В менеджере паролей Пассворк устранили шесть уязвимостей

Екатерина Быстрова 13 Февраля 2025 - 12:16

Домашние пользователи

Корпорации

Positive Technologies

Менеджеры паролей

Уязвимости программ

Патчи

...

В менеджере паролей Пассворк устранили шесть уязвимостей

Эксперты PT SWARM выявили и помогли устранить шесть уязвимостей в менеджере паролей «Пассворк», которые потенциально могли привести к краже сохранённых учётных данных.

«Пассворк» включён в единый реестр российского программного обеспечения и используется в различных отраслях, включая банковский, строительный и промышленный секторы.

Разработчиков уведомили об уязвимостях в рамках политики ответственного раскрытия информации, после чего они выпустили соответствующие патчи.

Обнаруженные уязвимости (BDU:2024-08016 — BDU:2024-08021) получили от 5,8 до 8,1 балла по шкале CVSS 3.1, что соответствует среднему и высокому уровням опасности.

В случае успешной эксплуатации этих брешей злоумышленники могли похищать данные или изменять информацию в профилях пользователей, отправляя фоновые запросы от имени жертвы в браузере. Уязвимости были устранены в версии 6.4.3, выпущенной 14 ноября 2024 года.

Одна из проблем (BDU:2024-08018) — 7,6 балла по шкале CVSS 3.1 — допускала выход за пределы назначенного каталога. По словам Олега Сурнина, руководителя группы исследований безопасности мобильных приложений Positive Technologies, ее эксплуатация могла привести к несанкционированному доступу к файлам на сервере и потенциальной недоступности приложения из-за возможной перезаписи системных файлов.

В отдельных сценариях возникала угроза потери всех хранимых паролей, если атакующий получал возможность изменить файл базы данных.

Алексей Соловьев отметил, что уязвимости BDU:2024-08021 и BDU:2024-08017 допускали выполнение произвольного JavaScript-кода в браузере пользователя. В некоторых сценариях злоумышленник, обладая минимальными привилегиями в системе, мог внедрить вредоносный код, который выполнялся в браузере, включая случаи, когда пользователь имел права администратора.

Ещё одну уязвимость (BDU:2024-08016) можно было использовать для выполнения JavaScript-кода при переходе по специально подготовленной ссылке. Это создавало риск компрометации как учётных записей обычных пользователей, так и администраторов системы.

Следующая главная новость »

Анатомия кибератаки: как расследовать инциденты в ИБ — подробнее в эфире AM Live. Регистрируйтесь »

Яков Шпунт 16 Декабря 2025 - 12:58

Мошенничество Онлайн-мошенничество Домашние пользователи

УБК МВД предупреждает о риске демонстрации экрана

Управление по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России (УБК МВД) предупредило о мошеннической схеме, связанной с включением демонстрации экрана. Под этим предлогом злоумышленники похищают различные данные, включая персональную и платёжную информацию.

Как сообщил телеграм-канал УБК МВД, чаще всего такую схему разыгрывают под видом проверки кандидатов при трудоустройстве.

Просьба включить демонстрацию экрана обычно исходит от якобы представителя отдела кадров или службы безопасности. В качестве предлога используются формулировки вроде «проверка лояльности» или «отсутствие связей с конкурентами».

В рамках подобной «проверки» злоумышленники требуют продемонстрировать:

личные чаты в мессенджерах;
настройки конфиденциальности и активные сеансы;
местоположение через картографические сервисы.

Таким образом, как отмечают в профильном управлении МВД, мошенники получают доступ к переписке, данным аккаунтов, геолокации, а также кодам для авторизации в учётных записях. В дальнейшем эта информация используется для новых атак или перепродаётся третьим лицам.

Ранее, в ноябре, МВД предупреждало о многоступенчатой схеме вымогательства. Злоумышленники, представляясь сотрудниками силовых структур или военнослужащими Украины, запугивали граждан и вынуждали передавать деньги через курьеров либо переводить средства на подконтрольные счета. Одним из основных источников геоданных в этой схеме становились сервисы знакомств.

Геоданные также были одной из ключевых целей кибератаки, получившей название «Операция Триангуляция», жертвой которой стала «Лаборатория Касперского».