Просто добавь число и…

Ксения Ренселаева 05 Января 2011 - 21:07

...

Сервер, на котором хранится веб - приложение или ресурс, разработанные на языке программирования PHP, будет выведен из строя из-за обнаруженной в среде разработки уязвимости.

Ошибка заключается в принципе обработки чисел с плавающей запятой, а так же чисел с удвоенным количеством разрядов, в результате чего 32х разрядные системы Linux, Windows и FreeBSD отправляются в бесконечный цикл и полной загрузке ресурсов процессора. Наглядным примером может послужить результат конвертации значения "2.2250738585072011e-308" в число с плавающей запятой при использовании функции zend_strtod.

По мнению экспертов, поскольку на PHP разработано большинство веб-ресурсов, начиная от WordPress и заканчивая Wikipedia, то результат может быть плачевным. В данном случае, для успешной атаки, злоумышленнику достаточно просто добавить это число к URL ресурса. Кроме того, отмечается, что можно вызвать отказ в работе отдельных процессов исполняемых сервером, отправив такое число с запросом GET.

В настоящий момент, разработчики приложения исследуют проблему, однако советуют пользователям версий PHP 5.2 и 5.3 обновить их до 5.3.5 и 5.2.16, соответственно.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 28 Апреля 2025 - 10:39

Мошенничество Домашние пользователи Angara Security

В России активизировались забойщики свиней из азиатских стран

В России активизировались мошенники из стран Юго-Восточной Азии, использующие схему Pig Butchering («забой свиней»). Они налаживают доверительные отношения с пользователями соцсетей и сервисов знакомств («этап откорма»), а затем выманивают у них деньги под предлогом инвестиций или развития бизнеса («этап разделки»).

Как сообщили «РИА Новости» в компании Angara Security, злоумышленники применяют не только традиционные методы социальной инженерии, но и современные технологии искусственного интеллекта, включая дипфейки. Чаще всего они действуют через фальшивые аккаунты.

«Техника Pig Butchering стала глобальной проблемой для правоохранительных органов и финансовых организаций», — отмечает эксперт по социотехническому тестированию Angara Security Яков Филевский. По его данным, ежегодный оборот мошенничества по этой схеме в мире достигает около 75 млрд долларов.

Мошенники, как правило, создают аккаунты от имени девушек, якобы оказавшихся в трудной жизненной ситуации. Они выманивают у собеседников личные и платёжные данные, умело эксплуатируя индивидуальные особенности жертв. Страницы злоумышленников наполняются персонализированным контентом, который создают с помощью нейросетей — таким образом мошенники подстраиваются под каждого конкретного пользователя и сохраняют заданную легенду.

«Частое общение с таким "собеседником" на протяжении нескольких недель формирует у жертвы иллюзию доверительных отношений. Это ощущение усиливается отсутствием характерных для реального общения негативных факторов — конфликтов, разочарований, несоответствия ожиданий. В результате человек легко соглашается вложить деньги в "прибыльный бизнес", предложенный мошенником», — поясняет Яков Филевский.

Получив средства, аферисты либо обналичивают их, либо переводят в криптовалюту и исчезают.

Чтобы не стать жертвой подобной схемы, эксперты советуют соблюдать осторожность: