0-day уязвимость затрагивает все версии phpMyAdmin, патча пока нет

0-day уязвимость затрагивает все версии phpMyAdmin, патча пока нет

Исследователь в области безопасности опубликовал технические детали и proof-of-concept непропатченной 0-day уязвимости в phpMyAdmin. Самая опасная особенность этой бреши — она затрагивает все версии приложения для управления базами данных.

phpMyAdmin — бесплатный инструмент с открытым исходным кодом. Его используют многие сайты для управления базами данных MySQL и MariaDB.

Мануэль Гарсия Карденас, эксперт в области кибербезопасности, обнаружил уязвимость вида CSRF (cross-site request forgery, также ее называют XSRF). Обычно атакующий может использовать такие бреши, чтобы заставить аутентифицированных пользователей выполнить вредоносное действие.

Проблема безопасности получила идентификатор CVE-2019-12922. Ей присвоили средний уровень опасности, так как деструктивные действия бреши довольно ограничены.

Для эксплуатации уязвимости злоумышленник должен отправить специально созданную ссылку атакуемому веб-администратору. Последний при этом должен быть аутентифицирован в панели phpMyAdmin в том же браузере.

«Атакующий легко может создать поддельную гиперссылку, содержащую запрос, который выполнится от лица пользователя. В этом случае открывается возможность для атаки вида CSRF из-за неправильного использования HTTP-метода», — объясняет Карденас.

Эксперт обнаружил уязвимость в июне, после чего передал информацию о ней разработчикам. Поскольку они не уложились в 90-дневный срок, Карденас решил опубликовать технические детали проблемы. Патча в настоящее время не существует.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Сообщения на Android получили сквозное шифрование (E2EE)

Google ввела в эксплуатацию функцию сквозного шифрования (E2EE) во встроенном приложении Messages (Сообщения) для Android. С ноября бета-тестеры активно «щупали» E2EE в Messages, а теперь нововведение доступно всем пользователям.

На сегодняшний день сквозное шифрование доступно только в личных чатах, групповые пока обделены E2EE. При этом оба участника переписки должны активировать функции RCS для использования E2EE.

Как узнать, что вы ваши сообщения защищены сквозным шифрованием? Всё просто — вы должны видеть иконку замка на кнопке «Отправить». В этом случае можете не беспокоиться, что третьему лицу станет доступна ваша переписка.

Функция E2EE постепенно рассылается всем пользователям в виде обновления для Android. Помимо этого, разработчики доработали и другую функциональность приложения Messages: появилась возможность закреплять важные сообщения.

 

Также в Android добавили систему предупреждения о землетрясениях для большего числа стран, новые эмодзи, Android Auto и Voice Access.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru