Facebook виправила дві небезпечні уразливості в серверному додатку HHVM. Їх експлуатація дозволяє зловмисникам віддалено отримувати конфіденційну інформацію або викликати відмову в обслуговуванні системи шляхом завантаження шкідливого файлу в форматі JPEG.

HHVM (HipHop Virtual Machine) – високопродуктивна віртуальна машина з відкритим вихідним кодом, розроблена Facebook для виконання програм, написаних на мовах PHP і Hack. HHVM використовує підхід компіляції “на льоту” (just-in-time) для досягнення чудової продуктивності коду Hack і PHP при збереженні гнучкості розробки, яку забезпечує мова PHP.

Оскільки серверний додаток HHVM є відкритим, обидві уразливості зачіпають всі web-сайти, які використовують його, включаючи Wikipedia, Box і особливо ті, які дозволяють користувачам завантажувати зображення на сервер.

Уразливості (CVE-2019-11925 і CVE-2019-11926) пов’язані з можливим переповнення пам’яті в розширенні GD при передачі спеціально сформованого недійсного JPEG-файлу. При обробці маркерів блоку JPEG APP12 і маркерів M_SOFx із заголовків JPEG в розширенні GD виникають проблеми з перевіркою, що дозволяє зловмисникові отримати доступ до пам’яті за межами поля (out-of-bound).

Обидві уразливості зачіпають версії HHVM до 3.30.9, з 4.0.0 по 4.8.3, з 4.9.0 по 4.15.2, з 4.16.0 по 4.16.3, з 4.17.0 по 4.17.2, з 4.18.0 по 4.18.1, 4.19.0 і з 4.20.0 по 4.20.1. Розробники HHVM виправили уразливість, випустивши версії 4.21.0, 4.20.2, 4.19.1, 4.18.2, 4.17.3, 4.16.4, 4.15.3, 4.8.4 та 3.30.10.

До речі, китайська компанія Huawei веде переговори зі швейцарською ProtonMail на тему заміни поштового сервісу Gmail в своїх пристроях.

Нагадаємо, гнучкий смартфон Huawei може з’явитися на полицях крамниць вже наступного місяця. Про це йдеться у заяві глави споживчого бізнесу китайської технологічної компанії Річарда Ю (Richard Yu).

Також китайські кіберзлочинці націлилися на корпоративні VPN-сервери від Fortinet і Pulse Secure.

Стало відомо, Huawei готова надати іншим державам доступ до своїх вихідних кодів, для того щоб вони могли особисто переконатися у відсутності в них будь-яких бекдорів. Про це у вівторок, 3 вересня, заявив старший віце-президент компанії Джон Саффолк (John Suffolk) журналістам інформагентства Kyodo News.

Окрім цього, Apple визнала конструктивний недолік у деяких моделях Apple Watch, що може призвести до розтріскування екрана, і запустила програму заміни для постраждалих користувачів. Apple або уповноважені постачальники послуг безкоштовно замінять екран на відповідних моделях.

Twitter на невизначений термін відключила функцію Tweet via SMS, що дозволяє робити публікації в соціальній мережі через SMS-повідомлення. Причиною цього рішення став той факт, що кіберзлочинці скористалися Tweet via SMS для публікацій від імені як мінімум двох ключових фігур в Twitter.

Зверніть увагу, Ви можете повторно завантажувати будь-які додатки, які Ви купували або завантажували на свій iPhone або iPad раніше, Ви також можете завантажувати будь-які додатки, які придбали члени сім’ї, якщо Ви використовуєте функцію сімейного обміну від Apple.

Google випустила оновлення безпеки для своєї мобільної ОС Android, але не додала до нього патч як мінімум для однієї уразливості, що дозволяє підвищити привілеї до рівня ядра.

Cybercalm писав про те, як на смартфоні Аndroid можна записати розмову. Варто зауважимо, що вбудований функціонал із звукозапису бесіди присутній не у всіх версіях операційної системи. Як записувати розмови на останніх версіях Android, читайте у статті.