неонацистских интернет-сообществах. Его поисковые запросы, по данным следствия, касались деятельности украинских националистических формирований, признанных в России террористическими и запрещёнными.

В тот же день молодого человека вызвали в отдел ФСБ, а 8 октября на него был составлен протокол об административном правонарушении по статье 13.53 КоАП РФ. Адвокат Барсуков предполагает, что информацию в спецслужбы мог передать мобильный оператор.

Первое судебное заседание прошло в конце октября. Защита ходатайствовала о вызове свидетелей.

«Я считаю, что на основании представленных материалов нельзя строить обвинение. До суда я направил жалобу в УФСБ по Свердловской области с просьбой провести служебную проверку в отношении сотрудников отдела по Каменску-Уральскому — на предмет оказания психологического давления на моего подзащитного. Аналогичное обращение направлено в Главное управление МВД России по региону», — заявил адвокат Сергей Барсуков.

Второе заседание состоялось 6 ноября. Свидетели, вызванные в суд, не явились. В итоге суд не стал выносить решение и вернул материалы дела на доработку.

«Сегодня я обратил внимание суда на то, что представленные материалы являются „сырыми“: в них отсутствуют доказательства вины моего подзащитного. Суд с доводами согласился и направил дело правоохранителям для устранения недостатков. Будут ли они устранены — сомневаюсь, поскольку мой подзащитный невиновен», — прокомментировал итоги заседания Сергей Барсуков.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Как бизнесу реагировать на ИБ-инциденты: советы Даниила Бориславского
Новость
Как бизнесу реагировать на ИБ-инциденты: советы Даниила Бори...
Apple обвинили в использовании пиратских книг для обучения ИИ
Новость
Apple обвинили в использовании пиратских книг для обучения И...
Вышла RuBackup 2.7: поддержка OpenStack, SIEM и Deckhouse Stronghold
Новость
Вышла RuBackup 2.7: поддержка OpenStack, SIEM и Deckhouse St...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.