У програмі VLC Media Player було виявлено 15 уразливостей. Дві з них мають високий рівень серйозності, п’ять – середній, три – низький, а решта поки не отримали оцінку.
Більшість уразливостей були виявлені дослідниками з Semmle Security Team і Pulse Security. Найнебезпечнішою уразливістю є CVE-2019-14970, яка зачіпає демультиплексор MKV – компонент, відповідальний за мультиплексування цифрових і аналогових файлів. Її експлуатація дозволяє записувати дані за межами виділеної області пам’яті. Дослідники також виділили схожу уразливість (CVE-2019-14438), що дозволяє зловмисникові отримати доступ до ПК жертви за допомогою шкідливого відеофайлу формату .mkv. Для виконання атаки необхідно, щоб користувач завантажив шкідливий файл і відкрив його на своєму комп’ютері.
Уразливості середньої серйозності (CVE-2019-14437, CVE-2019-14776, CVE-2019-14777, CVE-2019-14778, CVE-2019-14533) також можуть бути використані в рамках шкідливої кампанії зловмисника, коли заражений файл розміщується у відкритому доступі.
Уразливості зачіпають медіаплеєр VLC версії 3.0.7.1. Розробники вже випустили оновлену версію 3.0.8, в якій виправлені виявлені вразливості.
До речі, про те, що Kaspersky Lab і вся його лінійка продуктів пов’язана з російськими спецслужбами, українські фахівці попереджали давно. Про те, що ці антивіруси сильно навантажують навіть комп’ютери середньої потужності, теж попереджали. Про те, що там купа “дірок”- теж говорили. І ось наочний доказ останнього – знайдена ще одна вразливість, яка пов’язана з відстежуванням користувачів на сайтах.
Нагадаємо, що шахраї крадуть облікові записи Steam, використовуючи для цього спеціально розроблений сайт з “безкоштовними роздаванням ігор”. За допомогою вкрадених екаунтів зловмисники намагаються заманити нових жертв.
Також у браузері Chrome з’явиться функція перевірки паролів, яка значно підвищить безпеку користування. Поки що нововведення призначено лише для настільної версії, але у майбутньому може бути перенесено і до мобільної.
Стало відомо, що дослідники з компанії Avanan, що займається питаннями безпеки електронної пошти, виявили нову фішингову кампанію. Зловмисники за допомогою повідомлень голосової пошти Microsoft Voicemail намагаються змусити жертву відкрити вкладення HTML, що перенаправляє на фішингові web-сторінки.
Окрім цього, більшість мобільних дзвінків у всьому світі здійснюються за стандартом Global System for Mobile Communications. Дослідники виявили недолік стандарту GSM, який дозволяє хакерам слухати Ваші дзвінки.
Microsoft не заперечує, що працівники компанії та підрядні організації можуть прослуховувати аудіозаписи розмов Skype і запити Cortana. Як видалити свою конфіденційну інформацію із серверів Microsft, йдеться у статті.
Зверніть увагу, в браузері Chrome з’явиться функція перевірки паролів, яка значно підвищить безпеку користування. Поки що нововведення призначено лише для настільної версії, але у майбутньому може бути перенесено і до мобільної.
Дослідник Педро Кабрера (Pedro Cabrera) продемонстрував на конференції Defcon наскільки уразливі для зламу сучасні Smart TV, що використовують підключений до Інтернету стандарт HbbTV.
Дослідники з Netflix і Google виявили низку багів у кількох реалізаціях протоколу HTTP/2. Експлуатація яких дозволяє зловмисникам викликати відмову в обслуговуванні на не оновлених серверах. Згідно зі статистикою, це 40% від усіх web-сайтів в Інтернеті.
