В состав Chrome 113 включены патчи для 15 уязвимостей

В состав Chrome 113 включены патчи для 15 уязвимостей

В состав Chrome 113 включены патчи для 15 уязвимостей

Второго мая Google анонсировала выпуск новой версии Chrome для десктопных и мобильных устройств. Релизы 113.0.5672.63/64 и 113.0.5672.76/77 содержат множество полезных изменений, а также заплатки для 15 дыр; десять из них обнаружили сторонние исследователи.

Критических уязвимостей и 0-day на сей раз нет (две недели назад разработчики в срочном порядке пропатчили две уязвимости нулевого дня). За новые находки, оцененные как средней и низкой степени опасности, баг-хантерам выплатят премии на общую сумму $30,5 тысяч.

Самая большая награда ($7,5 тыс.) назначена за обнаружение ошибки в реализации Prompts. Проблема CVE-2023-2459 грозит обходом ограничений по разрешениям и допускает удаленный эксплойт с помощью специально созданной HTML-страницы.

Ошибки, допущенные в ходе реализации функциональности, были также найдены в Screen Mode, PictureInPicture и CORS. Уязвимость CVE-2023-2460 в Extensions (находка, оцененная в $5 тыс.) вызвана неадекватной проверкой недоверенного ввода; чуть менее высокой награды (в $4 тыс.) удостоен исследователь, выявивший возможность использования освобожденной памяти в OS Inputs (CVE-2023-2461).

Из нововведений в Chrome стоит отметить неспешную активацию режима сегментирования хранилищ, сервис-воркеров и коммуникационных API как меры защиты от межсайтового трекинга с использованием сторонних каналов (тайминг-атаки, XS-Leaks). Разделение загружаемых ресурсов в привязке к доменам позволяет изолировать сторонние обработчики и препятствует доступу сайтов к данным, по которым с помощью скриптов можно отследить перемещения пользователя в интернете.

МВД предупредило о перехвате СМС-кодов и посоветовало включать биометрию

СМС-код больше не выглядит надежной защитой. МВД России рекомендует пользователям включать двухфакторную аутентификацию с использованием биометрии в банковских приложениях и других сервисах, где такая возможность уже реализована.

Как сообщили ТАСС в пресс-службе ведомства, причина проста: мошенники все чаще находят способы перехватывать СМС-коды, которые используются для подтверждения входа и операций.

Поэтому там, где это возможно, лучше использовать более защищенные механизмы авторизации. Эта рекомендация касается не только банковских приложений, но и портала «Госуслуги».

В МВД напоминают, что получив доступ к учетной записи, злоумышленники фактически получают доступ и к персональным данным пользователя. Именно поэтому в ведомстве призывают никогда не передавать коды подтверждения из сообщений, не хранить учетные данные в непроверенных сервисах и внимательно относиться к тому, где вводятся логин и пароль.

Впрочем, главной проблемой, по мнению МВД, остаются вовсе не технологии. Большинство хищений происходит потому, что пользователи сами сообщают конфиденциальную информацию, поверив мошенникам.

Ведомство также напомнило о классической схеме телефонного мошенничества. Если звонящий представляется сотрудником банка, полиции, ФСБ или другого ведомства, требует срочно перевести деньги на безопасный счет, назвать код из СМС или установить какое-либо приложение, разговор следует немедленно прекратить.

В МВД подчеркивают: настоящие сотрудники банков и государственных органов не запрашивают по телефону ПИН-коды, CVV-коды банковских карт и коды подтверждения из СМС. Если такой разговор начался, почти наверняка на другом конце провода мошенник.

RSS: Новости на портале Anti-Malware.ru