Критическая уязвимость в продуктах FireEye активируется одним письмом

Александр Панасенко 17 Декабря 2015 - 14:27

...

Исследователи Google Project Zero, в лице Тевиса Орманди (Tavis Ormandy) и Натали Силванович (Natalie Silvanovich),нашли критическую уязвимость в продукции компании FireEye. Проблема получила зловещее название «666», так как это шестьсот шестьдесят шестой баг, обнаруженный экспертами Project Zero.

Уязвимость, допускающая удаленное исполнение произвольного кода (RCE), касается продуктов серий Network Security (NX), Email Security (EX), Malware Analysis (AX) и File Content Security (FX). Баг обнаружился в MIP (Malware Input Processor) – подсистемном модуле, который анализирует Java JAR-файлы, а затем производит их декомпиляцию. После декомпиляции, модуль проверяет код, сравнивая его с известными вредоносными паттернами. Однако если атакующий отправит в корпоративную сеть файл, который якобы использует обфускацию, это одурачит декомпилятор, по сути, превратив его в инструмент для исполнения произвольных shell-команд, пишет xakep.ru.

Для эксплуатации уязвимости, хакеру достаточно отправить жертве email, содержащий подходящий JAR-файл. Такое письмо даже не нужно читать, достаточно просто его получить. Или атакующий может вынудить пользователя пройти по ссылке, ведущей к вредоносному JAR-файлу. Клик по ссылке или получение письма приведут к компрометации одной из наиболее привилегированных машин во всей сети.

«Для сетей, в которых работают устройства FireEye, уязвимость, которую можно эксплуатировать через интерфейс пассивного мониторинга, может обернуться форменным кошмаром», — пишет Орманди.

Компания FireEye поблагодарила исследователей за обнаружение столь важной проблемы и уже выпустила исправление. Орманди отмечает, что на создание патча специалисты FireEye потратили всего два дня, и он распространился через автоматический апдейтер Security Content.

Подробные технические детали Орманди опубликовал в официальном блоге Project Zero.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 06 Апреля 2026 - 13:51

Соответствие законодательству РФ Домашние пользователи Системы контентной веб-фильтрации

Telegram приписал чужую победу: кто на самом деле починил прокси

Давид Осипов из B2B обвинил Telegram в том, что команда мессенджера присвоила себе заслуги за обход блокировок прокси в России. По его версии, критические исправления для FakeTLS первыми нашли и подготовили не разработчики Telegram, а энтузиасты из сообщества Telemt.

Осипов пишет, что официальная команда мессенджера якобы месяцами не трогала проблемный код, хотя разговоры о возможных ограничениях Telegram-прокси в России шли как минимум с начала 2026 года.

Когда в апреле у многих пользователей начали отваливаться соединения, а встроенная маскировка FakeTLS перестала работать как надо, Telegram, по его словам, не предложил быстрого собственного решения, а паузу заполнили участники профильного сообщества.

По версии Осипова, именно энтузиасты занялись разбором TLS-хендшейка, сравнили поведение Telegram с трафиком обычного браузера, нашли подозрительные сигнатуры и подготовили конкретные исправления. После этого изменения оформили в предложения для изменения кода Telegram Desktop, а уже затем часть этих правок попала в официальный клиент.

То, что Telegram Desktop действительно получил свежие обновления в начале апреля, видно по странице релизов на GitHub: там указаны версии 6.7.2 и 6.7.3, выпущенные 3 и 4 апреля. В README проекта Telemt при этом отдельно сказано, что исправленный TLS ClientHello уже доступен в Telegram Desktop начиная с версии 6.7.2, а для Android официальные релизы ещё находятся в процессе внедрения.

Главная претензия Осипова: Telegram в публичной коммуникации выглядит победителем, хотя реальную инженерную работу, по его мнению, сначала проделало сообщество. Особенно его задела формулировка из поста Павла Дурова о том, что Telegram «со своей стороны» продолжит адаптироваться и делать трафик мессенджера более трудным для обнаружения и блокировки. Дуров действительно написал, что команда будет и дальше усложнять детектирование и блокировку трафика Telegram на фоне ограничений в России.

Осипов при этом настаивает: нынешние исправления — это лишь хотфикс, а не полноценное решение. По его словам, даже после патча в реализации FakeTLS остаются другие потенциально заметные сигнатуры, а значит, проблема не сводится к паре строк кода. Иначе говоря, история, по его версии, ещё далеко не закончилась.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!