Уязвимости Meetup позволяли получить контроль над группами

Уязвимости Meetup позволяли получить контроль над группами

Не только у Zoom есть проблемы безопасности. На днях уязвимости обнаружили в популярном сервисе для видеоконференций — Meetup. В случае успешной эксплуатации атакующий мог получить доступ к аккаунтам миллионов пользователей.

Бреши нашли специалисты компании Chechmarx. По их словам, это связка из уязвимостей XSS и CSRF, позволяющая получить права администратора на атакуемом сайте.

Другими словами, злоумышленники смогут не только отменять или модифицировать конференции, но и перенаправлять платежи через PayPal.

Благодаря существующим лазейкам атакующие могли внедрить вредоносный скрипт в посты, публикующиеся в разделе обсуждений Meetup. Сам скрипт не будет виден рядовым пользователям, однако преступники получат возможность запускать несанкционированные команды.

Хуже всего, что уязвимости можно использовать для червеобразных атак. То есть злоумышленник в теории мог скомпрометировать весь сайт, получив изначально доступ к группам и платежам.

Разработчики Meetup уже выпустили патч, поскольку команда Checkmarx заранее предупредила их о наличие бреши.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Минэкономики не понравился порядок импортозамещения от Минцифры

Министерству экономики России частично не понравился порядок, разработанный Минцифры для перевода объектов критической информационной инфраструктуры (КИИ) на отечественный софт и оборудование. По мнению Минэкономики, на сегодняшний день существуют риски негативного воздействия на функционирование критически важных ИТ-сетей.

Соответствующий отзыв Минэкономики разместило на Федеральном портале проектов нормативных правовых актов (regulation.gov.ru). Суть претензий ведомства кроется в избыточных требованиях, которые могут привести к нежелательным расходам и негативно сказаться на работе объектов КИИ.

Разработанный Минцифры проект является основным документом, регулирующим перевод российских банков, государственных органов и оборонных предприятий на отечественные аналоги зарубежных решений. Министерство также установило сроки, в которые объекты КИИ должны уложиться: российский софт надо установить до января 2023 года, а оборудование — до января 2024-го.

Представители Минэкономики, изучившие проект Минцифры, пришли к выводу, что в документе недостаточно чётко прописаны критерии для анализа иностранного софта и оборудования, которое в настоящее время используют российские компании.

Например, совершенно не учитывается разница в стоимости, сроки поставки программ и аппаратных составляющих. В результате Минэкономики предлагает действовать поэтапно, изначально учитывая сроки поставки российского оборудования. Также в расчёт стоит брать значимость объектов КИИ.

Пресс-служба Минэкономики отметила изданию «Коммерсант», что в целом ведомство поддерживает идею перевести объекты КИИ на отечественный софт и оборудование.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru