В Chrome 113 устранили критическую уязвимость use-after-free
Главная » Новости

В Chrome 113 устранили критическую уязвимость use-after-free

Екатерина Быстрова 18 Мая 2023 - 11:10
...
В Chrome 113 устранили критическую уязвимость use-after-free

На этой неделе Google выпустила очередное обновление Chrome, в котором не обошлось без важных патчей. Всего разработчики устранили 12 уязвимостей, включая одну критическую. О шести дырах Google узнала благодаря сторонним исследователям.

Критическая брешь затрагивает Navigation, ей присвоили идентификатор CVE-2023-2721. На проблему указал один из специалистов компании Qihoo 360. Класс уязвимости — use-after-free, ошибка использования динамической памяти в процессе работы софта.

Условный злоумышленник может подготовить специальную HTML-страницу, которая пробьёт брешь в момент посещения пользователем. Атакующему, само собой, придётся заставить жертву зайти на соответствующую страницу.

Баги класса use-after-free, как правило, тесно связаны с повреждением памяти. Это довольно распространённый вид уязвимостей, возникающий из-за того, что указатель не очищается после освобождения памяти.

С помощью таких дыр злоумышленник может выполнить произвольный код, привести к отказу в обслуживании (DoS) или повреждению данных. В случае с Chrome use-after-free используются для выхода за пределы песочницы браузера.

В Google отметили, что корпорация выплатила 11 500 долларов за сообщения об уязвимостях. Последняя сборка Chrome получила номера 113.0.5672.126 (для Linux macOS) и 113.0.5672.126/.127 (для Windows).

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Гендиректор как наживка: российские компании столкнулись с новым фишингом
Екатерина Быстрова 07 Марта 2025 - 11:06
ФишингМошенничествоОнлайн-мошенничество Малый и средний бизнесКорпорации ГК «Гарда»
Гендиректор как наживка: российские компании столкнулись с новым фишингом

Специалисты фиксируют увеличение числа фишинговых атак на российские организации. Злоумышленники рассылают сообщения, выдавая себя за генеральных директоров или топ-менеджеров компаний, чтобы получить доступ к конфиденциальной информации и корпоративным данным.

Виктор Иевлев, руководитель отдела информационной безопасности компании ГК «Гарда», рассказал о распространённых схемах мошенничества и предложил базовые рекомендации по защите.

Чаще всего мошенники добавляют сотрудника в группу в мессенджере Telegram, используя название компании, в которой он работает. Однако подобные сообщения также могут поступать через другие мессенджеры или электронную почту.

Злоумышленники создают поддельные аккаунты с именем генерального директора компании и от его имени сообщают сотрудникам о проверке документов, предлагая открыть вложения, которые на самом деле являются вредоносными файлами.

 

В других случаях мошенники могут просить срочно перечислить деньги или предоставить доступ к внутренним корпоративным системам.

 

Рекомендуемые меры безопасности:

  1. Проверяйте, действительно ли сообщение поступило от заявленного отправителя. Внимательно изучите адрес электронной почты или аккаунт в мессенджере. Если сообщение вызывает сомнения, используйте альтернативный способ связи (другой мессенджер, корпоративная почта, телефон, СМС) для проверки личности отправителя. Если прямое обращение к генеральному директору недопустимо, свяжитесь со службой информационной безопасности компании или секретарём руководителя для подтверждения факта отправки сообщения.
  2. Не переходите по ссылкам и не открывайте вложения в подозрительных или неожиданных сообщениях. В случае сомнений попросите отправителя прислать официальное письмо на корпоративную почту.
  3. Подтверждайте любые срочные или неожиданные запросы по официальным каналам связи, таким как телефон или корпоративная почта.
  4. Сообщите о подозрительных сообщениях в службу поддержки Telegram (abuse@telegram.org) или отправьте жалобу через аккаунт @notoscam.
  5. Периодически проводите в компании тренинги по информационной безопасности, чтобы сотрудники своевременно распознавали фишинговые атаки и соблюдали правила цифровой безопасности.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Мошенники воруют учетные записи Telegram под соусом мести
Новость
Мошенники воруют учетные записи Telegram под соусом мести
macOS приняла Docker за вредоноса из-за некорректной подписи файлов
Новость
macOS приняла Docker за вредоноса из-за некорректной подписи...
Обновлённая «Гарда Anti-DDoS» снижает риски простоев при DDoS-атаках
Новость
Обновлённая «Гарда Anti-DDoS» снижает риски простоев при DDo...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.