Google закрыла 10 дыр в Chrome 107 и выплатила исследователям $45 000

Google закрыла 10 дыр в Chrome 107 и выплатила исследователям $45 000

На этой неделе Google выпустила уже 107-ю версию браузера Chrome. Разработчики устранили десять уязвимостей, включая шесть опасных брешей, о которых компании сообщили сторонние исследователи в области кибербезопасности.

Четыре уязвимости высокой степени риска связаны с ошибкой использования динамической памяти (use-after-free). За их обнаружение Google заплатила экспертам в общей сложности 45 тысяч долларов.

Наиболее опасный баг — CVE-2022-3885 — затрагивает JavaScript- и WebAssembly-движок V8. Следующая по степени риска — CVE-2022-3886, которую нашли в компоненте Chrome для распознавания речи. За её обнаружение специалист получил $10 000.

Ещё одна use-after-free, затрагивающая компоненты Chrome Web Workers и WebCodecs, принесла исследователям 7 тысяч долларов.

Оставшиеся две опасные бреши в Chrome — CVE-2022-3889 (несоответствие используемых типов данных в движке V8) и CVE-2022-3890 (переполнение буфера в Crashpad) — также были закрыты последним апдейтом.

Всем пользователям советуем поставить патч. Номер актуальной сборки Chrome для macOS и Linux — 107.0.5304.110, для Windows — 107.0.5304.106/107.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

PyPI приостановил регистрацию новых пользователей из-за вредоноса

Популярный репозиторий Python Package Index (PyPI) ограничил возможность регистрации новых пользователей после масштабной вредоносной кампании по распространению трояна, похищающего данные.

PyPI — одно из первых мест, куда идут разработчики на Python, пытаясь найти нужные пакеты. Из-за популярности репозиторий не раз становился объектом внимания киберпреступников.

Именно такую кампанию злоумышленники запустили на днях, из-за чего администраторам PyPI пришлось приостановить регистрацию новых пользователей на площадке.

 

О кибероперации также написали исследователи из Checkmarx. По их словам, атакующие сразу начали с загрузки 365 пакетов, чьи имена были замаскированы под легитимные проекты.

Все злонамеренные пакеты включали вредоносный код в файле «setup.py», который выполнялся в процессе установки. Этот код пытается получить дополнительный пейлоад с удалённого сервера.

Для ухода от детектирования вредонос зашифрован с помощь модуля Fernet, а URL командного центра собирается динамически при необходимости.

Конечный пейлоад представляет собой троян, ворующий данные пользователей, сохранённые в браузерах: логины и пароли, cookies и крипторасширения.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru