Google рекомендует обновить Chrome из-за дыры в движке Blink

Google рекомендует обновить Chrome из-за дыры в движке Blink

Google настоятельно рекомендует пользователям Chrome обновить браузер, так как в его движке была найдена опасная уязвимость, позволяющая удаленному злоумышленнику выполнить код, получить доступ к важной информации и запустить DoS-атаки.

Проблема безопасности, получившая идентификатор CVE-2019-5869, затрагивает Blink, движок с открытым исходным кодом, как раз используемый в Chrome.

Как известно, движки представляют собой сердце каждого браузера, именно они отвечают за отображение пользователю HTML-документов и веб-страниц. Запущенный в далеком 2013 году Blink был специально разработан как часть проекта Chromium.

Обнаруженная недавно брешь позволяла атакующему выполнить произвольный код в контексте браузера. Благодаря этому злоумышленник мог собрать конфиденциальную информацию, обойти различные меры безопасности и даже провоцировать denial-of-service (DoS).

«Возможности атакующего, использующего эту уязвимость, зависели от прав, которыми располагало приложение. В случае успешной атаки преступник мог устанавливать программы, просматривать, изменять или удалять данные и даже создавать новые аккаунты с полными правами пользователя», — пишет некоммерческая организация «Центр интернет-безопасности».

Для эксплуатации уязвимости жертву достаточно было заманить на специальную веб-страницу.

С выпуском версии Google Chrome 76.0.3809.132 проблема безопасности перестала представлять угрозу. Однако стоит помнить, что все версии до неё по-прежнему содержат вышеописанную брешь.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

DEF CON: Boeing 747 получает критические обновления через дискеты

На конференции DEF CON 2020 специалисты из Pen Test Partners сообщили об интересной особенности пассажирских самолётов Boeing 747 — они получают критические обновления софта через дискеты. К такому выводу эксперты пришли после изучения одного из воздушных судов.

Как правило, авиалайнеры недоступны исследователям для подробного изучения, однако у Pen Test Partners появилась уникальная возможность пробраться на борт.

«Авиалайнеры очень дорогие, поэтому даже если вы полны решимости и желания, производители вряд ли позволят вам провести тестирование на проникновение (пентест)», — объясняет Алекс Ломас из Pen Test Partners.

Однако Ломас успел отметить кое-какие интересные детали, пока находился на борту самолёта. В частности, специалист указал на загрузчик баз данных навигатора. Олдскульным пользователям наверняка он покажется знакомым.

 

Другими словами, данные навигации обновляются на Boeing 747 посредством 3,5-дюймовых дискет. Здесь стоит напомнить, что данную модель самолёта разработали в конце 90-х.

«Базу данных необходимо обновлять каждые 28 дней. Для инженеров это настоящая головная боль», — продолжает Ломас.

На конференции самый популярный вопрос, адресованный Ломасу, звучал примерно так: могут ли взломать авиалайнер сидящие на дешёвых местах хакеры. Например, через систему развлечений на борту (IFE).

«Насколько мы можем судить на данный момент, между IFE и основными системами самолёта нет двусторонней связи. То есть взломать самолёт через IFE — крайне нетривиальная задача», — ответил эксперт.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru