Google назло Microsoft продолжает публиковать уязвимости в Windows
Главная » Новости
Высокопроизводительные NGFW от ИнфоТеКСЭффективное решение для обеспечения безопасности вашей корпоративной сети. Реализован на доверенной аппаратной платформе и сертифицирован по требованиям российских регуляторов. Межсетевые экраны следующего поколения обеспечивает глубокую фильтрацию трафика, его контроль и блокировку на уровне приложений. Классический межсетевой экран и криптографический шлюз с ГОСТ VPN.→ Получить консультацию
Реклама, АО "Инфотекс", ИНН 7710013769, 16+

Google назло Microsoft продолжает публиковать уязвимости в Windows

Александр Панасенко 19 Января 2015 - 15:40
...

Компания Google опубликовала информацию о новой уязвимости в Windows, которую Microsoft не успела устранить. «Дыра» содержится в двух версиях операционной системы — 7 и 8.1. Она находится в функции CryptProtectMemory, служащей для шифрования данных в памяти, например, паролей, чтобы их не смогли прочитать другие пользователи.

Уязвимость была найдена участником проекта Google Project Zero Джеймсом Форшоу (James Forshaw) 17 октября 2014 г. «Microsoft проинформировала нас, что патч для этой уязвимости планируется выпустить в январе. Однако обновление было отложено из-за возникших с совместимостью проблем. Ожидается, что оно выйдет в феврале», — рассказал он.

По правилам проекта Google, посвященного поиску уязвимостей в популярном программном обеспечении, информация о найденных «дырах» публикуется спустя 90 дней после ее обнаружения и уведомления разработчика — неважно, выпустил он обновление или нет. То есть Google не стала дожидаться выпуска патча, несмотря на то, что у Microsoft появилась уважительная причина его задержки, пишет safe.cnews.ru.

Точно так же Google поступила всего несколько дней назад, вызвав негодование Microsoft. В рамках этого же проекта корпорация публично раскрыла сведения о другой уязвимости в Windows 8.1, а также эксплойт к ней (она также была обнаружена Форшоу). Недовольство Microsoft было вызвано отчасти тем, что она просила Google повременить с этим шагом.

«К сожалению, Google пренебрегла правилами координированного раскрытия информации об уязвимостях и опубликовала информацию за два дня до запланированного выпуска обновления, несмотря на наши просьбы не делать этого», — написал представитель Microsoft Крис Бетс (Chris Betz) в длинном открытом письме в официальном блоге компании.

Своими действиями Google наносит вред пользователям, а вовсе их не защищает, заявил Бетс. Он призвал поискового гиганта бороться с хакерами и злоумышленниками сплоченно, а не по отдельности.

В Google ситуацию никак не прокомментировали. Когда компания анонсировала проект в июле 2014 г., говорилось, что, помимо прочего, он позволит оценить расторопность разработчиков программного обеспечения, то есть насколько быстро «дыры» устраняют одни и насколько медленно это делают другие. В компании сочли, что 90 дней вполне достаточно для устранения уязвимости.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Уязвимость 0-click в декодере MonkeyAudio грозила RCE телефонам Samsung
Татьяна Никитина 10 Января 2025 - 19:57
Android ЭксплойтыУязвимости программ Домашние пользователи
Уязвимость 0-click в декодере MonkeyAudio грозила RCE телефонам Samsung

Участники Google Project Zero раскрыли детали уязвимости удаленного выполнения кода, обнаруженной в Samsung Galaxy в прошлом году. Патч для нее вендор выпустил в составе декабрьского набора обновлений для мобильных устройств.

Уязвимость CVE-2024-49415 (8,1 балла CVSS) связана с возможностью записи за границами буфера, которая может возникнуть при декодировании аудиофайлов формата MonkeyAudio (APE). Подобные ошибки позволяют удаленно выполнить произвольный код в системе.

Виновником появления проблемы является библиотека libsaped.so, а точнее, функция saped_rec. Эксплойт, по словам автора находки, не требует взаимодействия с пользователем (0-click), но возможен лишь в том случае, когда на целевом устройстве включены RCS-чаты (дефолтная конфигурация Galaxy S23 и S24).

Атаку можно провести, к примеру, через Google Messages, отправив намеченной жертве специально созданное аудиосообщение. Согласно бюллетеню Samsung, уязвимости подвержены ее устройства на базе Android 12, 13 и 14.

Декабрьский пакет обновлений Samsung закрывает еще одну опасную дыру — CVE-2024-49413 в приложении SmartSwitch (некорректная верификация криптографической подписи, 7,1 балла CVSS). При наличии локального доступа данная уязвимость позволяет установить вредоносное приложение на телефон.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
MaxPatrol VM включен в реестр продуктов с ИИ
Новость
MaxPatrol VM включен в реестр продуктов с ИИ
Свыше 4000 приёмников спутниковых сигналов уязвимы к атакам через интернет
Новость
Свыше 4000 приёмников спутниковых сигналов уязвимы к атакам...
В Сети обнаружили крупную компилятивную базу с названием "ВТБ-клиенты"
Новость
В Сети обнаружили крупную компилятивную базу с названием...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.