Google предупредил об опасной Bluetooth-уязвимости в ядре Linux

Google предупредил об опасной Bluetooth-уязвимости в ядре Linux

Специалисты Google опубликовали подробности опасной уязвимости, затрагивающей Bluetooth-стек в версиях ядра Linux ниже 5.9, поддерживающих BlueZ. 0-click позволяет удалённо выполнить код.

Разработчики выпустили Linux 5.9 несколько дней назад, после чего ряд экспертов, среди которых была корпорация Intel, посоветовали всем обновиться из-за бреши высокой степени опасности — CVE-2020-12351.

«Некорректная проверка ввода в BlueZ позволяет не прошедшему аутентификацию пользователю повысить права», — пишет Intel.

О проблеме безопасности Intel сообщил исследователь из Google Энди Нгуен. Сам интернет-гигант опубликовал на GitHub технические подробности дыры. По словам Нгуена, это уязвимость нулевого клика (0-click), позволяющая удалённо выполнить код на уровне ядра. Эксперт даже записал небольшое видео, демонстрирующее эксплуатацию бреши:

 

Как описали баг другие специалисты, потенциальный злоумышленник, находящийся в радиусе действия Bluetooth и знающий имя устройства жертвы, может выполнить код с самыми высокими привилегиями.

Google опубликовал PoC-код и планирует и дальше освещать детали уязвимости «BleedingTooth» в блоге.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

ПАК «Рутокен» сертифицирован ФСТЭК России по 4 уровню доверия

Успешно завершены испытания программно-аппаратного комплекса аутентификации и хранения информации Рутокен версии 4. В ходе испытаний установлено, что ПАК «Рутокен», разработанный компанией «Актив», соответствует самому высокому уровню доверия для защиты конфиденциальной информации - четвертому.  Сертификация прошла на соответствие требованиям технических условий и руководящих документов по УД4.

ПАК «Рутокен» - первое средство защиты в своём классе, получившее сертификат соответствия согласно Приказу ФСТЭК России от 30 июля 2018 г. №131 и утвержденным им «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий», вступившим в силу с 1 июня 2019 г.

Обновленный сертификат действителен для следующих моделей токенов и смарт-карт Рутокен:

Сертификат подтверждает возможность использовать ПАК «Рутокен» в значимых объектах критической информационной инфраструктуры 1 категории, в государственных информационных системах 1 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных, в информационных системах общего пользования II класса, обрабатывающих информацию ограниченного доступа, в том числе персональные данные, служебную, коммерческую и иные виды конфиденциальной информации.

На данный момент проводятся испытания для продления срока действия данного сертификата до 30 мая 2025 года.

Компания «Актив» информирует о продолжении реализации ПАК «Рутокен», сертифицированных в ФСТЭК России и произведенных до 30 мая 2020 года. Такие устройства можно реализовывать после окончания срока действия сертификата ФСТЭК России. Решения, которые находятся в реестре ФСТЭК России как сертифицированные средства и произведены в период действия сертификата, могут реализовываться после завершения срока действия сертификата ФСТЭК России. Эксплуатация ПАК «Рутокен» разрешена до окончания заявленного срока технической поддержки – 30 мая 2025 года.

«Актив» - первая компания среди производителей аппаратных средств аутентификации, кто получил подобный сертификат. Четвертый уровень доверия  – самый высокий уровень доверия к средствам технической защиты конфиденциальной информации и средствам обеспечения безопасности информационных технологий. Мы наращиваем инвестиции в развитие наших сертифицированных решений. Думаю, что этот сертификат будет полезен многим нашим партнерам и клиентам», - уверен Дмитрий Горелов, коммерческий директор компании «Актив».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru