Mozilla устранила критические уязвимости в Thunderbird

Mozilla устранила критические уязвимости в Thunderbird

Компания Mozilla выпустила обновление безопасности для устранения множества уязвимостей в Thunderbird. Удаленный злоумышленник может использовать некоторые из этих уязвимостей для управления системой.

Одна из уязвимостей получила статус критической. Ей был присвоен идентификатор CVE-2017-7845, она способна привести к переполнению буфера при отрисовке элементов с помощью библиотеки ANGLE с использованием Direct 3D 9.

Это связано с неправильным значением, которое передается внутри библиотеки во время проверок и приводит к завершению работы. Отмечается, что эта брешь затрагивает только Windows-системы, другие операционные системы вне опасности.

Еще две уязвимости получили высокую степень риска, одна из них (CVE-2017-7846) позволяет выполнить JavaScript в анализируемом RSS-канале, когда RSS-канал просматривается как веб-сайт. А вторая (CVE-2017-7847) может привести к тому, что специально созданный CSS в ленте RSS может раскрыть строки локального пути, которые могут содержать имя пользователя.

В версии Thunderbird 52.5.2 все вышеперечисленные дыры в безопасности были устранены.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Трой Хант открыл исходный код Have I Been Pwned

Семь лет назад знаменитый эксперт Трой Хант создал крайне полезный сервис Have I Been Pwned, основная задача которого — предупреждать пользователей о скомпрометированных логинах и паролях. Теперь Хант решил открыть исходный код Have I Been Pwned, что позволит усовершенствовать и дополнить сервис новыми возможностями.

Конечно, не все менеджеры паролей используют базу Троя Ханта, однако множество задействуют API «k-Anonymity», который изначально создавался специально под Have I Been Pwned.

Здесь основная задача разработчиков — донести до пользователей, что их учётные данные утекли, однако сделать это так, чтобы киберпреступники не поняли, какие именно пароли были скомпрометированы. k-Anonymity использует математические модели для сокрытия этой информации от хакеров.

В прошлом году Трой Хант признался, что уже не хочет тащить сервис в одиночку. Создатель Have I Been Pwned мечтает, чтобы его детище получило развитие за счёт сообщества таких же экспертов-энтузиастов.

Сначала специалист пытался продать Have I Been Pwned другой компании, но в итоге сделка не состоялась. Поэтому Хант решил просто открыть исходный код сервиса.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru