Более двух лет прошло с момента обнаружения 35 уязвимостей в кеширующем прокси Squid, и большинство из них до сих пор не устранено, предупреждает эксперт по безопасности, который первым сообщил о данных проблемах.

( читать дальше... )

>>> Подробности (securitylab.ru) (securitylab.ru)

В Mozilla обнаружили, что почтовый клиент Thunderbird стал распространяться на различных сторонних сайтах с вкомпилированным в него вредоносным ПО.

В рекламной сети Google появились объявления с предложением установить «готовые сборки» клиента. После установки такой сборки она начинает собирать конфиденциальную информацию о пользователе и отправлять ее на серверы мошенников, а затем пользователям приходит письмо с предложением заплатить за сохранение конфиденциальности.

( читать дальше... )

>>> Подробности (thunderbird.net)

Согласно опубликованному компанией Canonical сообщению некоторые пользователи столкнулись с наличием в Snap Store вредоносных пакетов. После проверки данные пакеты были удалены, установить их более невозможно.

( читать дальше... )

>>> Подробности (snapcraft.io)

ZDI (Zero Day Initiative) опубликовали сведения о трех найденных критических уязвимостях в почтовом сервере Exim, позволяющих выполнить произвольный код от имени процесса сервера, открывшего 25й порт. Для проведения атаки аутентификация на сервере не требуется.

1. CVE-2023-42115 — позволяет добиться записи своих данных за границами выделенного буфера. Вызвана ошибкой проверки входных данных в сервисе SMTP.
2. CVE-2023-42116 – вызвана копированием данных от пользователя в буфер фиксированного размера без проверки необходимого размера.
3. CVE-2023-42117 – также вызвана отсутствие проверки входных данных на 25 порту SMTP-сервиса.

Уязвимости отмечены как 0-day, что говорит о том, что их не исправляют, хотя по словам ZDI разработчики Exim уже давно предупреждены об их наличии. Возможно, исправление будет в версии 4.97 сервера, но это не точно.

В качестве защиты от этих уязвимостей на данный момент предлагается ограничение доступа к SMTP на 25 порту.

UPD. Похоже, что все не так страшно. Эти уязвимости носят локальный характер. Они не работают, если сервер не использует NTLM и EXTERNAL аутентификации, не закрыт за прокси, не использует потенциально опасные DNS-серверы и не использует spf в acl. Подробнее…

>>> Подробности (zerodayinitiative.com)

Компания Google опубликовала информацию и уже закрыла уязвимость в библиотеке libwebp, которая могла приводить к удалённому выполнению кода, когда пользовать просто открывает сайт. Библиотека libwebp используется во всех браузерах на движке Chromium, а также в приложениях на базе electron, в браузере Mozilla Firefox, Gimp, Inkscape, LibreOffice, Telegram, Thunderbird, ffmpeg и другом программном обеспечении. Затронуты также и другие операционные системы.

Суть уязвимости в переполнении буфера, которая позволяет злоумышленнику подготовить специальное WebP изображение, при открытии которого на машине пользователя выполнится код. Google не раскрывает подробности механизма эксплуатации уязвимости, но утверждает, что в сети уже доступны рабочие эксплоиты, основанные на ней.

Всем пользователям рекомендуется обновиться как можно скорее.

>>> Подробности (cve.org)

В поставляемом в ядре Linux драйвере для файловой системы exFAT выявлена уязвимость (CVE-2023-4273), позволяющая при монтировании специально оформленного раздела (например, при подключении вредоносного USB Flash) добиться переполнения стека и выполнения своего кода с правами ядра. Проблема устранена в выпусках ядра Linux 6.4.10, 6.1.45, 5.15.25, 5.10.90, 5.4.253, 4.19.291, 4.14.324 и 6.5-rc5. Проследить за исправлением в дистрибутивах можно на следующих страницах: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch.

( читать дальше... )

>>> Подробности (opennet.ru) (opennet.ru)

После многих лет разработки, протокол MLS наконец-то опубликован как стандарт RFC за номером 9420.

MLS позволяет организовать оконечное шифрование (End-to-End Encryption, E2EE) между неограниченным количеством участников. Главным отличием от существующих протоколов, таких как Proteus, Signal и т.д., является отсутствие привязки к конкретному сервису, что допускает его использование как поверх существующих протоколов, так и в рамках новых сервисов обмена сообщениями. Также стоит заметить, что в MLS реализован новый алгоритм обмена ключами, из-за чего отправка сообщений группе участников имеет логарифмическую сложность, а не линейную, что позволит использовать MLS в группах с тысячами и более участников, как например списки рассылок.

Среди сервисов, планирующих использовать MLS, можно отметить Matrix, Wire, Google и Facebook. Работники последних трёх так же принимали участие в разработке этого протокола.

Для желающих использовать протокол в своих разработках представлена реализация OpenMLS на языке Rust. OpenMLS опубликована под лицензией MIT.

>>> Краткий обзор протокола

>>> Официальный сайт

>>> Подробности (rfc-editor.org)

13 апреля Эдуардо Вела Нава, специалист из группы реагирования на безопасность продуктов Google, сообщил о новой уязвимости в ядре Linux 6.2, связанной с принципом работы уязвимости Spectre. О недостатке безопасности средней степени 31 декабря 2022 года специалисты сообщили в первую очередь поставщикам облачных услуг. 27 февраля 2023 года уязвимость уже была исправлена.

( читать дальше... )

>>> Подробности (securitylab.ru)

Исследователь Sönke Huster из Технического университета Дармштадта опубликовал подробности о 5 уязвимостях в стеке Wi-Fi ядра Linux (mac80211), эксплуатируемых «по воздуху». Три из уязвимостей гипотетически позволяют удалённое исполнение кода (RCE); две другие представляют собой атаки типа «отказ в обслуживании» (DoS).

В основе всех пяти уязвимостей лежит неправильная работа с памятью (переполнения буфера, use-after-free или разыменование нулевых указателей). Для эксплуатации уязвимостей достаточно отправить специальным образом сформированные фреймы Wi-Fi.

Уязвимостям присвоены номера CVE-2022-41674, CVE-2022-42719, CVE-2022-42720, CVE-2022-42721, CVE-2022-42722.

Утверждается, что уязвимости (по крайней мере, некоторые из них) были добавлены в первом квартале 2019 года. Уязвимы все версии Linux, начиная с 5.1 или 5.2.

>>> Подробности (lwn.net)

Срок действия сертификата SSL, используемого ПАО Сбербанк для защиты своих сервисов, истёк сегодня. Поскольку все корневые сертификаты контролируются США, а также из-за политики санкций, удостоверяющие центры, имеющие право выпустить новый сертификат, отказали ПАО Сбербанк в продлении.

Поэтому с сегодняшнего дня ПАО использует новый сертификат выданный от имени «Russian Trusted Sub CA». Загрузить его можно с сайта госуслуг. По указанной ссылке доступны файлы сертификата и инструкции для популярных ОС (Linux в списке отсутствует). Сайт госуслуг удостоверяется сертификатом, выданным Sectigo и поэтому пока доступен в любых браузерах.

Также новый сертификат уже встроен в браузеры Яндекс.браузер и Атом.

>>> Подробности (sberbank.ru)

Выпущены релизы безопасности matrix-js-sdk и matrix-react-sdk, чтобы исправить пару уязвимостей высокой степени серьезности (зарезервированных как CVE-2022-36059 для matrix-js-sdk и CVE-2022-36060 для matrix-react-sdk).

( читать дальше... )

>>> Подробности (matrix.org)

Исследователи из Северо-западного Университета в Иллинойсе, Zhenpeng Lin, Yuhang Wu и Xinyu Xing опубликовали данные об уязвимости DirtyCred (идентификатор — CVE-2022-2588). Уязвимыми авторы называют все версии ядра, вышедшие за последние 8 лет.

Уязвимость использует технику use-after-free. Из-за ошибки в файле net/sched/cls_route.c ядро может сначала освободить память, а затем повторно использовать её. В данном случае в памяти размещаются реквизиты доступа, что позволяет злоумышленнику выполнить свою программу с повышенными привилегиями. Для эксплуатации уязвимости необходима программа с SUID битом, доступная злоумышленнику, например, su или sudo.

DirtyCred похожа на мартовскую DirtyPipe, но позволяет больше, например, выход из контейнера.

Прототип эксплоита пока не представлен. Атаки типа use-after-free достаточно сложны в исполнении и не гарантируют стабильный результат, однако обновиться всё-таки стоит.

>>> Подробности (redhat.com)

Demi Marie Obenour из Invisible Things Lab обнаружила уязвимость в GnuPG. Злоумышленник может вызвать отказ в обслуживании (продолжительное зависание), отправляя на проверку открепленные GPG-подписи или сертификаты, содержащие один сжатый пакет с повторенной много раз цифровой подписью. Исследователю удалось израсходовать более минуты процессорного времени на проверку входных данных размером менее 5 килобайт.

( читать дальше... )

>>> Подробности (marc.info)

Rizin – фреймворк для реверс-инжиринга, начавшийся как форк Radare2, продолживший его развитие с уклоном в большую чистоту кода, удобный API и фокусом на анализе кода без форенсики. С момента форка проект перешел на принципиально отличный механизм сохранения сессии («проектов») в виде состояния на базе сериализации. Кроме того, переработан парсер команд и их организация, в сторону большей организации и удобства.

Cutter – графическая оболочка для Rizin, написанная на Qt/C++. Cutter, как и сам Rizin, нацелен на процесс обратной разработки программ в машинном коде или байткоде (например JVM или PYC).

Для Cutter/Rizin существуют плагины декомпиляции на основе Ghidra (только С++ код, без Java), JSdec, RetDec.

В этом релизе:

• добавлена поддержка создания сигнатур FLIRT, которые потом могут быть загружены в IDA Pro;
• в стандартую поставку включена база стандартных сигнатур для популярных библиотек;
• улучшено распознавание функций и строк исполняемых файлов на Go для x86/x64/PowerPC/MIPS/ARM/RISC-V;
• новый язык промежуточного представления RzIL на базе BAP Core Theory (SMT-подобный язык);
• добавлена возможность авто-определения базового адреса для «сырых» файлов;
• поддержка загрузки в отладочном режиме «слепков» памяти на базе Windows PageDump/Minidump форматов;
• улучшена работа с удаленными отладчиками на базе WinDbg/KD.

На данный момент на новый RzIL переведена поддержка архитектур ARMv7/ARMv8, AVR, 6052, brainfuck. К следующему релизу планируется завершить SuperH, PowerPC, частично x86.

Также дополнительно выпущены:

• rz-libyara – плагин для Rizin/Cutter для поддержки загрузки и создания сигнатур в формате Yara;
• rz-libdemangle – библиотека расшифровки имён функций для языков C++/ObjC/Rust/Swift/Java;
• rz-ghidra – плагин для Rizin/Cutter для декомпиляции (на базе C++ кода Ghidra);
• jsdec – плагин для Rizin/Cutter для декомпиляции оригинальной разработки;
• rz-retdec – плагин для Rizin/Cutter для декомпиляции (на базе RetDec);
• rz-tracetest – утилита перекрёстной проверки корректности трансляции машинного кода в RzIL путём сравнения с трассой эмуляции (на базе QEMU, VICE).

>>> Подробности (github.com)

Компании QNAP и Synology заявили о многочисленных критических Netatalk-уязвимостях серверов.

Согласно опубликованному отчёту Synology, с помощью многочисленных уязвимостей удалённые злоумышленники могут получить конфиденциальную информацию и, возможно, выполнить произвольный код с помощью уязвимой версии Synology DiskStation Manager (DSM) и Synology Router Manager (SRM).

Производитель уведомил своих клиентов и о трёх других уязвимостях CVE-2022-23125, CVE-2022-23122 и CVE-2022-0194, позволяющих удаленному злоумышленнику запускать произвольный код на целевых устройствах. Несмотря на то, что в прошлом месяце команда разработчиков Netatalk выпустила исправления безопасности для устранения недостатков, Synology сообщает, что выпуск некоторых из затронутых продуктов все еще «продолжается».

Компания также добавила, что уязвимости Netatalk уже исправлены для устройств, работающих под управлением DiskStation Manager (DSM) 7.1 или более поздней версии.

Тайваньский поставщик под брендом QNAP также призывает специалистов отключить AFP-протокол на сетевых хранилищах (Network Attached Storage, NAS) до устранения существующих недостатков. Кроме того, компания объявила об исправлении уязвимости в QTS 4.5.4.2012 build 20220419 и более поздних версиях.

>>> Подробности на новостном портале securitylab (securitylab.ru)

Благодаря исследователям безопасности из компании Microsoft, были выявлены две уязвимости CVE-2022-29799 и CVE-2022-29800 в сервисе networkd-dispatcher, в связке позволяющие получить права root. Уязвимости было присвоено кодовое имя Nimbuspwn.

Networkd-dispatcher разрабатывается отдельно от systemd, но применяется во многих дистрибутивах Linux, использующих для настройки параметров сети фоновый процесс systemd-networkd. Связанный с networkd-dispatcher фоновый процесс выполняется с правами root и принимает сигналы о событиях через шину D-Bus. Информация о событиях, связанных с изменением состояния сетевых соединений, отправляется сервисом systemd-networkd. Проблема в том, что непривилегированные пользователи могут сформировать событие о несуществующем состоянии и инициировать запуск своего скрипта, который будет выполнен с правами root.

Кроме того, изучение работы networkd-dispatcher привело к обнаружению ряда других проблем: выход за пределы директории, гонки из-за символических ссылок и из-за модификации данных — все это может быть использовано в злонамеренных целях.

>>> Подробности (microsoft.com)

Уязвимость в компоненте pkexec пакета Polkit, идентифицированная как CVE-2021-4034 (PwnKit), присутствует в конфигурации всех основных дистрибутивов Linux и может быть использована для получения привилегий root в системе, предупреждают исследователи из Qualys.

Уязвимый участок кода был отслежен до начального коммита pkexec, более 12 лет назад, что означает, что все текущие версии Polkit затронуты.

Бхарат Джоги, директор по исследованию уязвимостей и угроз в Qualys, пояснил, что PwnKit — это «уязвимость повреждения памяти в Polkit, которая позволяет любому непривилегированному пользователю получить полные привилегии root на уязвимой системе, при использовании конфигурации Polkit по умолчанию».

Код эксплойта для доказательства концепции (PoC), уже стал общедоступным.

>>> Подробности (bleepingcomputer.com)