Выпущено обновление для Opera

Вчера, компания Opera Software, порадовав своих поклонников, выпустила обновление для браузера Opera. В новой версии браузера исправлены ошибки и уязвимости, а так же стабилизирована работа приложения в целом.  


Обновленная версия браузера Opera 10.63 выпущена для платформ Windows, Mac, и Linux. Согласно сообщению, с точки зрения безопасности, были исправлены уязвимости, которые ставили под угрозу безопасность системы, а именно: уязвимость обхода междоменной проверки, при эксплуатации которой злоумышленник мог получить доступ к конфиденциальным данным; уязвимость, позволяющая провести спуфинг и XSS атаки. Устранена ошибка, позволяющая злоумышленникам, в случае перезагрузки страницы и перенаправления, проводить спуфинг и  XSS атаки, а так же  выполнять JavaScript код с привилегиями браузера. Помимо этого, устранены ошибки, при которых злоумышленники могли перехватить конфиденциальный видеопоток и запустить выполнение JavaScript кода в небезопасном режиме, после того как выполнение было прервано в ручную.

Кроме уязвимостей в системе безопасности браузера, были устранены ошибки общей функциональности, как то: ошибка, вызывающая заморозку ссылок при запуске браузера; отказ запуска Opera Unite Messenger; отказ запуска панели инструментов, после запуска в фоновом режиме; и наконец, ошибка, возникающая при запуске браузера, которая приводила к 100% нагрузке на процессор.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Google устранила опасную уязвимость в Java-клиенте OAuth

В прошлом месяце Google выпустила новую сборку клиентской Java-библиотеки, обеспечивающей авторизацию по протоколу OAuth. В продукте закрыта уязвимость, эксплуатация которой позволяет подменить токен для доступа к API и развернуть на атакуемой платформе полезную нагрузку по своему выбору.

Степень опасности проблемы CVE-2021-22573 в Google оценили в 8,7 балла по шкале CVSS. Автору находки было выплачено $5 тыс. в рамках программы bug bounty.

Согласно официальному описанию, причиной появления уязвимости является неадекватная верификация криптографической подписи токенов — удостоверения провайдера полезной нагрузки. В результате автор атаки сможет предъявить скомпрометированный токен с кастомным пейлоадом, и тот успешно пройдет проверку на стороне клиента.

Использование кода OAuth-библиотеки Google позволяет приложению или юзеру войти в любой веб-сервис, поддерживающий этот протокол авторизации. Во избежание неприятностей пользователям рекомендуется обновить пакет google-oauth-java-client до версии 1.33.3.

OAuth-авторизация пользуется большой популярностью у веб-серферов. Протокол избавляет от необходимости доверять приложению логин и пароль, а также позволяет сократить число аккаунтов в Сети, то есть аудиторию с доступом к персональным данным.

К сожалению, спецификации OAuth не предусматривают обязательных функций безопасности, и надежность в этом плане всецело зависит от усилий разработчика, реализующего эту технологию. Небрежная защита клиентского приложения или сервиса с поддержкой OAuth провоцирует атаки и грозит утечкой конфиденциальных данных.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru