Эксперты выявили брешь в системе патчинга Google Chrome

Олег Иванов 10 Сентября 2019 - 09:34

Домашние пользователи

...

В процессе патчинга браузера Google Chrome найдена очередная лазейка, которую злоумышленники могут использовать для атак — у киберпреступников есть несколько дней до того, как обновление придёт пользователям.

Такая проблема называется «Patch gapping», что можно вольно перевести как «брешь патчинга». Подразумевается, что обновления безопасности приходят пользователям недостаточно быстро. В результате хакеры могут использовать этот короткий период для атак, в которых будут использоваться уязвимости.

То есть эта самая «брешь» представляет собой промежуток времени между устранением уязвимости и доставкой патча конечному пользователю.

Именно такую проблему эксперты компании Exodus Intelligence заметили в процессе обновления браузера Google Chrome в прошлом месяце.

Согласно отчёту специалистов, брешь касалась V8, компонента с открытым исходным кодом. V8 используется в качестве движка JavaScript в Chrome.

Задействуя уязвимость в этом компоненте, атакующий мог выполнить вредоносный код внутри браузера пользователя. «Брешь патчинга» возникла по той причине, что баг в V8 был устранён в августе, а пользователи Chrome получат обновления только сегодня, 10 сентября (с релизом Chrome 77).

Как вы понимаете, в этот период злоумышленники вполне могли осуществлять атаки с помощью этой уязвимости. PoC-код для проблемы безопасности в настоящее время доступен на GitHub.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 28 Января 2025 - 19:24

Домашние пользователи Защита персональных данных Защита мобильных устройств Защита мобильных устройств

Signal скоро будет автоматом подтягивать историю при привязке десктопа

В мессенджере Signal тестируют новую опцию — синхронизацию истории чатов, хранимой на устройстве Android либо iOS, при привязке к аккаунту десктопа или iPad. Ранее в таких случаях новый клиент начинал работу с чистого листа.

По словам операторов IM-сервиса, перенос архива с сообщениями, стикерами, медиафайлами (за последние полтора месяца) будет осуществляться через серверы Signal с использованием сквозного шифрования и со строжайшим соблюдением приватности.

«При привязке к существующему Signal-аккаунту новый девайс, десктоп или iPad, должен доказать, что он имеет разрешение владельца на подключение, и получить набор ключей с основного устройства», — напоминает автор блог-записи.

Всю необходимую информацию обычно содержит QR-код, отображаемый на экране новобранца. Его остается лишь отсканировать мобильником, выступающим в роли основного устройства.

Для шифрования истории чатов был создан новый ключ AES-256 — одноразовый. После загрузки и расшифровки архива на подключенном устройстве о нем можно благополучно забыть.

Новинка пока доступна в бета-версии. Массовое развертывание ожидается через несколько недель.