В менеджере паролей Пассворк устранили шесть уязвимостей
Главная » Новости

В менеджере паролей Пассворк устранили шесть уязвимостей

Екатерина Быстрова 13 Февраля 2025 - 12:16
...
В менеджере паролей Пассворк устранили шесть уязвимостей

Эксперты PT SWARM выявили и помогли устранить шесть уязвимостей в менеджере паролей «Пассворк», которые потенциально могли привести к краже сохранённых учётных данных.

«Пассворк» включён в единый реестр российского программного обеспечения и используется в различных отраслях, включая банковский, строительный и промышленный секторы.

Разработчиков уведомили об уязвимостях в рамках политики ответственного раскрытия информации, после чего они выпустили соответствующие патчи.

Обнаруженные уязвимости (BDU:2024-08016 — BDU:2024-08021) получили от 5,8 до 8,1 балла по шкале CVSS 3.1, что соответствует среднему и высокому уровням опасности.

В случае успешной эксплуатации этих брешей злоумышленники могли похищать данные или изменять информацию в профилях пользователей, отправляя фоновые запросы от имени жертвы в браузере. Уязвимости были устранены в версии 6.4.3, выпущенной 14 ноября 2024 года.

Одна из проблем (BDU:2024-08018) — 7,6 балла по шкале CVSS 3.1 — допускала выход за пределы назначенного каталога. По словам Олега Сурнина, руководителя группы исследований безопасности мобильных приложений Positive Technologies, ее эксплуатация могла привести к несанкционированному доступу к файлам на сервере и потенциальной недоступности приложения из-за возможной перезаписи системных файлов.

В отдельных сценариях возникала угроза потери всех хранимых паролей, если атакующий получал возможность изменить файл базы данных.

Алексей Соловьев отметил, что уязвимости BDU:2024-08021 и BDU:2024-08017 допускали выполнение произвольного JavaScript-кода в браузере пользователя. В некоторых сценариях злоумышленник, обладая минимальными привилегиями в системе, мог внедрить вредоносный код, который выполнялся в браузере, включая случаи, когда пользователь имел права администратора.

Ещё одну уязвимость (BDU:2024-08016) можно было использовать для выполнения JavaScript-кода при переходе по специально подготовленной ссылке. Это создавало риск компрометации как учётных записей обычных пользователей, так и администраторов системы.

Следующая главная новость »
AM LiveSecrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!

Бывший руководитель Ростелекома арестован по делу о взятке
Татьяна Никитина 16 Февраля 2026 - 19:00
Соответствие законодательству РФ КорпорацииГосударство Ростелеком
Бывший руководитель Ростелекома арестован по делу о взятке

Солнцевский райсуд Москвы сообщил об аресте Александра Темникова. Экс-главу Центра стратегического строительства «Ростелекома» заподозрили в получении крупной взятки от подрядчика и пока поместили в СИЗО.

Арестован также руководитель компании-подрядчика Андрей Сердюков — по подозрению в даче взятки. Суд санкционировал проведение обысков.

Размер взятки не раскрывается, однако, согласно российскому законодательству, фигурирующая в деле «взятка в особо крупном размере» позволяет говорить о сумме свыше 1 млн рублей.

В прошлом году столичные суды приняли в производство еще несколько громких дел о взяточничестве в ИТ-отрасли. Так, в ноябре в рамках схожего дела был арестован бывший гендиректор технопарка «Сколково» Ренат Батыров.

За полгода до этого вынесли приговор экс-заму главы Минцифры Максиму Паршину. Осужденному дали девять лет с отбыванием срока в колонии строгого режима.

А уголовное преследование в отношении Сергея Мацоцкого, известного предпринимателя и инвестора в сфере ИТ, было прекращено: он оказался непричастен к вменяемым ему преступлениям.

AM LiveSecrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!
Google устранила в Android уязвимости, уже используемые в реальных атаках
Новость
Google устранила в Android уязвимости, уже используемые в ре...
Amazon вычислила северокорейского засланца по задержке клавиатуры
Новость
Amazon вычислила северокорейского засланца по задержке клави...
Android 16 научился показывать, кто именно следит за вашей геолокацией
Новость
Android 16 научился показывать, кто именно следит за вашей г...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.