Twitter хранит личные сообщения удаленных аккаунтов дольше положенного

Twitter хранит личные сообщения удаленных аккаунтов дольше положенного

Исследователи выяснили, что социальная сеть Twitter хранит личные сообщения чуть дольше, чем следует. В частности, были обнаружены сообщения давно деактивированных аккаунтов. Оказалось, что удалить свою информацию с серверов Twitter довольно сложно, хотя правила соцсети гласят, что деактивированные аккаунты будут удалены вместе со всеми данными.

Чтобы оказать содействие правоохранительным органам, Twitter какое-то время сохраняет твиты и личные сообщения пользователей социальной сети, которые решили деактивировать свои учетные записи.

Однако исследователи обнаружили личные сообщения, которые принадлежат уже давно деактивированным аккаунтам. Таким образом, социальная платформа явно сохраняет переписку пользователей дольше положенного.

Официальные представители Twitter отказались комментировать данное недоразумение.

А в декабре британский исследователь в области кибербезопасности рассказал об уязвимости социальной платформы Twitter. Брешь позволяла злоумышленникам отправлять твиты, посылать личные сообщения, публиковать картинки и видео от имени любого пользователя. Более того, зная, как использовать эту уязвимость, атакующий мог отключить настройки безопасности аккаунта.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Уязвимость пинг-службы FreeBSD позволяет захватить контроль над системой

Разработчики FreeBSD выпустили обновления, устранив критическую уязвимость в ping (сервис в составе ОС базовой комплектации). Данная проблема грозит удаленным выполнением стороннего кода с правами root.

Уязвимость CVE-2022-23093 (9,8 балла CVSS) связана с возможностью переполнения буфера при обработке входящих ICMP-сообщений (ответов с удаленных хостов). Как оказалось, функция pr_pack(), копирующая заголовки IP и ICMP в выделенные области памяти, не учитывает возможное присутствие дополнительных заголовков (например, в пакете ошибок) и в итоге может перезаписать до 40 байтов данных в стеке.

Переполнение буфера может привести к отказу программы, а также позволяет загрузить и исполнить вредоносный код в контексте текущего процесса и с правами учетной записи, из-под которой он запущен. Для отправки и получения ICMP-сообщений (через сырые сокеты) утилите ping нужны высокие привилегии, поэтому она устанавливается с флагом setuid, разрешающим запуск от имени владельца.

Ущерб от эксплойт-атаки в данном случае вряд ли будет велик: ping-процесс запускается в режиме ограниченного взаимодействия с системой. Уязвимости подвержены все поддерживаемые версии FreeBSD; патч включен в состав сборок 13.1-RELEASE-p5, 12.4-RC2-p2 и 12.3-RELEASE-p10.

Заплатки для CVE-2022-23093 получили также файрволы OPNsense, использующие FreeBSD, и UTM-продукт Traffic Inspector Next Generation, основанный на исходниках OPNsense (выпуски 22.7.9 и 1.11.0 соответственно).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru