Linux-версия Mozilla VPN некорректно проверяет аутентификацию

Linux-версия Mozilla VPN некорректно проверяет аутентификацию

Linux-версия Mozilla VPN некорректно проверяет аутентификацию

Один из разработчиков Linux-дистрибутива SUSE указал на опасную уязвимость в клиенте Mozilla VPN для «пингвина». Эксплуатация бреши может позволить перенаправить сетевой трафик на сторонние ресурсы и вмешаться в текущие настройки VPN.

В посте на Openwall специалист Матиас Герстнер объясняет, что проблема кроется в некорректной проверке аутентификации. Баг затрагивает версию v2.14.1, которая вышла 30 мая.

Фактически уязвимость может использовать любой пользователь, что позволит ему перенаправить трафик «на сторону», вмешаться в конфигурацию VPN и многое другое. Особую опасность брешь представляет для компьютеров, которыми пользуются несколько людей.

По словам Герстнера, проблему удалось обнаружить в тот момент, когда один из сотрудников пытался добавить клиент Mozilla VPN в систему openSUSE Tumbleweed. Софт изучила команда безопасности SUSE (что является стандартной процедурой) и обратила внимание на службу D-Bus, запущенную от имени root и с политикой Polkit.

Polkit представляет собой API для аутентификации привилегированных программ. Как выяснила команда безопасников SUSE, процесс mozillavpn linuxdaemon содержал некорректную логику аутентификации.

После этого Герстнер обнаружил, что проверка аутентификации реализована по странной логике: код «просит» Polkit определить, авторизована ли служба Mozilla VPN D-Bus (а не конкретный пользователь) осуществлять определенное действие. Поскольку D-Bus работает с правами root, проверка аутентификации всегда возвращает утвердительное значение.

Таким образом, проверку пройдет любой пользователь и любой аккаунт, невзирая на права.

ChatGPT начал возвращаться в WhatsApp после давления Евросоюза

ChatGPT снова заработал в WhatsApp (принадлежит корпорации Meta, признанной экстремисткой и запрещённой в России) у части пользователей. Похоже, европейским регуляторам всё-таки удалось слегка отодвинуть Meta от двери, которую компания раньше захлопнула перед чужими ИИ-ботами.

OpenAI впервые запустила ChatGPT в WhatsApp ещё в 2024 году. Пользователи могли переписываться с нейросетью как с обычным контактом — без отдельного приложения и лишних настроек.

Но затем Meta активно раскатала собственного ассистента по WhatsApp, Facebook и Instagram (принадлежат корпорации Meta, признанной экстремисткой и запрещённой в России), а в 2025 году изменила правила Business API. Новые условия фактически запретили сторонним компаниям распространять через платформу универсальные чат-боты. ChatGPT и другие конкуренты быстро оказались за бортом.

Евросоюзу такая зачистка не понравилась. Еврокомиссия начала антимонопольное расследование, заподозрив Meta в том, что она использует доминирующее положение WhatsApp для расчистки рынка под собственного ИИ. В итоге компанию обязали снова допустить конкурирующих чат-ботов к Business API.

Теперь, по данным Tweakers, ChatGPT вновь отвечает внутри WhatsApp. Правда, пока не у всех: одни пользователи могут добавить бота и нормально с ним общаться, у других контакт появляется, но упорно молчит.

Платная подписка ChatGPT для доступа не требуется. Неравномерный запуск может означать, что OpenAI возвращает интеграцию постепенно и пока тестирует её в отдельных регионах.

Meta и OpenAI официально связь возвращения ChatGPT с решением Евросоюза не подтвердили.

RSS: Новости на портале Anti-Malware.ru