SonicWall призывает клиентов срочно установить патчи для трёх 0-day

Екатерина Быстрова 21 Апреля 2021 - 10:57

Уязвимость нулевого дня

Патчи

...

SonicWall призывает всех пользователей в срочном порядке установить патчи, устраняющие три уязвимости нулевого дня (0-day) в продуктах компании (как on-premise, так и для защиты электронной почты). Есть информация о возможной эксплуатации со стороны киберпреступников.

«Нам известен как минимум один случай эксплуатации этих уязвимостей в реальных кибератаках», — пишет SonicWall, настоятельно убеждая клиентов обновиться.

Бреши в продуктах SonicWall выявили специалисты компании Mandiant Джош Флейшер и Крис Дигиамо. В настоящее время уязвимости отслеживаются под следующими идентификаторами:

CVE-2021-20021 — позволяет атакующему создать аккаунт с правами администратора. Для эксплуатации требуется специально созданный HTTP-запрос;
CVE-2021-20022 — позволяет злоумышленнику загрузить произвольный файл на удалённый хост;
CVE-2021-20023 — позволяет киберпреступнику прочитать файл, расположенный на удалённом хосте.

«Злоумышленники могут использовать эти уязвимости для установки бэкдора и дальнейшей компрометации электронных писем и файлов. По сути, бреши позволяют атакующему перемещаться по сети жертвы "горизонтально"», — пишут исследователи из FireEye.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 28 Января 2025 - 19:24

Домашние пользователи Защита персональных данных Защита мобильных устройств Защита мобильных устройств

Signal скоро будет автоматом подтягивать историю при привязке десктопа

В мессенджере Signal тестируют новую опцию — синхронизацию истории чатов, хранимой на устройстве Android либо iOS, при привязке к аккаунту десктопа или iPad. Ранее в таких случаях новый клиент начинал работу с чистого листа.

По словам операторов IM-сервиса, перенос архива с сообщениями, стикерами, медиафайлами (за последние полтора месяца) будет осуществляться через серверы Signal с использованием сквозного шифрования и со строжайшим соблюдением приватности.

«При привязке к существующему Signal-аккаунту новый девайс, десктоп или iPad, должен доказать, что он имеет разрешение владельца на подключение, и получить набор ключей с основного устройства», — напоминает автор блог-записи.

Всю необходимую информацию обычно содержит QR-код, отображаемый на экране новобранца. Его остается лишь отсканировать мобильником, выступающим в роли основного устройства.

Для шифрования истории чатов был создан новый ключ AES-256 — одноразовый. После загрузки и расшифровки архива на подключенном устройстве о нем можно благополучно забыть.

Новинка пока доступна в бета-версии. Массовое развертывание ожидается через несколько недель.