На DEF CON 2020 продемонстрировали несколько уязвимостей в Zoom
Главная » Новости
Высокопроизводительные NGFW от ИнфоТеКСЭффективное решение для обеспечения безопасности вашей корпоративной сети. Реализован на доверенной аппаратной платформе и сертифицирован по требованиям российских регуляторов. Межсетевые экраны следующего поколения обеспечивает глубокую фильтрацию трафика, его контроль и блокировку на уровне приложений. Классический межсетевой экран и криптографический шлюз с ГОСТ VPN.→ Получить консультацию
Реклама, АО "Инфотекс", ИНН 7710013769, 16+

На DEF CON 2020 продемонстрировали несколько уязвимостей в Zoom

Екатерина Быстрова 10 Августа 2020 - 13:28
...
На DEF CON 2020 продемонстрировали несколько уязвимостей в Zoom

На конференции DEF CON 2020 специалисты в области кибербезопасности продемонстрировали несколько уязвимостей в Zoom, популярном сервисе для видеоконференций. Две бреши затрагивают Linux-клиент, позволяют извлечь данные и даже запустить вредоносную программу.

О проблемах безопасности рассказал эксперт Мазин Ахмед. На DEF CON 2020 он поделился сведениями об уязвимостях, а также указал на некорректно настроенную площадку для разработки.

По словам Ахмеда, тестовый сервер Zoom не обновлялся с сентября 2019 года. Значит, в нём мог содержатся целый ряд непропатченных дыр.

В первый раз специалист уведомил компанию в апреле, повторно — в июле. И лишь 3 августа разработчики выпустили патч с версией 5.2.4.

Ахмед подчёркивает, что для успешной эксплуатации уязвимостей злоумышленник должен изначально скомпрометировать устройство жертвы любым другим способом. Однако это, как отметил специалист, не отменяет опасности брешей.

Например, одна из обнаруженных уязвимостей затрагивает Zoom Launcher для Linux. В теории атакующий может запустить несанкционированный софт. Как отметил Ахмед, это сводит на нет работу «белых списков», поскольку вредонос может работать в качестве подпроцесса Zoom.

Помимо этого, злоумышленники с физическим доступом к компьютеру жертвы могут прочитать и извлечь данные пользователя Zoom, его переписки (хранятся в виде простого текста) и просмотреть настройки.

Следующая главная новость »
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Статический анализатор кода SASTAV включен в реестр российского ПО
Екатерина Быстрова 04 Декабря 2024 - 17:58
Корпорации Средства защиты веб-сайтов (приложений)Безопасная разработка приложений (DevSecOps)Статическое тестирование защищённости приложений (SAST)Системы для анализа защищенности информационных системАудит информационной безопасностиСканеры исходного кода
Статический анализатор кода SASTAV включен в реестр российского ПО

Программное обеспечение «Система анализа исходного кода на уязвимости SASTAV» включено в Единый реестр российского ПО. Статический анализатор используется на ранних этапах процесса разработки и помогает обнаружить уязвимости в коде с минимальным количеством ложноположительных и ложноотрицательных срабатываний.

Решение одобрено Минцифры и может использоваться в госкорпорациях и структурах. SASTAV выполняет автоматизированный поиск уязвимостей, строит визуализацию векторов атак, определяет наиболее эффективное место для внесения исправлений и дает рекомендации по устранению ошибок в коде.

Использование AI-ассистента в работе анализатора обеспечивает минимизацию трудозатрат на триаж результатов сканирования и сокращает время, необходимое на исправление кода.

Ключевыми особенностями SASTAV являются: построение графов, указание оптимальной точки исправления, высокая скорость работы, бесшовное встраивание в цикл разработки, точные результаты сканирования, интуитивно понятный интерфейс, поддержка наиболее популярных языков.

Как отмечает совладелец группы компаний ITD Group Ксения Калемберг:

«Важным компонентом, повышающим эффективность работы статического анализатора SASTAV и снижающим трудоемкость работ по исправлению кода, является использование разработанной нашими специалистами методологии каскадной AI-валидации дефектов кода. На данный момент это единственный SAST с подобным функционалом, доступный неограниченному кругу заказчиков в России. Включение решения в «Единый реестр российских программ для электронных вычислительных машин и баз данных» позволит нам расширить круг потенциальных пользователей и получить преимущество при участии в госзакупках».

Запись о включении «Системы анализа исходного кода на уязвимости SASTAV» в реестр российского ПО внесена на основании решения экспертного совета Минцифры России от 12 августа 2024 года (№538пр). Продукт зарегистрирован в реестре 29 августа 2024 года под номером 23718.

Разработчик ПО «Система анализа исходного кода на уязвимости SASTAV» — ООО «ПАЙНАП» (бренд ShiftLeft Security). Образована в 2015 г. Входит в российскую группу компаний ITD Group.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Используете iOS 8 и старше? Ваши бэкапы скоро удалят из iCloud
Новость
Используете iOS 8 и старше? Ваши бэкапы скоро удалят из iClo...
Уязвимые Yealink Meeting Server могут слить учетки участников видеовстреч
Новость
Уязвимые Yealink Meeting Server могут слить учетки участнико...
Huawei будет продвигать HarmonyOS Next глобально
Новость
Huawei будет продвигать HarmonyOS Next глобально

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2024. Все права защищены.