Apple выплатила $280 000 за критические дыры в своей инфраструктуре
Главная » Новости

Apple выплатила $280 000 за критические дыры в своей инфраструктуре

Олег Иванов 09 Октября 2020 - 12:13
...
Apple выплатила $280 000 за критические дыры в своей инфраструктуре

На протяжении нескольких месяцев корпоративная сеть Apple находилась под угрозой взлома, в результате которого злоумышленники могли выкрасть конфиденциальные данные миллионов клиентов или выполнить вредоносный код на смартфонах и компьютерах пользователей.

О проблеме рассказал исследователь в области кибербезопасности Сэм Карри, специализирующийся на защите веб-сайтов.

По словам Карри, его команде удалось найти в общей сумме 55 уязвимостей, 11 из которых присвоили статус критических. Самые опасные бреши позволяли получить контроль над всей инфраструктурой Apple и, как следствие, выкрасть личные электронные письма, данные iCloud и другую конфиденциальную информацию.

Список из 11 критических уязвимостей выглядит так:

  • Возможность удалённого выполнения кода после обхода авторизации и аутентификации.
  • Получение доступа уровня глобального администратора и обход аутентификации из-за некорректно настроенных разрешений.
  • Возможность внедрения команд с помощью необработанного аргумента в имени файла.
  • Удалённое выполнение кода из-за открытого инструмента администратора.
  • Утечка памяти, приводящая к компрометации аккаунтов сотрудников и пользователей. Также позволяет получить доступ к внутренним приложениям.
  • SQL-инъекция из-за необработанного параметра ввода.
  • Червеобразная XSS-брешь, позволяющая атакующему полностью взломать iCloud-аккаунт жертвы.
  • SSRF-уязвимость, открывающая доступ к внутреннему исходному коду.
  • «Слепая» XSS, позволяющая злоумышленнику взломать сайт поддержки.
  • Уязвимость выполнения кода PhantomJS на стороне сервера.

Apple устранила все перечисленные проблемы безопасности после того, как Карри сообщил о них. Команда исследователей получила $280 000, с отчётом специалистов можно ознакомиться здесь.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Госдума приняла закон о криминализации дропов
Яков Шпунт 17 Июня 2025 - 15:05
МошенничествоДроп (дроппер)Соответствие законодательству РФ Домашние пользователиГосударство
Госдума приняла закон о криминализации дропов

Госдума 17 июня приняла в двух чтениях закон, вводящий уголовную ответственность за деятельность дропов — лиц, которые передают свои банковские или иные платёжные средства мошенникам.

Законопроект был внесён правительством 2 мая. Подробности новых норм стали известны за неделю до этого. Экспертное сообщество в целом положительно оценило инициативу.

Принятый закон дополняет статью 187 Уголовного кодекса РФ («Неправомерный оборот средств платежа») новым составом. Гражданам, передающим свои карты за вознаграждение для проведения мошеннических операций, может грозить штраф от 100 до 300 тысяч рублей (или в размере дохода за 3–12 месяцев), до 480 часов обязательных работ, исправительные работы сроком до двух лет либо ограничение свободы на тот же срок.

Аналогичные меры ответственности предусмотрены и для тех, кто использует собственные платёжные средства по указанию или в интересах другого лица.

Более строгое наказание предусмотрено в случае, если передача карты осуществляется из корыстных побуждений лицу, не являющемуся клиентом банка. В этом случае может грозить штраф от 300 тысяч до 1 миллиона рублей, принудительные работы сроком до четырёх лет или лишение свободы до шести лет с дополнительным штрафом от 100 до 500 тысяч рублей (либо в размере дохода за 1–2 года).

Наибольшая ответственность предусмотрена за неправомерные операции с чужими платёжными средствами — банковскими картами или электронными кошельками. Это может повлечь принудительные работы сроком до пяти лет или штраф до 1 миллиона рублей.

Под неправомерными операциями подразумеваются «переводы денежных средств, выдача и (или) получение со счёта наличных, зачисленных на счёт клиента оператора по переводу средств без предусмотренных законом, иными правовыми актами или сделкой оснований».

«Такое решение ограничит преступников в возможностях обналичивания похищенных денег. Это позволит более эффективно защищать граждан и их средства, — отметил председатель Госдумы Вячеслав Володин на пленарном заседании. — Мы с вами вводим жёсткое наказание в отношении тех, кто передаёт злоумышленникам свою карту, причём делает это осознанно, получая за это деньги».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Архитектура работы InfoWatch ARMA Industrial Firewall запатентована в ЕАПО
Новость
Архитектура работы InfoWatch ARMA Industrial Firewall запате...
Innostage CyberART зафиксировал за начало 2025 года 297 утечек данных
Новость
Innostage CyberART зафиксировал за начало 2025 года 297 утеч...
Уязвимы почти 90% популярных в России мобильных приложений
Новость
Уязвимы почти 90% популярных в России мобильных приложений

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.