RCE-уязвимость в FreeType уже используется в атаках, в зоне риска миллионы

RCE-уязвимость в FreeType уже используется в атаках, в зоне риска миллионы

RCE-уязвимость в FreeType уже используется в атаках, в зоне риска миллионы

Оглашены детали опасной уязвимости в FreeType, грозящей удаленным исполнением стороннего кода. Согласно информационным бюллетеням на GitHub и в Facebook (в России признана экстремистской и запрещена), ее уже осваивают злоумышленники.

По оценке участников проекта FreeType, свободно распространяемую библиотеку для работы с шрифтами использует более 1 млрд устройств. На нее полагаются многие ОС, в том числе GNU/Linux, FreeBSD, Android и iOS, а также браузерные движки (Chromium, Gecko, WebKit).

Согласно описанию (во всех источниках одинаково), уязвимость CVE-2025-27363 связана с ошибкой записи за границами буфера, которая возникает при обработке TrueType GX и вариативных шрифтов.

Эксплойт осуществляется с помощью специально созданного файла шрифтов и позволяет выполнить любой код в системе. В итоге злоумышленник сможет захватить контроль над устройством, если убедит владельца открыть вредоносный документ или зайти на вредоносную веб-страницу.

Степень угрозы оценена в 8,1 балла по шкале CVSS (как высокая). Уязвимость присутствует в FreeType сборок 2.13.0 и ниже, пользователям настоятельно рекомендуется установить новейшую версию библиотеки (на настоящий момент это 2.13.3).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Российский рынок служб каталогов в 2025 году оценивают в 3 млрд руб.

После ухода Microsoft более половины объёма рынка служб каталогов делят «Астра», Red Soft и существующие инсталляции AD. В рейтинге отечественных решений лидируют ALD Pro, basealt и Red Soft. Рынок ИТ-каталогов в России стремительно трансформируется: после ухода зарубежных вендоров доля продуктов Microsoft (Active Directory) постепенно вытесняется российскими аналогами.

По данным, представленным на пресс-конференции группы компаний «Астра», объём рынка каталогов в 2025 году оценивается в 3 млрд рублей.

 

 

В тройке лидеров по установленной базе — ALD Pro (ГК «Астра»), РЕД АДМ (Red Soft) и всё ещё сохраняющийся пул ранее внедрённых решений Microsoft.

 

Лидеры и аутсайдеры

Рейтинг российских служб каталогов составляли по совокупности критериев:

  • функциональность,
  • совместимость и масштабируемость,
  • уровень кибербезопасности,
  • поддержка продукта.

ALD Pro 3.0 занял 1-е место, обойдя решения других участников:

  • ALD Pro (ГК «Астра»),
  • РЕД АДМ,
  • basealt,
  • Роса,
  • Эллэс,
  • Avanpost,
  • Multifactor.

Как отметили представители «Астры», компания продолжает наращивать долю за счёт поддержки крупных внедрений, обратной совместимости с AD и развитой партнёрской экосистемы.

Новый релиз ALD Pro 3.0: акцент на масштаб

В тот же день был представлен релиз ALD Pro 3.0 — обновлённой версии службы каталогов от «Астры», оптимизированной для работы в инфраструктурах с десятками тысяч учётных записей.

В числе ключевых улучшений:

  • повышение производительности,
  • переработанный механизм резервного копирования,
  • новые функции контроля и аудита,
  • интерфейс управления доверительными отношениями между разными экземплярами ALD.

Дополнительно была подтверждена совместимость с российскими ОС: Astra Linux, РЕД ОС, «Альт», Rosa, «Эльбрус», а также с платформами на базе процессоров «Эльбрус» и «Байкал».

«Версия ALD Pro 3.0 — это мажорный релиз, который поднимает продукт на новый уровень развития и зрелости, — отметил Алексей Фоменко, директор серверного ПО группы компаний „Астра“. — Он стал возможен во многом благодаря изменениям внутри нашей продуктовой команды».

Кроме того, компания регулярно изучает реальные потребности специалистов, работающих с ALD Pro, чтобы создать ведущий продукт на рынке, отвечающий высоким требованиям заказчиков и регуляторов, — подчеркнул Фоменко.

Внедрение — с опорой на безопасность

Продукт фокусируется на безопасном внедрении в критическую инфраструктуру. Среди механизмов защиты — строгая аутентификация, аудит событий, поддержка многофакторной авторизации, а также инструменты для формирования политик безопасности.

ALD Pro является единственной службой каталога, которая прошла сертификацию ФСТЭК России на соответствие «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по 2-му уровню доверия (сертификат № 4830).

«Астра» анонсировала планы по дальнейшему развитию ALD Pro с учётом запросов от крупнейших интеграторов и корпораций. В приоритете — расширение сценариев масштабного развертывания и создание единой панели управления для всей линейки решений «Астры».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru