В Сети доступны два эксплойта для бреши Windows, о которой сообщило АНБ

В Сети доступны два эксплойта для бреши Windows, о которой сообщило АНБ

Исследователи в области кибербезопасности опубликовали PoC-код для эксплуатации недавно пропатченной уязвимости в Windows. Именно об этой проблеме АНБ США уведомило Microsoft на днях.

Брешь получила идентификатор CVE-2020-0601, а отдельные эксперты придумали ей имя — CurveBall.

Уязвимость затрагивает компонент операционной системы CryptoAPI (Crypt32.dll), отвечающий за обработку криптографических операций в ОС.

По словам специалистов, основная причина появления этого бага — некорректная имплементация эллиптической криптографии в коде, написанном разработчиками Microsoft. Используя эту брешь, злоумышленник может успешно провести атаку «Человек посередине», вклиниваясь в HTTPS-соединения.

Вчера эксперт Салим Рашид сообщил, что ему удалось создать PoC-код, позволяющий подделать TLS-сертификаты и замаскировать вредоносные сайты под легитимные.

После этого свои эксплойты опубликовали Kudelski Security и специалист под псевдонимом Ollypwn.

Напомним, что Агентство национальной безопасности (АНБ) США сообщило Microsoft о данной уязвимости в операционной системе Windows. Корпорация из Редмонда присвоила этой проблеме безопасности высокую степень риска.

Ещё раз напоминаем о необходимости установить все выпущенные Microsoft патчи. Это поможет уберечь вашу систему от возможных атак.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Популярные фитнес-приложения могут привести к компрометации данных

Исследователи из «Ростелеком-Солар» проанализировали защищённость мобильных приложений, предназначенных для занятий фитнесом. К сожалению, не обошлось без выявленных уязвимостей.

Согласно отчёту (PDF) специалистов, исследование охватывает 16 приложений. Обнаруженные проблемы безопасности, по словам «Ростелеком-Солар», могут привести к утечке персональных данных пользователей.

Из-за пандемии нового коронавируса COVID-19 власти многих стран закрыли фитнес-центры, чтобы предотвратить распространение инфекции. Как следствие, был зафиксирован рост популярности мобильных приложений, помогающих гражданам заниматься физической культурой самостоятельно, не выходя из дома.

В анализе таких сервисов команде «Ростелеком-Солар» помог инструмент Solar appScreener. Результат сканирования показал, что наиболее защищёнными фитнес-приложениями для Android являются Fitness Online и «Тренировки для Дома» (Leap Fitness Group). Поскольку в этом софте не было выявлено ни одной критической уязвимости, эксперты присвоили им 4.1 балла из 5.0.

Гораздо хуже проявило себя приложение NTC от Nike — исследователи нашли целых 12 критических уязвимостей.

Что касается iOS-версий, лучшие показатели продемонстрировало приложение Daily Workouts Fitness Trainer. MiFIT для iOS оказался куда хуже своей Android-версии — целых 209 уязвимостей.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru