Вышли патчи для новой RCE-уязвимости в Apache Log4j

Вышли патчи для новой RCE-уязвимости в Apache Log4j

Вышли патчи для новой RCE-уязвимости в Apache Log4j

Разработчики Apache Software Foundation (ASF) выпустили новую серию патчей, которые должны справиться с уязвимостью в Apache Log4j, допускающей удалённое выполнение кода. Фактически это уже пятая брешь, выявленная в популярном инструменте для логирования.

Уязвимость получила идентификатор CVE-2021-44832 и 6,6 балла по шкале CVSS. Согласно опубликованной информации, этот баг затрагивает версии фреймворка от 2.0-alpha7 до 2.17.0.

Представители ASF рекомендуют обновить версию Log4j, объясняя, что атакующие могут создать вредоносный файл конфигурации с помощью JDBC Appender. Для этого у злоумышленников должны быть права на модификацию этого файла.

ASF не отметила экспертов, обнаруживших эту проблему, однако Янив Низри из Checkmarx заявил, что именно он выявил баг и сообщил о нём 27 декабря. Также Низри подчеркнул, что использовать CVE-2021-44832 в атаке куда сложнее, чем изначальную дыру — CVE-2021-44228.

Напомним, что в середине месяца стало известно о второй уязвимости в Log4j — возможности обхода первого патча. На следующий день специалисты начали говорить о третьем баге и параллельной эксплуатации второго.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Обновление Chrome закрывает критический баг в ServiceWorker и Mojo

Google выпустила обновление стабильной версии Chrome для Windows, macOS и Linux, закрыв два серьёзных уязвимости. Теперь браузер обновлён до версий 140.0.7339.127/.128 для Windows, 140.0.7339.132/.133 для macOS и 140.0.7339.127 для Linux.

Главная проблема — критическая уязвимость CVE-2025-10200 в компоненте ServiceWorker.

Это баг типа use-after-free, когда программа обращается к памяти после её освобождения. Такая ошибка позволяет злоумышленникам запускать произвольный код, повышать привилегии или «ронять» приложение.

С учётом того, что ServiceWorker отвечает за работу фоновых процессов — например, пуш-уведомлений и кеширования, — успешная атака могла бы привести к перехвату сессий или внедрению вредоносных скриптов.

Вторая уязвимость — CVE-2025-10201, связана с некорректной реализацией в системе Mojo, которая используется для взаимодействия между процессами Chrome. Ошибка могла дать возможность выйти за пределы песочницы или вызвать сбои в работе браузера.

Пользователям рекомендуется как можно скорее обновить Chrome до последней версии, чтобы исключить риск эксплуатации этих уязвимостей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru