В PuTTY нашли уязвимость, позволяющую восстановить закрытые ключи

Екатерина Быстрова 16 Апреля 2024 - 16:00

...

В PuTTY нашли уязвимость, позволяющую восстановить закрытые ключи

Разработчики PuTTY, популярного SSH- и Telnet-клиента, уведомили пользователей о выявленной уязвимости, затрагивающей версии софта с 0.68 по 0.80. В случае эксплуатации эта брешь позволяет вытащить закрытые ключи NIST P-521 (ecdsa-sha2-nistp521).

Проблема в настоящее время отслеживается под идентификатором CVE-2024-31497. Девелоперы поблагодарили Фабиана Боймера и Маркуса Бринкманна из Рурского университета в Бохуме за сведения о дыре.

В официальном уведомлении команда PuTTY пишет:

«Уязвимость угрожает компрометацией закрытого ключа. Условный атакующий, в руках которого будут десятки подписанных сообщений и открытый ключ, сможет восстановить закрытый ключ и подделать подпись».

«Другими словами, злоумышленник сможет аутентифицироваться на любых серверах, которые использует жертва».

Тем не менее стоит учитывать, что атакующему придётся скомпрометировать сервер, ключ от которого он пытается утащить. Фабиан Боймер, например, в рассылке Open Source Software Security (oss-sec) уточняет, что брешь стала следствием генерации однократно используемых чисел ECDSA. Последние могут помочь восстановить закрытый ключ.

«Первые девять бит каждого однократно используемого числа равны нулю. Это позволяет восстановить закрытый ключ приблизительно по 60 подписям», — объясняет Боймер.

«Такие подписи злоумышленник может собрать с помощью вредоносного сервера (атаки вида “Человек посередине“ провести не получится — клиенты не передают подписи в открытом виде)».

Список затронутых уязвимостью продуктов приводим ниже. Обращаем внимание на доступность патчей, которые желательно установить как можно скорее.

FileZilla (3.24.1 - 3.66.5)
WinSCP (5.9.5 - 6.3.2)
TortoiseGit (2.4.0.2 - 2.15.0)
TortoiseSVN (1.10.0 - 1.14.6)

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 15 Сентября 2025 - 16:20

Android Домашние пользователи Защита от мошенничества Google

Google готовит в Pixel расширение Scam Detection для мессенджеров

В прошлом году на смартфонах Pixel появилась функция Scam Detection — она предупреждает, если вы разговариваете с потенциальным мошенником по телефону. Позже её добавили и для текстовых сообщений. Теперь Google собирается сделать шаг дальше — защиту планируют встроить и в сторонние приложения для чатов.

В Android System Intelligence для серии Pixel 10 нашли упоминания новой функции. Доступ к ней, судя по коду, можно будет получить через «Настройки > Безопасность и конфиденциальность > Дополнительно > Scam Detection».

Как это будет работать: система не залезает внутрь приложений, а анализирует уведомления. Если сообщение выглядит подозрительным, вы получите предупреждение — например, «Вероятно, мошенничество» или «Может содержать вредоносный контент».

Пользователь сможет подтвердить, что это не мошенничество, либо при желании отключить Scam Detection для конкретного чата.

В коде также обнаружены строки, намекающие на ограничение по числу предупреждений в день — чтобы не перегружать пользователя постоянными уведомлениями.

Среди приложений, которые могут получить поддержку функции, упоминаются Google Messages, Google Chat, Signal, WhatsApp*, Instagram*, Kakao Talk, Line, Facebook* Messenger Lite и даже X. В списке есть и устаревший Hangouts, поэтому пока неизвестно, какие сервисы действительно будут поддерживаться на старте.

Ожидается, что расширенная Scam Detection появится на Pixel 9 и Pixel 10. Для пользователей это может стать серьёзным подспорьем, ведь именно в WhatsApp* и Instagram* чаще всего активничают мошенники.

* принадлежит корпорации Meta, признанной экстремистской и запрещённой в России