RCE-уязвимость в FreeType уже используется в атаках, в зоне риска миллионы
Главная » Новости

RCE-уязвимость в FreeType уже используется в атаках, в зоне риска миллионы

Татьяна Никитина 12 Марта 2025 - 15:48
RCE-уязвимость в FreeType уже используется в атаках, в зоне риска миллионы

Оглашены детали опасной уязвимости в FreeType, грозящей удаленным исполнением стороннего кода. Согласно информационным бюллетеням на GitHub и в Facebook (в России признана экстремистской и запрещена), ее уже осваивают злоумышленники.

По оценке участников проекта FreeType, свободно распространяемую библиотеку для работы с шрифтами использует более 1 млрд устройств. На нее полагаются многие ОС, в том числе GNU/Linux, FreeBSD, Android и iOS, а также браузерные движки (Chromium, Gecko, WebKit).

Согласно описанию (во всех источниках одинаково), уязвимость CVE-2025-27363 связана с ошибкой записи за границами буфера, которая возникает при обработке TrueType GX и вариативных шрифтов.

Эксплойт осуществляется с помощью специально созданного файла шрифтов и позволяет выполнить любой код в системе. В итоге злоумышленник сможет захватить контроль над устройством, если убедит владельца открыть вредоносный документ или зайти на вредоносную веб-страницу.

Степень угрозы оценена в 8,1 балла по шкале CVSS (как высокая). Уязвимость присутствует в FreeType сборок 2.13.0 и ниже, пользователям настоятельно рекомендуется установить новейшую версию библиотеки (на настоящий момент это 2.13.3).

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Минцифры РФ определилось с регламентом обезличивания персональных данных
Татьяна Никитина 15 Апреля 2025 - 17:00
Соответствие законодательству РФ Общее Защита персональных данныхСоответствие требованиям регуляторов
Минцифры РФ определилось с регламентом обезличивания персональных данных

Минцифры России доработало проект постановления, определяющего правила и методы обезличивания персональных данных, а также соответствующие требования к операторам ПДн, которые должны вступить в силу с сентября этого года.

Документ «Об установлении требований к обезличиванию персональных данных, методов и правил обезличивания персональных данных» опубликован на Федеральном портале проектов нормативных правовых актов.

Проект постановления правительства подготовлен в рамках реализации закона об обезличенных данных (N 233-ФЗ), принятого прошлым летом. Закон предусматривает формирование наборов обезличенных ПДн и создание защищенной системы для хранения и обработки такой информации (ФГИС).

По замыслу, бизнес и госструктуры будут передавать персональные данные в ГИС в обезличенном виде по запросу Минцифры. После формирования датасетов с ними можно будет работать в пределах контура ГИС с целью решения задач государственной важности либо проблем, представляющих научный интерес.

Порядок обезличивания персональных данных, согласно проекту постановления правительства в текущей редакции:

  1. Формирование требования о предоставлении данных осуществляет Минцифры на основании материалов исследований.
  2. Материалы исследования должны содержать обоснование запроса.
  3. Материалы исследований направляются на рассмотрение в федеральный орган, уполномоченный в области обеспечения безопасности.
  4. Запрос на предоставление данных направляется на согласование уполномоченным по безопасности, защите прав субъектов персданных, Банку России (рассмотрение до 15 календарных дней). В особых случаях Минцифры может направить оператору запрос без согласования.
  5. Оператор при получении запроса осуществляет обезличивание с использованием специализированного софта Минцифры (бесплатного).
  6. Процедура обезличивания персональных данных должна обеспечивать возможность внесения изменений и дополнений, а также повторного обезличивания без отката к исходному виду.
  7. По завершении обезличивания оператор подписывает данные усиленной квалифицированной электронной подписью и передает в ГИС Минцифры.

Что касается методов обезличивания персональных данных, регулятор предлагает утвердить их следующим образом:

  • введение идентификаторов — замена части сведений идентификаторами с созданием таблицы соответствия исходным данным;
  • изменение состава или семантики данных, в том числе путем замены или удаления части сведений;
  • декомпозиция — разбиение массива персональных данных на части с раздельным хранением;
  • перемешивание — перестановка записей и групп записей в массиве;
  • преобразование — агрегация данных через обобщение, например, по качественным и количественным значениям (атрибутам).

Операторы персональных данных должны будут соблюдать эти правила и методы, принять меры по защите ПДн и очистке от закрытой информации, обеспечить раздельное хранение ПДн и обезличенных данных, а при загрузке их в ГИС применять алгоритмы и софт, гарантирующие сохранность и целостность.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Google начинает следить за юзерами Android еще до открытия приложений
Новость
Google начинает следить за юзерами Android еще до открытия п...
Российские компании атакуют письмами якобы от ФСБ России
Новость
Российские компании атакуют письмами якобы от ФСБ России
Лондон требует от Apple создать бэкдор для доступа к данным iCloud
Новость
Лондон требует от Apple создать бэкдор для доступа к данным...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.