Раніше між виправленням уразливостей в бібліотеці з відкритим вихідним кодом і доставкою патчів у Chrome проходило 33 дні.
Інженери компанії Google повідомили про скорочення удвічі “вікна” між виходом патчів і їх реалізацією у відповідному ПЗ. Справа в тому, що донедавна між виправленням уразливостей в бібліотеці з відкритим вихідним кодом і доставкою виправленої бібліотеки в Google Chrome проходило 33 дні. Тепер, за словами інженерів Google, з виходом Chrome 78 проміжок скоротився до 15 днів.
В цей час компоненти з відкритим початковим кодом використовуються в багатьох програмах, і подібні “вікна” є серйозною загрозою безпеки. Коли уразливість виправлена у відкритій бібліотеці, про неї стає відомо широкому загалу. Використовуючи подробиці про уразливість, зловмисники можуть створити для неї експлойт і атакувати ПЗ із уразливим компонентом до виходу виправленої версії. Якщо нові версії ПЗ виходять за графіком, а оновлення безпеки – раз на кілька тижнів або навіть місяців, з’являється “вікно”, яке дуже на руку зловмисникам.
Google Chrome є якраз одним із таких проектів, покладаються на компоненти з відкритим вихідним кодом і страждають від “вікна” між виходом і реалізацією виправлень.
До речі, шкідник-вимагач FTCODE знову проявив активність, але тепер він ще й має нові можливості крадіжки інформації, орієнтовані на браузери та сервіси електронної пошти.
Зверніть увагу, дослідники Google виявили у браузері Apple Safari численні уразливості, що дозволяли стежити за активністю користувачів в Інтернеті.
Цікаво, що поки не вийшло офіційне виправлення від Microsoft, на платформі 0patch став доступний тимчасовий мікропатч для уразливості, яку активно зараз експлуатують, – CVE-2020-0674 з віддаленого виконання коду в браузері Internet Explorer 11.
Також Apple передумала давати користувачам iPhone можливість шифрувати дані, які зберігаються в iCloud.
Окрім цього, фахівці представили зразок здирницького програмного забезпечення, яке шифрує файли за допомогою компонента Windows.
Мобільний телефон генерального директора Amazon Джеффа Безоса зламали за допомогою шкідливого відео, відправленого через повідомлення в месенджері WhatsApp.
