Устройства Dell, HP и Lenovo используют дырявые версии OpenSSL

Устройства Dell, HP и Lenovo используют дырявые версии OpenSSL

Устройства Dell, HP и Lenovo используют дырявые версии OpenSSL

Анализ прошивки устройств от Dell, HP и Lenovo выявил наличие устаревших версий криптографической библиотеки OpenSSL. Это создает дополнительные риски для цепочки поставок.

EFI Dev Kit II (EDK II), как известно, идет в комплекте с собственным криптографическим пакетом CryptoPkg, использующим службы проекта OpenSSL. Специалисты компании Binarly изучили прошивку устройств Lenovo Thinkpad и пришли к выводу, что в них фигурируют три разные версии OpenSSL: 0.9.8zb, 1.0.0a и 1.0.2j, последняя из которых была выпущена в 2018 году.

Более того, один из функционирующих модулей — InfineonTpmUpdateDxe — связан с OpenSSL версии 0.9.8zb, релиз которой состоялся 4 августа 2014 года.

«Модуль InfineonTpmUpdateDxe отвечает за обновление прошивки Trusted Platform Module (TPM) на чипе Infineon», — пишет Binarly в отчете.

 

«Такая ситуация ярко отражает проблему цепочки поставок со сторонними зависимостями. Как правило, такие зависимости не получают патчей даже для критических уязвимостей».

К слову, некоторые прошивки Lenovo и Dell задействуют ещё более старую версию — 0.9.8l, которая вышла 5 ноября 2009 года. У HP наблюдается практически такая же история: используется версия библиотеки под номером 0.9.8w, которой десять лет.

Исследователи из Binarly также выделили уязвимые места в Software Bill of Materials (SBOM), возникшие в результате интеграции скомпилированных модулей в прошивке.

В начала ноября мы сообщали, что разработчики OpenSSL устранили распиаренные уязвимости, но всё оказалось не так страшно, как эксперты предполагали изначально.

AM LiveКак эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности

В AppStore вновь появилось приложение Сбербанка

В магазине приложений Apple появилось мобильное приложение «Финансы Онлайн» — обновлённый вариант онлайн-банка Сбера. В кредитной организации советуют установить его как можно быстрее, напоминая, что предыдущая версия продержалась в App Store всего 11 часов.

О запуске приложения для iPhone и iPad сообщили в самом банке. Для входа можно использовать данные из ранее установленных версий.

В новом приложении появилась расширенная функциональность. В Сбере выделяют несколько ключевых улучшений:

  • Обновлённая работа системы бесконтактных платежей Вжух: добавлена возможность использовать Bluetooth при отсутствии интернета, улучшена совместимость с терминалами Сбербанка.
  • Полностью переработан раздел «Платежи», теперь он стал более структурированным.
  • Приложение интегрировано с нейросетью GigaChat.
  • Появилось больше возможностей для настройки интерфейса.

«В прошлый раз приложение банка для iPhone продержалось в магазине всего 11 часов, поэтому важно установить обновление как можно раньше, пока оно доступно. Используйте только ссылки из официальных каналов Сбера», — предупредили в банке. Там также отметили, что в офисах готовы помочь установить приложение тем, кто не успеет скачать его самостоятельно.

Тем временем «партизанской» тактикой Сбера активно пользуются и злоумышленники. Вместе с легитимными приложениями в официальные магазины проникали и зловреды, маскирующиеся под сервисы банков, попавших под санкции, включая Сбер, Т-Банк и другие.

AM LiveКак эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности

RSS: Новости на портале Anti-Malware.ru