Вышел Google Chrome 112 с патчами для 16 уязвимостей

Вышел Google Chrome 112 с патчами для 16 уязвимостей

Вышел Google Chrome 112 с патчами для 16 уязвимостей

На этой неделе вышел Google Chrome 112 с патчами для 16 уязвимостей. О подавляющем большинстве проблем сообщили сторонние исследователи в области кибербезопасности. Google выплатила $26 000 за информацию о багах.

Две устранённые бреши получили высокую степень риска, девять — среднюю, оставшиеся пять — низкую.

Наиболее опасный баг отслеживается под идентификатором CVE-2023-1810, затрагивает Visuals и связан с переполнением буфера. Сообщивший о нём специалист получил пять тысяч долларов от «корпорации добра».

«CVE-2023-1810 позволяет скомпрометированному рендеру зарегистрировать множество сущностей с одним FrameSinkId», — описывает проблему Майк Уолтерс из Action1.

Следующей по важности идёт use-after-free в Frames, которой присвоили трекер CVE-2023-1811. За неё Google выплатила 3 тыс. долларов. Уолтерс отмечает, что эксплуатация этой дыры может привести к сбою в работе софта или к удалённому выполнению кода.

Среди багов средней степени риска отмечаются доступ за пределами памяти, некорректные имплементации, неправильная обработка входящих данных, ошибки в пользовательском интерфейсе и ряд проблем переполнения буфера.

Банки Беларуси с 1 июля будут собирать геолокацию клиентов

С 1 июля банки в Беларуси обязаны использовать антифрод-системы и собирать цифровой отпечаток устройств клиентов. В этот набор данных войдут модель устройства, версия ПО, параметры браузера, настройки системы и геолокация.

О новых требованиях сообщает БЕЛТА со ссылкой на Национальный банк Беларуси. Регулятор утвердил стандарт «Банковская деятельность. Обеспечение информационной безопасности. Цифровой отпечаток устройства».

Логика простая: если мошенник украл пароль, это еще не значит, что он сможет спокойно войти в онлайн-банк и вывести деньги. При первом входе клиента в систему дистанционного обслуживания банк формирует эталонный цифровой отпечаток устройства.

Если позже кто-то попытается войти с другого устройства, с подозрительными параметрами или подмененной геолокацией, антифрод-система должна заметить несоответствие и остановить операцию.

Доступ в таком случае будет заблокирован до подтверждения со стороны клиента. При этом количество устройств не ограничено: у пользователя может быть несколько эталонных отпечатков, например для смартфона, ноутбука и планшета.

Отдельно подчеркивается, что банки должны не просто уведомить клиентов о сборе геолокации, но и получить их разрешение. Собранные данные будут храниться в зашифрованном виде, не передаваться третьим лицам и использоваться только для антифрод-проверок при входе в банковские сервисы.

По сути, белорусские банки переходят к более жесткой проверке не только того, кто вводит пароль, но и откуда, с какого устройства и в каких условиях это происходит. Для клиентов это может добавить лишний шаг подтверждения, зато мошенникам станет заметно сложнее выдавать свой вход за обычную активность владельца счета.

RSS: Новости на портале Anti-Malware.ru