Экс-офицера ЦРУ обвинили в шпионаже в пользу Китая

Экс-офицера ЦРУ обвинили в шпионаже в пользу Китая

Бывшего офицера ЦРУ Кевина Мэллори обвинили в шпионаже в пользу Китая. Он передавал китайской разведке секретные документы. В смартфоне Мэллори, полученном от разведки Китая, были обнаружены восемь секретных документов: шесть — ЦРУ, еще один — минобороны США. Последний документ пока не идентифицирован.

По словам прокуроров, как минимум два документа были переданы Китаю в начале текущего года, передает iz.ru.

Издание отмечает, что информация, которую передал 60-летний экс-офицер ЦРУ, не привела к гибели граждан США. В противном случае ему бы грозила смертная казнь. Мэллори могут приговорить к пожизненному заключению.

Кевин Мэллори работал в ЦРУ с 1990 по 1996 год. В 2010–2012 годах занимал должность контрагента спецслужбы.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Баг Chrome, Opera, Edge позволял выкрасть данные миллиарда пользователей

Новая уязвимость в браузерах, основанных на Chromium, позволяет обойти дополнительный уровень безопасности Content Security Policy (CSP). В результате данные посетителей сайтов находятся в зоне риска, поскольку злоумышленники могут выкрасть их, а также выполнить вредоносный код.

Получивший идентификатор CVE-2020-6519 баг затрагивает Chrome, Opera и Edge для операционных систем Windows, macOS и Android. По словам Гала Уэйзмана, исследователя из PerimeterX, в опасности находятся около миллиарда пользователей браузеров.

Что касается конкретно Chrome — самого популярного на сегодняшний день браузера — уязвимость CVE-2020-6519 угрожает версиям Chrome 73-83. К счастью, вышедший в июле Chrome 84 устраняет брешь.

Уровень защиты CSP, который позволяет обойти описанный баг, предназначен для защиты посетителей сайтов от атаки вида XSS и от вредоносных инъекций. Благодаря CSP администраторы ресурсов могут обозначить безобидные домены, с которых браузер будет запускать скрипты.

«Если мы говорим о возможности обхода Content Security Policy (CSP), стоит учитывать, что данные пользователей находятся в зоне риска», — объясняет в отчёте Уэйзман.

Многие крупные онлайн-проекты используют CSP: ESPN, Facebook, Gmail, Instagram, TikTok, WhatsApp, Wells Fargo и Zoom.

Для успешной атаки злоумышленник должен модифицировать JavaScript. Этого можно добиться через атаку на веб-сервер (например, с помощью брутфорса паролей). Далее атакующий спокойно проведёт инъекцию кода в обход CSP.

Поскольку эксплуатация бага возможна лишь после прохождения аутентификации (взлома паролей), уязвимости присвоили среднюю степень риска. Однако Уэйзман подчёркивает, что такие атаки могут иметь серьёзные последствия.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru