Samsung признал, что Galaxy S10 можно разблокировать любым пальцем

Samsung признал, что Galaxy S10 можно разблокировать любым пальцем

Samsung признал, что Galaxy S10 можно разблокировать любым пальцем

Samsung подтвердил наличие проблемы безопасности в инновационном сканере отпечатка пальца, встроенном в дисплей смартфона Galaxy S10. Брешь настолько серьёзна, что любой палец может разблокировать устройство.

Позицию корейского техногиганта передало агентство «Би-би-си». Samsung заявил следующее:

«Мы в курсе некорректной работы сканера отпечатка пальца во флагманских моделях смартфона — S10. Скоро разработчики выпустят программный патч».

Изначально большинство любителей техники хвалили встроенный в дисплей Galaxy S10 сканер отпечатков. Людям пришёлся по душе новый подход — сканер не занимал дополнительное место и выглядел действительно современно.

Однако чуть позже стало ясно, что новинка ещё не совсем готова к выходу рынок: был обнаружен ряд серьёзных недостатков, которые предстояло устранить с помощью патчей.

Одним из последних изъянов стал конфликт сканера отпечатков с различными защитными материалами для дисплея смартфона. Считыватель смущал небольшой зазор, неизбежно возникающий между экраном и защитой.

В результате исследователи выяснили, что дешевая защитная плёнка, заказанная на eBay, может разом нивелировать систему безопасности смартфона Samsung Galaxy S10.

Фактически из-за конфликта пленки и сканера разблокировать устройство можно было абсолютно любым пальцем. Конечно, это просто катастрофа с точки зрения обеспечения безопасности личных и финансовых данных пользователей.

Хорошо, что Samsung признал ошибку и готов исправить её. Пользователям только остаётся дождаться патча, а потом оперативно установить его.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Опасная уязвимость в PHPWord: атакующий мог читать файлы на сервере

В популярной библиотеке PHPWord, которую используют для работы с текстовыми документами в PHP, обнаружили уязвимость. Проблема оказалась не в ней напрямую, а в её зависимой библиотеке Math, которая отвечает за обработку математических формул.

Недоработка, которую обнаружил Александр Журнаков из Positive Technologies, могла позволить злоумышленнику получить доступ к локальным файлам на сервере или отправлять запросы от его имени.

Всё зависело от того, как именно библиотека используется в приложении. Например, если через веб-интерфейс был доступ к загрузке ODF-файлов, атакующий мог бы загрузить вредоносный документ и — при определённых условиях — считать содержимое конфигурационных файлов. А там и до административного доступа недалеко.

Уязвимость получила идентификатор CVE-2025-48882 и оценку 8,7 балла по шкале CVSS 4.0 — это высокий уровень опасности. Проблема затрагивала Math версии 0.2.0 и, соответственно, PHPWord начиная с версии 1.2.0-beta.1.

Для защиты достаточно обновить Math до версии 0.3.0 и поставить PHPWord 1.4.0, где уже обновлён список зависимостей. Если по каким-то причинам это сделать нельзя, есть обходной вариант: запретить загрузку ODF-файлов, если приложение поддерживает их обработку.

По словам экспертов из Positive Technologies, потенциальный ущерб от такой уязвимости полностью зависит от контекста — в каких условиях и для чего используется библиотека. В некоторых случаях всё могло бы ограничиться чтением конфигурации, а в других — дать доступ к внутренней сети через SSRF-атаки.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru