Вход |  Регистрация
 
 
Время электроники Понедельник, 9 декабря
 
 


Это интересно!

Ранее

WhatsApp начал мстить спецслужбам за слежку за своими пользователями

Мессенджер WhatsApp использовался спецслужбами по всему миру для слежки за нужными им людьми. Используя уязвимости сервиса, они внедряли через него на смартфоны жертв израильское шпионское ПО Pegasus, распространяемое по лицензии и разработанное компанией NSO Group. Facebook, владеющая WhatsApp, готовится засудить NSO за незаконное использование ее мессенджера.

Microsoft начала предупреждать о скорой смерти прошлогодней Windows 10

Windows 10 такая "дырявая" из-за, по сути, халтурного тестирования в Microsoft.

Microsoft сломала в Windows 10 принтеры, поиск и еще кое что

Как оказалось, необязательное накопительное обновление Windows 10 под номером KB4517211 приносит проблемы не только с принтерами.

Реклама

По вопросам размещения рекламы обращайтесь в отдел рекламы

Реклама наших партнеров

 

13 ноября 2019

Найден способ взлома крупнейших дистрибутивов Linux. Под ударом Ubuntu, Debian, FreeBSD и другие

В многоформатной библиотеке libarchive, используемой в Linux, Windows и macOS, обнаружилась уязвимость, позволяющая запускать произвольный код. Но только под Linux.

С

писок уязвимостей, выявленных в компонентах Linux в 2019 г., пополнился багом в библиотеке сжатия данных. Обнаруженная экспертами Google уязвимость CVE-2019-18408 позволяет запускать произвольный код в целевой системе.

Многоформатная библиотека libarchive использует единый интерфейс для чтения и записи файлов в различных форматах сжатия. Этой библиотекой пользуются сразу несколько операционных систем, диспетчеров пакетов, архиваторов и файловых браузеров. CVE-2019-18408 затрагивает крупнейшие дистрибутивы Linux, в том числе, Debian, Ubuntu, ArchLinux, а также FreeBSD и NetBSD.

Библиотека используется и в Windows, и в macOS, но пользователи этих ОС — в безопасности. Сама по себе CVE-2019-18408 — типичный баг класса use-after-free (использование памяти после ее освобождения).

«В libarchive, мультиформатной библиотеке для архивирования и сжатия, было обнаружено использование указателей после освобождения памяти, что может приводить к отказу в обслуживании и выполнению произвольного кода в случае обработки специально сформированного архива», — говорится в описании проблемы на Debian.org.

Иными словами, для успешной эксплуатации уязвимости потребуется заставить конечного пользователя уязвимой системы открыть специально подготовленный архив. Для этого обычно и применяется фишинг.

Индекс угрозе пока не присвоен. Уязвимость исправлена в версии 3.4.0, так что администраторам затронутых систем настоятельно рекомендуется установить это обновление libarchive.

«В течение этого года были выявлены множественные уязвимости в разных компонентах Linux, которые позволяли, в том числе, запускать произвольный код и захватывать контроль над всей системой, — отмечает Михаил Зайцев, эксперт по информационной безопасности компании SECConsultServices. — И это в текущей парадигме разработки ПО нормально и даже естественно. Уязвимости были, есть и будут в любых программных пакетах и операционных системах. Вопрос только в том, насколько активно их ищут и как быстро устраняют. Большинство популярных дистрибутивов Linux подвергаются интенсивному и массовому аудиту, что делает их безопаснее. Тем не менее, ожидать какой-то сверхзащищенности Linux, если это не специализированный дистрибутив, не стоит».

На момент публикации этой информации уязвимость закрыли только в некоторых обновленных дистрибутивах.

Источник: CNews

Комментарии

0 / 0
0 / 0

Прокомментировать







 

Горячие темы

 
 




Rambler's Top100
Руководителям  |  Разработчикам  |  Производителям  |  Снабженцам
© 2007 - 2019 Издательский дом Электроника
Использование любых бесплатных материалов разрешено, при условии наличия ссылки на сайт «Время электроники».
Создание сайтаFractalla Design | Сделано на CMS DJEM ®
Контакты