В Сети доступны два эксплойта для бреши Windows, о которой сообщило АНБ

В Сети доступны два эксплойта для бреши Windows, о которой сообщило АНБ

Исследователи в области кибербезопасности опубликовали PoC-код для эксплуатации недавно пропатченной уязвимости в Windows. Именно об этой проблеме АНБ США уведомило Microsoft на днях.

Брешь получила идентификатор CVE-2020-0601, а отдельные эксперты придумали ей имя — CurveBall.

Уязвимость затрагивает компонент операционной системы CryptoAPI (Crypt32.dll), отвечающий за обработку криптографических операций в ОС.

По словам специалистов, основная причина появления этого бага — некорректная имплементация эллиптической криптографии в коде, написанном разработчиками Microsoft. Используя эту брешь, злоумышленник может успешно провести атаку «Человек посередине», вклиниваясь в HTTPS-соединения.

Вчера эксперт Салим Рашид сообщил, что ему удалось создать PoC-код, позволяющий подделать TLS-сертификаты и замаскировать вредоносные сайты под легитимные.

После этого свои эксплойты опубликовали Kudelski Security и специалист под псевдонимом Ollypwn.

Напомним, что Агентство национальной безопасности (АНБ) США сообщило Microsoft о данной уязвимости в операционной системе Windows. Корпорация из Редмонда присвоила этой проблеме безопасности высокую степень риска.

Ещё раз напоминаем о необходимости установить все выпущенные Microsoft патчи. Это поможет уберечь вашу систему от возможных атак.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Google будет выпускать новые версии Chrome каждые 4 недели (вместо 6)

Google решила выпускать новые версии браузера Chrome чаще. Теперь важные релизы интернет-обозревателя будут выходить каждые четыре недели (сейчас они выходят каждые шесть недель), а необходимые патчи — каждые две недели.

В этом есть определённый смысл, поскольку в прошлом году Mozilla внесла аналогичные изменения в периодичность выпуска новых версий Firefox. Таким образом, пользователи будут чаще получать новые функции.

«Сначала мы сократили срок выпуска обновлений безопасности, чтобы избежать чрезмерно большого "зазора патчинга" [термин, описывающий временной промежуток между сообщением об уязвимости и доставкой патча пользователям — прим. AM], а теперь решили, что неплохо было бы сократить и время выхода версий Chrome с новыми функциями», — объясняет Google.

Тем не менее разработчики признали, что далеко не всем подойдёт такой ритм, особенно это касается, конечно же, корпоративной среды. Именно для организаций Google решила добавить опцию Extended Stable, которая позволит получать новые версии браузера каждые восемь месяцев — в два раза реже.

Что касается патчей, устраняющих различные уязвимости, то для предприятий срок их доставки останется таким же — каждые две недели. Однако интернет-гигант подчеркнул, что эти апдейты не принесут новых функций.

Новые правила выпуска версий браузера вступят в силу с выходом Chrome 94, релиз которой ожидается в третьем квартале 2021 года.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru