Уязвимости

Утечка документов АНБ, которая случилась по вине Эдварда Сноудена являющегося бывшим сотрудником, стала возможной вследствие присутствия во внутренней системе безопасности определённых уязвимостей. Невзирая на то, что данная утечка случилась уже примерно 5 лет назад и агентство национальной безопасности (АНБ) США за этот срок могло их ликвидировать, однако всё осталось по старому.

Выяснилось, что компания Google тайком интегрировала в веб-браузер Chrome фичу Site Isolation, которая на платформах Linux, Windows, Mac и Chrome OS для 99% юзеров настольных версий веб-браузера активирована по-умолчанию.

Facebook проинформировала, что в соцсети была найдена уязвимость, которая затронула около 800 тысяч юзеров Messenger и Facebook, в итоге глюканули настройи доступ. Уязвимость, имевшая место быть начиная с 29 мая и по 5 июня, позволяла снять блокировку с тех людей, которых ранее юзер забанил.

Исследователи, специализирующиеся на вопросах информационной безопасности, обнаружили новую уязвимость, которой подвержены все современные процессоры Intel Core и Xeon.

Голосовой помощник Microsoft Cortana, который на сегодняшний день является одним из самых популярных и предустановлен в каждой из существующих версий ОС Windows 10, содержал уязвимость, позволяющую запустить вредоносный код с экрана блокировки. Фраза «содержал», является ключевой, поскольку вчера Microsoft выпустила обновление безопасности, закрывающую эту «дыру».

Никогда такого не было, и вот опять! Специалисты Microsoft и Google обнаружили в процессорах Intel новую уязвимость, которая похожа на Spectre и Meltdown. Уязвимость, получившая обозначение Speculative Store Bypass (variant 4), по своей природе аналогична Spectre и связана со спекулятивным выполнением команд в современных CPU.

Исследователи, занимающиеся вопросами информационной безопасности, заявили о выявлении критической уязвимости в двух протоколах шифрования электронной почты: S/MIME и PGP.

В процессорах Intel обнаружено сразу 8 новых уязвимостей Spectre. Четыре из них имеют высокий риск, оставшиеся четыре – средний риск. Эти новые уязвимости получили общее название Spectre Next Generation (NG).

Популярная соцсеть Twitter разослала всем своим пользователям (более чем 330 млн) письма с рекомендациями о необходимости смены пароля учетной записи. Эта необходимость – мера предосторожности, обусловленная недавно обнаруженной разработчиками внутренней уязвимостью.

Компания Intel скорректировала свои планы по выпуску обновлений микрокода, которые призваны устранить уязвимость Spectre в нескольких старых семействах процессоров.

На прошлой неделе специалисты компании CTS-Labs заявили об обнаружении сразу 13 уязвимостей в процессорах производства AMD. Позже компания AMD признала факт наличия этих уязвимостей и приступила к их устранению.

Стало известно, что AMD уже приступила к устранению уязвимостей в процессорах, о которых на прошлой неделе весьма необычным образом сообщила израильская компания CTS Lab.

Корпорация Microsoft запустила новую программу стимулирования поиска ошибок и уязвимостей в процессорах. Компания предлагает выплаты до $250 тыс. за найденные уязвимости, сходные с недавно выявленными ошибками CPU Meltdown и Spectre. Программа будет работать до конца года.

Еще в начале года генеральный директор Intel Брайан Кржанич заявил, что компания работает над аппаратным исправлением, устраняющим уязвимости Meltdown и Spectre, для которых продолжают выходить заплатки – буквально на днях Intel выпустила очередную для процессоров Ivy Bridge и Sandy Bridge.

Как гласит известная поговорка, «беда не приходит одна». Не успели еще все отойти от уязвимостей Spectre и Meltdown и связанных с ними проблем, главным образом в продуктах на CPU Intel, как стало известно о целом ряде дыр в безопасности процессоров AMD, позволяющих атакующим получить доступ к защищенным данным.

Только в этот понедельник мы рассказывали, что специалисты по безопасности Google Project Zero раскрыли серьезную уязвимость в браузере Microsoft Edge, не дожидаясь выпуска заплатки (она должна выйти до 13 марта).

Компания Intel продолжает предпринимать попытки по устранению уязвимости Spectre в своих процессорах. На этот раз выпущены обновления микрокода для чипов Kaby Lake, Coffee Lake и Skylake.

Как минимум две версии торрент-клиента uTorrent содержат критические уязвимости, которые можно легко использовать для широкого спектра противоправных действий, таких как удаленное исполнение код, просмотр файлов и истории загрузок.

Google не упускает ни одной возможности, чтобы поддеть или насолить своему извечному конкуренту – компании Microsoft. И за последние несколько лет у этой пары был далеко не один серьезный разговор на тему раскрытия уязвимостей в безопасности.

На этой неделе издание ZDNet опубликовало переписку с независимым экспертом по компьютерной безопасности Штефаном Кантаком. Исследователь рассказал о критической уязвимости в мессенджере софтверного гиганта, которая открывает широкие возможности злоумышленникам, позволяя похищать файлы, удалять данные и даже захватить полный контроль над системой.