Mozilla запустила экспериментальный сервис под название Send, он позволяет пользователям делать зашифрованную копию локального файла, хранить его на удаленном сервере и делиться им. После совместного использования зашифрованные данные удаляются с сервера.
решает проблему отправки больших файлов, так как сервисы электронной почты уже давно ограничивают размер прикрепленных файлов, например, у Gmail такое ограничение составляет 25 MB. Именно в связи с этим такие крупные компании, как Apple и Google начали использовать облачные технологии.
Однако Send предлагает альтернативный метод передачи файлов размером 1 ГБ и меньше, с поддержкой шифрования и чрезвычайно простым интерфейсом.
Send использует код Node.js, поддерживаемый базой данных Redis, работающей на веб-сервисах Amazon. После выбора локального файла программное обеспечение Mozilla шифрует его на стороне клиента, загружает его в AWS и генерирует URL-адрес, содержащий ключ шифрования, который может быть передан желаемому получателю файла.
«Каждая ссылка, созданная Send деактивируется после одной загрузки файла, либо спустя 24 часа. Все отправленные файлы в этом случае будут удалены с сервера» - Mozilla в блоге.
Для шифрования и расшифровки файлов сервис Send использует API веб-криптографии JavaScript с алгоритмом AES-GCM. На вопрос, сможет ли Mozilla расшифровать требуемый файл при поступлении запроса от правоохранительных органов, компания ответила, что такой возможности у нее нет.
«Файлы, отправленные пользователями через сервис Send, не доступны Mozilla. Это происходит из-за того, что ключ дешифровки никогда не попадает к нам» - пояснил представитель Mozilla.
На первый взгляд такой сервис кажется вполне безопасным, однако и здесь есть свои нюансы – например, AWS может восстановить удаленный файл или сохранить его, если на то есть веские причины, а ключ может быть восстановлен из файлов журналов или службы обмена сообщениями, используемой для его отправки.
Также эксперты, проанализировав исходный код, пришли к , что текущая версия Send также передает хэш SHA256 файла в виде открытого текста, который может использоваться для его идентификации.
В ответ Mozilla пообещала, что в следующем ведение журнала хэшей будет удалено.
В широко используемом наборе инструментов XZ Utils была выявлена уязвимость класса use-after-free. Патч уже доступен для всех затронутых версий, в Linux-дистрибутивах начали появляться обновления.
В появлении проблемы CVE-2025-31115 (8,7 балла CVSS) повинен декодировщик многопоточного режима в составе библиотеки liblzma. Эксплойт как минимум грозит крешем (DoS).
Уязвимости подвержены сборки XZ Utils с 5.3.3alpha по 5.8.0 включительно. Угроза также актуальна для сторонних приложений и библиотек, использующих функцию lzma_stream_decoder_mt.
Патч включен в состав выпуска XZ Utils 5.8.1, а также доступен в загрузках на сайте проекта. В качестве временной меры защиты можно отключить декодирование файлов в многопоточном режиме с помощью команды xz --decompress --threads=1 или xzdec.
В прошлом году в библиотеке liblzma, включенной в пакет XZ Utils, объявился бэкдор. Проблема получила идентификатор CVE-2024-3094 и 10 баллов из десяти возможных по шкале CVSS.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
