Единый Клиент JaCarta прошёл инспекционный контроль во ФСТЭК России

Единый Клиент JaCarta прошёл инспекционный контроль во ФСТЭК России

Единый Клиент JaCarta прошёл инспекционный контроль во ФСТЭК России

Компания "Аладдин Р.Д.", ведущий российский разработчик и поставщик решений для обеспечения информационной безопасности, сообщает об успешном прохождении инспекционного контроля ФСТЭК России новой версии программного средства защиты от несанкционированного доступа к информации Единый Клиент JaCarta 2.9. 

По итогам инспекционного контроля в сертификате ФСТЭК России № 3449 обновлена версия Единого Клиента JaCarta. Сертификат удостоверяет, что Единый Клиент JaCarta в составе программного комплекса аутентификации и безопасного хранения информации пользователей JaCarta версии 1.5 является программным средством защиты информации, не содержащей сведения, составляющие государственную тайну, и соответствует требованиям по 4 уровню контроля отсутствия недекларированных возможностей (НДВ) и технических условий. Это позволяет использовать Единый Клиент JaCarta в информационных системах персональных данных до 1 уровня включительно и при создании автоматизированных информационных систем до класса защищённости 1Г включительно.

Единый Клиент JaCarta — программный комплекс, предназначенный для работы со всеми моделями USB-токенов и смарт-карт (далее — токенов) JaCarta и eToken и предоставляющий пользователям и администраторам простой и удобный интерфейс для проведения операций по настройке токенов (инициализация, смена PIN-кода, разблокировка, автоматическое обновление, просмотр хранимых объектов и т.д.). 

Основными отличиями обновлённого Единого Клиента JaCarta от предыдущей сертифицированной версии являются поддержка большего числа операционных систем, повышение стабильности работы комплекса, а также расширение функциональности продукта, в том числе поддержка новых криптопровайдеров и OTP-токенов JaCarta WebPass.

Преимуществами Единого Клиента JaCarta являются поддержка в одном интерфейсе устройств с "российской" и "западной" криптографией, работа со всеми популярными криптопровайдерами (например, КриптоПро CSP, Signal-COM CSP и др.), поддержка работы с многофункциональными токенами (например, JaCarta PKI/ГОСТ), а также одновременная работа с токенами JaCarta и eToken.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Уязвимость в WebOS позволяет захватить контроль над смарт-телевизором LG

Раскрыты детали уязвимости в LG WebOS, которую продемонстрировали участники майского состязания TyphoonPWN 2025 в Сеуле. Эксплойт позволяет обойти аутентификацию и получить полный доступ к ТВ-системе.

Данная проблема классифицируется как выход за пределы рабочего каталога и была выявлена в LG 43UT8050 с WebOS 24. Не исключено, что ей подвержены и другие смарт-телевизоры вендора.

В появлении уязвимости повинна служба браузера WebOS, которая автоматически открывает порт 18888 при подключении USB-накопителя, предоставляя пирам доступ к папке /tmp/usb или /tmp/home.office.documentviewer через API.

Как оказалось, этот механизм расшаривания контента содержит изъян: приложение не проверяет путь к файлу, что провоцирует неавторизованные загрузки из других локаций.

 

Используя уязвимость, злоумышленник может добраться до файла базы данных с ключами аутентификации пиров и с их помощью обойти защиту сервиса secondscreen.gateway. Доступ к этой службе позволяет активировать режим разработчика, внедрить вредоноса и в итоге перехватить контроль над IoT-устройством.

В LG подтвердили наличие уязвимости и недавно выпустили информационный бюллетень. PoC-эксплойт уже в паблике, пользователям рекомендуется устанавливать обновления прошивок по мере их выхода.

Пару лет назад баг-хантеры из Bitdefender обнаружили в LG WebOS четыре уязвимости, открывающие возможность для угона 90 тыс. смарт-устройств. А в прошлом году телевизоры LG уличили в покушении на слежку за пользователями.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru