Новости информационной безопасности

В ядре Linux вновь пришлось исправлять уязвимость, эксплуатация которой могла позволить недоверенному пользователю получить root-доступ к системе. Эта уязвимость уже закрывалась однажды - в 2007 году, с выпуском версии 2.6.22.7, - однако спустя несколько месяцев разработчики по неосмотрительности случайно отменили произведенные изменения, и операционная система вновь оказалась открыта для атак, предоставляющих возможность эскалации привилегий и достижения полноценного корневого доступа.

Вчера компания Google выпустила очередной патч для рабочей и бета версий своего браузера Chrome 6, в котором устранены критические уязвимости для версий, работающих в операционных системах Windows, Mac и Linux.

Как стало известно компании Perimetrix, Пенсионный фонд из Сент-Луиса (штат Миссури) скомпрометировал номера социального страхования своих клиентов. Причиной инцидента стала почтовая рассылка, организованная сторонней компанией. Номера социального страхования были напечатаны прямо на конвертах писем. Представители фонда, несмотря на многочисленные запросы со стороны СМИ, на вопросы по поводу утечки не отвечают. Точное количество пострадавших людей неизвестно, но общее количество клиентов фонда превышает 24 тыс. человек.

Риск раскрытия конфиденциальных данных возник в результате обнаружения недочетов в криптоалгоритмах веб-приложений, разработанных при помощи среды ASP.Net от Microsoft. ASP.Net позволяет защищать файлы cookie с конфиденциальным содержимым, которые создаются приложениями во время сеансов онлайн-банкинга и других подобных операций, посредством AES-шифрования; этот алгоритм одобрен правительством США для использования в соответствующих случаях. Тем не менее, потенциальные уязвимости, существующие в механизме обработки ошибок при изменении содержимого криптованных файлов cookie, могут позволить злоумышленнику существенно сузить диапазон возможных ключей, использовавшихся при шифровании.