Розробники OpenSSL випустили виправлення для трьох уразливостей в своєму проекті, експлуатація двох з яких дозволяє здійснювати атаки типу “відмова в обслуговуванні” (DoS).

Найбільш небезпечною проблемою (CVE-2021-23841) є уразливість, яка може привести до збою і “відмови в обслуговуванні”. Вона пов’язана з функцією (X509_issuer_and_serial_hash), яка ніколи не викликається безпосередньо самим OpenSSL.

Дослідник безпеки з Google Project Zero Tavis Ormandy повідомив про проблему, і розробники OpenSSL виправили її в версії OpenSSL 1.1.1j. У цій версії також була усунена уразливість (CVE-2021-23840), яка також може привести до збою в роботі.

Фахівці з компанії Trustwave повідомили про іншу проблему (CVE-2021-23839) в проекті OpenSSL – сервери, що використовують версію OpenSSL 1.0.2, уразливі до атак з відкотом версії SSL. Однак атака може бути запущена тільки проти певних конфігурацій, і уразливість зачіпає версію OpenSSL 1.1.1. Проблема була виправлена ​​у версії 1.0.2y, проте ця версія OpenSSL більше не підтримується, тому оновлення доступно тільки для клієнтів з преміум-підтримкою.

OpenSSL — відкритий програмний продукт, розроблений як універсальна бібліотека для криптографії, що використовує протоколи Secure Sockets Layer і Transport Layer Security. Використовується, зокрема, в бібліотеці cUrl для реалізації роботи за протоколом https.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як не стати жертвою кіберзлочину, якщо працюєш вдома? ПОРАДИ

Що таке спуфінг і як запобігти атаці? ПОРАДИ

Чи варто користуватися WhatsApp? П’ять правил безпеки від найбільш розшукуваного хакера світу

Як перенести бесіди з WhatsApp у Telegram на Android? – ІНСТРУКЦІЯ

Як перенести історію чату з WhatsApp у Telegram для iPhone? – ІНСТРУКЦІЯ

Як змінити на Android обліковий запис Google за замовчуванням? – ІНСТРУКЦІЯ

Як дізнатися, які дані Google знає про Вас і видалити їх? – ІНСТРУКЦІЯ

Діяльність одного з найбільших у світі фішингових сервісів для атак на фінансові установи різних країн припинили правоохоронці. Від фішингових атак цього сервісу, який створив та адміністрував 39-річний мешканець Тернопільщини, постраждали 11 країн світу.

Досліднику у галузі кібербезпеки вдалося зламати внутрішні системи понад 35 найбільших компаній, серед яких були Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla та Uber. У цьому фахівцеві допомогла нова атака на ланцюжок поставок софту.

Для обходу захисних поштових шлюзів і фільтрів автори адресних фішингових листів використовують новаторський спосіб приховування шкідливого вмісту сторінки. Теги JavaScript, впроваджувані в HTML-код, шифруються з використанням азбуки Морзе.

Нове сімейство програм-вимагачів під назвою Vovalex поширюється через піратський софт, замаскований під популярні утиліти для Windows – наприклад, CCleaner. Одна цей шифрувальник має певну особливість, що відрізняє його від інших “шкідників” подібного класу.