Google устранила в Chrome 0-day, активно эксплуатируемую в атаках

Google устранила в Chrome 0-day, активно эксплуатируемую в атаках

Корпорация Google устранила активно эксплуатируемую 0-day уязвимость в браузере Chrome. Вчера вечером всем пользователям Windows, macOS и Linux должна была прийти версия Chrome 88.0.4324.150, которая и пропатчила опасную дыру.

Уязвимость получила идентификатор CVE-2021-21148 и высокую степень опасности. Представители Google отметили, что им известно о существовании эксплойта, который злоумышленники используют в реальных атаках.

Известно, что о проблеме безопасности сообщил исследователь Маттиас Бьюленс. 24 января 2021 года он направил Google соответствующий отчёт со всеми подробностями относительно выявленного бага.

Чуть позже, 28 января, Microsoft рассказала о северокорейской правительственной кибергруппировке ZINC, которая, предположительно, использовала цепочку эксплойтов для браузера Chrome. По словам корпорации из Редмонда, основными целями злоумышленников стали специалисты в области кибербезопасности.

Одной из брешей, задействованных ZINC, оказалась устранённая вчера 0-day. Согласно описанию, она представляет собой возможность переполнения буфера и затрагивает V8, WebAssembly- и JavaScript-движок.

Как правило, уязвимости переполнения буфера используются для DoS-атак, чтобы привести к сбою в работе программы, однако бреши этого класса могут также позволить атакующим выполнить произвольный код в системе жертвы.

Google не предоставила никаких подробностей относительно кибератак, в которых используется 0-day CVE-2021-21148, но оно и к лучшему — надо убедиться, что большинство пользователей установили вышедший вчера патч.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Let’s Encrypt через два дня отзовёт миллионы сертификатов

Популярный центр сертификации Let’s Encrypt с 28 января 2022 (эта пятница) начинает отзывать сертификаты SSL / TLS, выпущенные за последние 90 дней. Пользователей предупреждают, что эта процедура может затронуть миллионы действующих сертификатов.

Напомним, что некоммерческая организация Let's Encrypt подчиняется Internet Security Research Group (ISRG). Центр сертификации выпускает бесплатные криптографические сертификаты стандарта X.509, обеспечивающие шифрование передаваемых по сети данных.

Сторонние исследователи, изучившие репозиторий Let's Encrypt, проинформировали ISRG о двух проблемах (PDF) в имплементации метода валидации «TLS с использованием ALPN».

Чтобы исправить недостаток, Let’s Encrypt потребовалось вынести два изменения в работу проверки TLS-ALPN-01.

«Все действующие сертификаты, выпущенные с проверкой TLS-ALPN-01 до 26 января 2022 года, будут считаться некорректными. Всё дело в фиксе, который мы выпустили на этой неделе», — объяснили представители центра сертификации.

Таким образом, 28 января около 19:00 Let’s Encrypt начнёт отзывать проблемные сертификаты, которых затронула брешь метода валидации TLS-ALPN-01. По оценкам сотрудников, проблема коснулась менее 1% от всех выпущенных сертификатов.

Учитывая, что активных сертификатов на сегодняшний день насчитывается более 221 млн, один процент на деле может значить миллионы отозванных. НКО обещает уведомить по электронной почте всех, кого коснётся эта процедура.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru