Уязвимость позволяла получать Ethereum из ничего

Уязвимость позволяла получать Ethereum из ничего

Создавать цифровую валюту из ничего какое-то время могли клиенты различных криптовалютных бирж, а все благодаря уязвимости в сети Ethereum, о которой рассказали специалисты компании Level K. Всем затронутым сторонам были разосланы персональные уведомления о проблеме еще 13 ноября.

Когда монеты ETH отправляются на определенный адрес, этот адрес может произвести произвольные расчеты, которые придется оплатить инициатору транзакции.

По словам экспертов, несмотря на то, что это известный вектор мошенничества, в некоторых случаях криптобиржи не предпринимают требуемых мер для обеспечения безопасности.

Для реализации такой атаки можно использовать GasToken, которая пользуется механизмом возврата Ethereum.

Поскольку сначала было неизвестно, какие именно биржи подвержены этой уязвимости, компания разослала информацию о ней максимально возможному количеству площадок.

«Насколько нам известно, многие из получивших уведомление бирж устранили уязвимость», — пишут эксперты.

С полным исследованием специалистов можно ознакомиться здесь.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

iOS и iPadOS 17.4.1 устранили уязвимость удалённого выполнения кода

Apple раскрыла немного подробностей относительно одного из последних обновлений, вышедших на прошлой неделе, — iOS и iPadOS 17.4.1. Оказалось, апдейты устраняют опасную уязвимость, способную привести к удалённому выполнению кода.

Как пишет корпорация, уязвимость, получившая идентификатор CVE-2024-1580, затрагивает следующие модели «яблочных» устройств:

  • iPhone XS и более поздние;
  • iPad Pro (12,9 дюйма) и более поздние;
  • Первое поколение 11-дюймового iPad Pro и более поздние;
  • Третье поколение iPad Air и более поздние;
  • iPad mini пятого поколения и более поздние.

Корень CVE-2024-1580 кроется в библиотеке с открытым исходным кодом — dav1d AV1 (используется для декодирования AV1-видео на многих платформах и девайсах), допускающей запись за пределами границ.

В iOS и iPadOS от бреши страдают два компонента: фреймворк Core Media, предназначенный для обработки мультимедийных данных, и имплементация WebRTC.

Чтобы полностью избавить пользователей от CVE-2024-1580, Apple выпустила патчи для браузера Safari, а также систем macOS Sonoma и VenturavisionOS. За информацию об уязвимости корпорация поблагодарила исследователи из команды Google Project Zero.

Есть мнение, что Apple не сразу опубликовала разъяснения к апдейтам именно потому, что разработчики считают CVE-2024-1580 опасной проблемой.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru