Дослідники з Netflix і Google виявили низку багів у кількох реалізаціях протоколу HTTP/2. Експлуатація яких дозволяє зловмисникам викликати відмову в обслуговуванні на не оновлених серверах.
Проблеми зачіпають сервери, що підтримують HTTP/2. Згідно зі статистикою W3Techs, це 40% від усіх web-сайтів в Інтернеті.
Всього було виявлено вісім уразливостей, які можуть бути проексплуатовані віддалено. За словами дослідників, всі вектори атак є варіаціями однієї і тієї ж схеми, коли клієнт провокує відповідь з уразливого сервера, а потім відмовляється його прочитати. Залежно від можливості сервера керувати чергами, клієнт здатний використовувати його надмірну пам’ять і ЦП для обробки вхідних запитів.
Уразливостям були присвоєні такі CVE: CVE-2019-9511, CVE-2019-9512, CVE-2019-9513, CVE-2019-9514, CVE-2019-9515, CVE-2019-9516, CVE-2019-9517 і CVE- 2019-9518. Їх експлуатація дозволяє атакуючому запитувати величезну кількість даних. Залежно від того, як дані будуть ставати в чергу і споживати надлишкові ресурси ЦП, це може привести відмови в обслуговуванні.
Як повідомляє координаційний центр CERT, уразливості зачіпають продукти таких постачальників, як Amazon, Apache, Apple, Facebook, Microsoft, nginx, Node.js і Ubuntu. Деякі компанії вже виправили виявлені проблеми, а також зафіксували кілька безуспішних атак зловмисників.
До речі, трафік Telegram тепер може маскуватися під протокол HTTPS (TLS+HTTP/2.0) – з цією метою в код клієнта був доданий префікс секрету “ee”. Також на додаток до base16 (hex) з’явилася можливість шифрувати секрет в адресі проксі-сервера за допомогою base64.
Нагадаємо, з мобільними додатками для Android можна буде працювати за комп’ютером із Windows або macOS. Так, під час заходу Samsung Unpacked 2019 корейський гігант представив додаток Samsung DeX for PC.
Також фахівці компанії Avast виявили дивного шкідника Clipsa, який не тільки краде криптовалюту, підміняє адреси гаманців у буфері користувачів і встановлює майнери на заражені машини, але і запускає на скомпрометованих хостах брутфорс-атаки проти WordPress-сайтів.
Стало відомо, що в п’ятницю, 9 серпня, на конференції для розробників генеральний директор споживчого напрямки Huawei Річард Юй (Richard Yu) здивував аудиторію, презентувавши “HarmonyOS”, яка, за його словами, є більш швидкою і безпечною системою, ніж Android.
Окрім цього, дослідник із безпеки виявив уразливості в низці пристроїв, експлуатація яких дозволяє перетворити девайс у “наступальну” низькосортну кіберзброю.
Фахівці Microsoft виявили в Remote Desktop Services (RDS) чотири нові критичні уразливості на зразок нещодавно виправленій BlueKeep.
Зверніть увагу, Android-пристрої можуть постачатися із вбудованим шкідливим ПЗ і бекдорами через недостатній контроль виробників і постачальників.
Дослідники з безпеки з Pen Test Partners виявили численні уразливості в маршрутизаторах 4G від різних компаній, експлуатація яких дозволяє отримати доступ до конфіденційної інформації користувачів.
Компанія HYP3R збирала і зберігала інформацію про мільйони користувачів Instagram без їх відома, повідомляє видання Business Insider.