В официальном баг-трекере Google найдены три серьезные уязвимости

В официальном баг-трекере Google найдены три серьезные уязвимости

В официальном баг-трекере Google найдены три серьезные уязвимости

В официальном трекере Google были обнаружены три уязвимости, которые злоумышленники могут использовать для выявления брешей. Нашедший эту дыру безопасности Алекс Бирсан (Alex Birsan), румынский эксперт, утверждает, что этот баг может позволить хакерам получить доступ к уязвимостям, которые еще не были исправлены в продуктах Google.

Эти три бреши затронули Google Issue Tracker (также известное как Buganizer) – приложение, отслеживающее сообщения об ошибках и проблемах безопасности в продуктах Google.

«Buganizer является центральной системой отслеживания ошибок, поэтому весьма вероятно, что в ней также хранятся уязвимости внутренних систем Google. Я провел минимальное исследование, но могу сказать, что там куда более интересная информация, если покопаться», - сказал Бирсан в интервью Bleeping Computer.

Обычно только сотрудники Google и эксперты в области уязвимостей имеют доступ к Buganizer, это строго ограниченный доступ, имеется только к сообщениям, которые они должны исправить.

Бирсан, являющийся разработчиком на Python в румынской компании, специализирующейся на кибербезопасности, говорит, что он выявил ошибки в период с 27 сентября по 4 октября. Он обнаружил три проблемы:

  • Способ регистрации адреса электронной почты в домене @google.com с использованием общей схемы именования адресов электронной почты Buganizer.
  • Способ подписки и получения уведомлений об ошибках, к которым у него не должно было быть доступа.
  • Способ обмана API Buganizer, который может помочь получить доступ к каждой уязвимости.

Google выплатила исследователю $3 133 за обнаружение первой ошибки, $5 000 за обнаружение второй и $7 500 за третью. Примечательно, что компания очень оперативно отреагировала за сообщение Бирсана.

Базальт СПО показала новые продукты и крупные проекты миграции на ОС Альт

В Москве прошла четвертая партнерская конференция «Базальт СПО» AltConf: Orange Season, приуроченная к 25-летию ALT Linux. Мероприятие собрало более 2,3 тыс. участников в онлайн- и офлайн-форматах. Одной из главных тем стала миграция крупных организаций на российские операционные системы.

В «Ростелекоме» на «Альт Рабочую станцию» перевели свыше 60 тыс. устройств. Перед началом проекта специалисты проверили совместимость 850 ИТ-сервисов, а сам переход проводили поэтапно. В среднем настройка одного рабочего места занимала три-четыре часа.

Опытом внедрения решений «Альт» также поделились «Россети». Компания выбрала их после тестирования нескольких операционных систем — в том числе благодаря интеграции с Active Directory и поддержке необходимого прикладного ПО. Процесс миграции автоматизировали с помощью системы централизованного управления рабочими станциями.

Еще один проект представил Национальный инновационный центр Казахстана. Национальная операционная система QAZOS создана на базе «Альт Платформы», локализована на казахский язык и адаптирована под местное законодательство. Сейчас ее готовят к внедрению в госорганизациях и на объектах критической инфраструктуры.

«Базальт СПО» также рассказала о планах на 2026 год. Компания готовит системы «Альт Оркестрация» для контейнерных сред, новую редакцию «Альт Виртуализации» на базе OpenNebula и линейку «Альт Контроллер» с поддержкой режима реального времени. При этом жизненный цикл платформы p11 решено продлить, а выпуск двенадцатой версии пока не планируется.

На конференции также объявили о сотрудничестве с разработчиком процессоров «Иртыш» и производителем мобильных устройств MIG. Стороны займутся адаптацией ОС «Альт» для российского оборудования.

RSS: Новости на портале Anti-Malware.ru