NPM-пакет с 3 млн еженедельных установок содержал опасную уязвимость

NPM-пакет с 3 млн еженедельных установок содержал опасную уязвимость

NPM-пакет с 3 млн еженедельных установок содержал опасную уязвимость

Популярный NPM-пакет «pac-resolver» затрагивала серьёзная уязвимость, приводящая к удалённому выполнению кода. Учитывая количество загрузок этого пакета — более трёх миллионов только за одну неделю, — масштабы бреши можно назвать огромными.

В результате проблема затрагивала приложения, использующие Node.js и полагающиеся на зависимости с открытым исходным кодом.

Согласно описанию разработчиков, pac-resolver представляет собой модуль, допускающий использование файлов конфигурации, написанных на JavaScript, и генерирующий специальную функциональность приложения. С помощью этой функции пользователь может настроить определённые домены на использование прокси.

Опасную уязвимость в пакете pac-resolver обнаружил Тим Перри, который также уточнил, что выявленный баг позволяет злоумышленнику запустить произвольный код в локальной сети (в процессе Node.js). Уязвимость получила собственный идентификатор — CVE-2021-23406.

По словам Перри, корень проблемы должен быть как-то связан с обработкой файлов формата Proxy Auto-Config (PAC). Эти файлы состоят из JavaScript-кода, с помощью которого указывается конфигурация прокси.

Тим Перри опубликовал PoC-код для обнаруженной уязвимости, наглядно демонстрирующий, как потенциальный атакующий может выбраться за пределы песочницы модуля. Брешь особенно актуальна для версий pac-resolver ниже 5.0.0.

 

К счастью разработчики уже выпустили соответствующий патч, который можно установить с версией 5.0.0. Теперь в модуле используется более надёжный механизм песочницы.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

На Android 16 не ставятся апдейты системы Google Play, фикс уже готовят

Если вы на Android 16 и не можете установить обновление системы Google Play — вы не один. У многих пользователей, включая владельцев Pixel 9a, при попытке обновиться появляется ошибка «Failed to update» — установка просто обрывается на полпути.

Один из авторов Android Authority тоже с этим столкнулся: при нажатии кнопки «Обновить» загрузка начинается, вроде всё идёт нормально… и вдруг — ошибка.

Сначала казалось, что это просто сбой конкретной версии апдейта. Но потом стало ясно, что это массовая проблема, особенно у тех, кто пользуется Android 16 или сборками QPR (Quarterly Platform Release).

Хорошая новость — Google уже в курсе и подтвердила, что проблема действительно есть. Как говорит официальная поддержка, сбой затрагивает часть устройств на Android 16 и Android 16 Beta, и решение уже найдено. Обещают включить фикс в одно из ближайших обновлений системы Google Play.

Так что сбрасывать телефон до заводских настроек не нужно — просто подождите апдейта. Google выкатит его автоматически. Если не уверены, где искать обновления, откройте:
Настройки Безопасность и конфиденциальность Система и обновления Обновление системы Google Play.

Будем надеяться, что всё поправят быстро — особенно с учётом того, что июльское обновление, судя по всему, содержит полезные улучшения.

Теперь остаётся только немного подождать.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru