Автор
KL FC Bot
в Новости и события из мира информационной безопасности
-
Похожий контент
-
Автор KL FC Bot
В мартовском вторничном патче компания Microsoft закрыла целых шесть уязвимостей, которые активно эксплуатируются злоумышленниками. Четыре из этих уязвимостей связаны с файловыми системами, причем три из них имеют одинаковый триггер, что может указывать на их использование в одной атаке. Детали их эксплуатации пока (к счастью) неизвестны, однако свежее обновление крайне рекомендуется к немедленной установке.
Уязвимости в файловых системах
Две из уязвимостей в системе NTFS позволяют злоумышленникам получить доступ к частям кучи (heap), то есть к динамически распределяемой памяти приложений. Что интересно, первая из них, CVE-2025-24984 (4,6 по шкале CVSS) подразумевает физический доступ злоумышленника к атакуемому компьютеру (он должен вставить в USB-порт подготовленный вредоносный накопитель). Для эксплуатации второй уязвимости типа Information Disclosure Vulnerability, CVE-2025-24991 (CVSS 5,5), злоумышленникам необходимо каким-то образом заставить локального пользователя подключить вредоносный виртуальный жесткий диск (VHD).
Точно также активизируются и две другие уязвимости, связанные с файловыми системами CVE-2025-24985, в драйвере файловой системы Fast FAT и CVE-2025-24993 в NTFS. Вот только их эксплуатация приводит к удаленному запуску произвольного кода на атакуемой машине (RCE). У обеих уязвимостей CVSS рейтинг составляет 7,8.
View the full article
-
Автор KL FC Bot
Когда год назад Microsoft анонсировала функцию «фотографической памяти» Recall для компьютеров Copilot+ PC, эксперты ИБ забили тревогу. Многочисленные недостатки Recall серьезно угрожали конфиденциальности, и в Редмонде отложили запуск, чтобы доработать решение. Видоизмененный Recall появился в сборках Windows Insider Preview с апреля 2025 года, а в мае 2025 года стал широко доступен на компьютерах, имеющих нужное оборудование. Суть Recall не изменилась — компьютер запоминает все ваши действия, постоянно делая скриншоты и распознавая с применением OCR их содержимое. Но защита этих данных серьезно улучшена. Насколько это меняет общую ситуацию с Recall и стоят ли некоторые его удобства возможной потери контроля над личной информацией?
Что изменилось во втором выпуске Recall
Со времен первого анонса, о котором мы подробно писали, в Microsoft адресно проработали основные претензии экспертов ИБ.
Во-первых, Recall теперь активируется только с разрешения пользователя при первоначальной настройке системы. Интерфейс не навязывает пользователям выбор визуальными трюками вроде выделения кнопки «Да».
Во-вторых, файлы базы данных Recall теперь шифруются, а хранение ключей и криптографические операции организованы на базе аппаратного модуля защиты TPM, так что их извлечение стало значительно сложнее.
В-третьих, специальный фильтр пытается не сохранять ни скриншоты, ни тексты, если на экране находится потенциально секретная информация: окно браузера в режиме инкогнито, окно ввода платежных данных, карточки в менеджере паролей и так далее. Важен акцент на слове «пытается» — все тестеры описывают многочисленные случаи, когда конфиденциальные данные проскочили фильтр и оказались в базе распознавания.
View the full article
-
Автор KL FC Bot
Недавно нашему бывшему коллеге пришла подозрительная нотификация от неизвестного ему сервиса GetGhared. Будучи человеком осторожным, он не стал переходить по ссылке, а сразу переслал уведомление нам. Проанализировав письмо, мы выяснили, что это действительно работа мошенников, а судя по статистике наших почтовых защитных решений, сервис для отправки больших файлов GetShared стал использоваться ими достаточно часто. Рассказываем, как выглядит применение GetShared в атаках, зачем злоумышленникам это нужно и как оставаться в безопасности.
Как выглядит атака при помощи GetShared
Жертве приходит вполне обычное, совершенно настоящее уведомление от сервиса GetShared, в котором говорится, что пользователю был прислан файл. В письме указаны название и расширение этого файла — например, в случае с атакой на компанию нашего коллеги это был DESIGN LOGO.rar.
Пример мошеннического письма, распространяемого через уведомление GetShared
В сопровождающем тексте применяется стандартная фишинговая уловка — мошенники запрашивают цены на что-то, якобы перечисленное в приложении, а для большей убедительности просят уточнить время доставки и условия оплаты.
View the full article
-
Автор KL FC Bot
Исследователь обнаружил уязвимость в PyTorch, фреймворке машинного обучения с открытым исходным кодом. Уязвимость, зарегистрированная под номером CVE-2025-32434, относится к классу Remote Code Execution (RCE) и имеет рейтинг 9,3 по шкале CVSS, то есть категорируется как критическая. Эксплуатация CVE-2025-32434 при определенных условиях позволяет злоумышленнику запускать на компьютере жертвы, скачивающей ИИ-модель произвольный код. Всем, кто использует PyTorch для работы с нейросетями, рекомендуется как можно скорее обновить фреймворк до последней версии.
Суть уязвимости CVE-2025-32434
Фреймворк PyTorch, помимо всего прочего, позволяет сохранять уже обученные модели в файл, который хранит веса связей. И, разумеется, загружать их при помощи функции torch.load(). Обученные модели часто выкладываются в общий доступ через разнообразные публичные репозитории и теоретически в них могут быть вредоносные закладки. Поэтому официальная документация проекта в целях безопасности рекомендует использовать функцию torch.load() с параметром weights_only=True (в таком случае загружаются только примитивные типы данных: словари, тензоры, списки, и так далее).
Уязвимость CVE-2025-32434 заключается в некорректно реализованном механизме десериализации при загрузке модели. Обнаруживший ее исследователь продемонстрировал, что атакующий может создать файл модели таким способом, что параметр weights_only=True приведет к прямо противоположному эффекту — при загрузке будет выполнен произвольный код, способный скомпрометировать среду, в котором запускается модель.
View the full article
-
Автор KL FC Bot
В апреле, с выходом Google Chrome 136, наконец решена проблема приватности, которая есть во всех крупных браузерах и о которой широко известно с 2002 года. Причем еще 15 лет назад зарегистрирована ее массовая эксплуатация недобросовестными маркетологами. Это угрожающее описание имеет известная и, казалось бы, безобидная функция, элемент удобства: когда вы посетили какой-то сайт, ссылку на него ваш браузер начинает показывать другим цветом.
«А хотите, я его кликну? Он станет фиолетовым в крапинку…»
Менять цвет ссылки на посещенные сайты (по умолчанию — с синего на фиолетовый) придумали 32 года назад в браузере NCSA Mosaic, и оттуда эту удобную для пользователя практику заимствовали практически все браузеры девяностых. Затем она вошла и в стандарт стилизации веб-страниц, CSS. По умолчанию такое перекрашивание работает во всех популярных браузерах и сегодня.
Еще в 2002 году исследователи обратили внимание, что этой системой можно злоупотреблять: на странице можно разместить сотни или тысячи невидимых ссылок и с помощью JavaScript проверять, какие из них браузер раскрашивает, как посещенные. Таким образом, посторонний сайт может частично раскрыть историю веб-браузинга пользователя.
В 2010 году исследователи обнаружили, что этой технологией пользуются на практике: нашлись крупные сайты, шпионящие за историей веб-браузинга своих посетителей. В их числе были YouPorn, TwinCities и еще 480 популярных на тот момент сайтов. Услугу анализа чужой истории предлагали сервисы Tealium и Beencounter, а против рекламной фирмы interclick, внедрившей эту технологию для аналитики, был подан судебный иск. Суд фирма выиграла, но производители основных браузеров изменили код обработки ссылок, чтобы считывать состояние посещенности ссылок «в лоб» стало невозможно.
Но развитие веб-технологий создавало новые обходные пути для подглядывания за историей посещений сайтов, хранимой браузером. Исследование 2018 года описало четыре новых способа проверять состояние ссылок, причем к двум из них были уязвимы все протестированные браузеры, кроме Tor Browser, а один из дефектов, CVE-2018-6137, позволял проверять посещенные пользователем сайты со скоростью до 3000 ссылок в секунду. Новые, все более сложные атаки по извлечению истории веб-браузинга, продолжают появляться и сейчас.
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти