Тема про уязвимости вообще

Статус русского языка в ИТ и в обществе. Аргументы за программирование на русском языке: история, культура, производительность труда, цивилизационная идентичность. Информационная безопасность.
Аватара пользователя
Лис [Вежливый]
Сообщения: 272
Зарегистрирован: 08.10.18 13:32

CVE-2019-1367

Сообщение Лис [Вежливый] » 25.09.19 17:13

A remote code execution vulnerability exists in the way that the scripting engine handles objects in memory in Internet Explorer.
https://portal.msrc.microsoft.com/en-US ... -2019-1367

Аватара пользователя
Лис [Вежливый]
Сообщения: 272
Зарегистрирован: 08.10.18 13:32

Re: Тема про уязвимости вообще

Сообщение Лис [Вежливый] » 16.10.19 11:05

https://www.linux.org.ru/news/opensource/15291994
Баг в sudo позволяет выполнить от пользователя root любой исполняемый файл, даже если его исполнение с правами суперпользователя явно запрещено в /etc/sudoers.
Баг присутствует по всех версиях sudo до 1.8.28 (у меня в дистрибутиве версия 1.8.27, обновлять придётся вручную)

Аватара пользователя
Лис [Вежливый]
Сообщения: 272
Зарегистрирован: 08.10.18 13:32

2020-01-10

Сообщение Лис [Вежливый] » 11.01.20 04:33

https://www.pcworld.com/article/3513538 ... ately.html

an attacker could exploit the Javascript code to surreptitiously hack a user’s PC and install malicious code outside of Firefox.
it’s already being exploited in the wild.

БудДен
Сообщения: 882
Зарегистрирован: 07.10.18 14:01

Re: Тема про уязвимости вообще

Сообщение БудДен » 11.02.20 19:22

Уязвимость в криптографии во всех версиях Windows за последние 20 лет.

https://habr.com/ru/news/t/483996/

Аватара пользователя
Лис [Вежливый]
Сообщения: 272
Зарегистрирован: 08.10.18 13:32

CVE-2019-0090, В процессорах Intel нашли неустранимую уязвимость

Сообщение Лис [Вежливый] » 07.03.20 09:13

https://hvylya.net/reviews/v-processora ... imost.html
данная ошибка присутствует в большинстве чипсетов Intel, выпущенных за последние пять лет. Так как она позволяет организовать выполнение кода на нулевом уровне привилегий Intel CSME, то устранить эту ошибку с помощью обновления прошивки невозможно.
CSME = Intel's Converged Security Management Engine

https://www.theverge.com/2020/3/6/21167 ... nerability
Successful attacks would require skill and in most cases physical access to a machine, but some could be performed by other malware bypassing OS-level protections to perform local attacks.
Ну тут всё отлично, достаточно посмотреть на предыдущее сообщение в этом топике. 20 лет в ОС дыра.

error is hard-coded in the Mask ROM of microprocessors and chipsets,
Intel’s latest 10th Gen processors are not vulnerable

Аватара пользователя
Сандро
Сообщения: 36
Зарегистрирован: 07.10.18 14:39

Re: Тема про уязвимости вообще

Сообщение Сандро » 10.03.20 21:08

(недопереведённые цитаточки):
CSME = Механизм управления конвергентной безопасностью Intel
Успешные атаки потребуют навыков и, в большинстве случаев, физического доступа к компьютеру, но некоторые из них могут быть выполнены другими вредоносными программами, минуя средства защиты на уровне ОС для локальных атак.
ошибка жестко закодирована в ПЗУ-маске микропроцессоров и чипсетов, Новейшие процессоры Intel 10-го поколения не уязвимы


Аватара пользователя
Лис [Вежливый]
Сообщения: 272
Зарегистрирован: 08.10.18 13:32

2020-05-15, миллиард устройств под угрозой

Сообщение Лис [Вежливый] » 15.05.20 23:42

В iOS обнаружена уязвимость, появившаяся как минимум в версии 3.1.3 десятилетней давности. Она скрывается в фирменном почтовом клиенте Mail и позволяет удаленно взламывать iPhone и получать доступ к личной информации.

https://www.cnews.ru/news/top/2020-05-1 ... smartfonov

Аватара пользователя
Лис [Вежливый]
Сообщения: 272
Зарегистрирован: 08.10.18 13:32

снимок, который сломал смартфоны на базе Android

Сообщение Лис [Вежливый] » 16.06.20 00:36

https://zen.yandex.ru/media/thespaceway ... 1d5559cb8c

Фотограф-любитель Гаурав Агравал понятия не имел, что его замечательный снимок озера Святой Марии в Национальном парке Глейшер, штат Монтана, может привести к многочисленным поломкам смартфонов на базе Android.
Если фотография была установлена в качестве фона на смартфонах, работающих под управлением обновленной операционной системы Android 10, то аппарат начинал автоматически включаться и выключаться.

"Android заточен под цветовую модель sRGB, поэтому RGB да еще и с глюком при сохранении привел к неисправностям", - попытался объяснить ситуацию Android-разработчик Дилан Руссел.

Изображение

Аватара пользователя
Лис [Вежливый]
Сообщения: 272
Зарегистрирован: 08.10.18 13:32

Дыра в GRUB2

Сообщение Лис [Вежливый] » 30.07.20 17:04

https://www.linux.org.ru/forum/security/15832617

Из конфига grub.cfg можно вызывать переполнение какого-то буфера и загрузить буткит. Даже в системах с UEFI и загрузкой с проверяемыми контрольными суммами.

Ответить