0-day уязвимость затрагивает все версии phpMyAdmin, патча пока нет

0-day уязвимость затрагивает все версии phpMyAdmin, патча пока нет

Исследователь в области безопасности опубликовал технические детали и proof-of-concept непропатченной 0-day уязвимости в phpMyAdmin. Самая опасная особенность этой бреши — она затрагивает все версии приложения для управления базами данных.

phpMyAdmin — бесплатный инструмент с открытым исходным кодом. Его используют многие сайты для управления базами данных MySQL и MariaDB.

Мануэль Гарсия Карденас, эксперт в области кибербезопасности, обнаружил уязвимость вида CSRF (cross-site request forgery, также ее называют XSRF). Обычно атакующий может использовать такие бреши, чтобы заставить аутентифицированных пользователей выполнить вредоносное действие.

Проблема безопасности получила идентификатор CVE-2019-12922. Ей присвоили средний уровень опасности, так как деструктивные действия бреши довольно ограничены.

Для эксплуатации уязвимости злоумышленник должен отправить специально созданную ссылку атакуемому веб-администратору. Последний при этом должен быть аутентифицирован в панели phpMyAdmin в том же браузере.

«Атакующий легко может создать поддельную гиперссылку, содержащую запрос, который выполнится от лица пользователя. В этом случае открывается возможность для атаки вида CSRF из-за неправильного использования HTTP-метода», — объясняет Карденас.

Эксперт обнаружил уязвимость в июне, после чего передал информацию о ней разработчикам. Поскольку они не уложились в 90-дневный срок, Карденас решил опубликовать технические детали проблемы. Патча в настоящее время не существует.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Принц Саудовской Аравии взломал главу Amazon через WhatsApp

Мухаммед ибн Салман Аль Сауд, наследный принц Саудовской Аравии, смог взломать генерального директора и основателя Amazon Джеффа Безоса. Согласно результатам расследования, инцидент датируется маем 2018 года.

Издание The Guardian, ссылаясь на источники, утверждает, что целью атаки был некая информация, хранящаяся на личном смартфоне Безоса.

Согласно опубликованному отчёту, Аль Сауд и Безос вели неформальную переписку в WhatsApp, когда от принца внезапно пришёл странный видеофайл.

Именно после получения этого файла устройство главы Amazon оказалось взломано, а хранящиеся на нем данные утекли в неизвестном направлении.

По мнению специалистов, отправленное видео эксплуатировало выявленную в мае 2018 года уязвимость в WhatsApp, что позволило установить на устройство шпионскую программу Pegasus.

Посольство Саудовской Аравии в США отвергло всяческие обвинения принца во взломе смартфона Безоса, опубликовав следующий твит:

«Недавние заголовки в СМИ, утверждающее, что принц стоит за взломом телефона господина Безоса, не соответствуют действительности. Мы требуем провести расследование в отношении этих обвинений».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru