В Google Chrome обнаружена еще одна критически опасная уязвимость

В Google Chrome обнаружена еще одна критически опасная уязвимость

Вьетнамская ИТ-компания Bach Khoa Internet Security в текущей версии браузера Google Chrome обнаружила критически опасную уязвимость, связанную с переполнением буфера обмена системы.

В сообщении компании сказано, что версия 0.2.149.27 позволяет удаленному злоумышленнику получить полный контроль над компьютером, где запущен Chrome. "Уязвимость кроется с ошибке обработки команды Save As. При сохранении HTML-страницы с очень длинным заголовком (тэг title) на локальный компьютер, в браузере неминуемо возникает переполнение стека выполнения, что в дальнейшем позволяет атакующему выполнить произвольный код в системе-жертве", - отмечают в Bach Khoa Internet Security. "Хакер может создать специальную веб-страницу, содержащую искомый код, затем под каким-либо предлогом заставить сохранить ее локально и сразу же после тэгов заголовков разместить злонамеренный код, вероятнее всего на JavaScript", - приводят пример исследователи.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

MAX начал блокировать доступ через альтернативные клиенты

Платформа MAX начала блокировать доступ через альтернативные клиенты — неофициальные приложения, которые позволяют подключаться к мессенджеру в обход официального софта. В пресс-службе сервиса объяснили это заботой о безопасности: такие программы могут угрожать персональным данным и даже использоваться для рассылки вредоносных файлов от имени пользователя.

Официальный клиент MAX можно скачать в App Store, RuStore и Google Play. На изменения в подходе руководства мессенджера обратили внимание в «РИА Новости»

Напомним, в марте VK запустила бета-версию цифровой платформы MAX, через которую доступны чаты, звонки, голосовые сообщения и передача файлов до 4 ГБ. Развивает сервис «Коммуникационная платформа» — «дочка» VK.

Однако у истории есть и обратная сторона. MAX уже несколько раз оказывался в центре скандалов. В частности, его подозревают в слежке за пользователями, передаче данных за рубеж и использовании компонентов из «недружественных» стран. При этом у разработчика отсутствуют лицензии ФСТЭК и ФСБ России, что вызывает вопросы к уровню защиты сервиса.

Летом MAX и «Инфотекс Интернет Траст» сообщили о тестировании подключения к порталу Госуслуг через ЕСИА с использованием протокола OpenID Connect, позволяющего передавать данные только с согласия пользователя.

Но уже через несколько дней ФСБ выдвинула целый список претензий: в MAX отсутствует криптозащита нужного класса и другие обязательные меры. До выполнения этих требований интеграция с ЕСИА невозможна.

Более подробно проблемы безопасности национального мессенджера мы разбирали в отдельном материале.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru