Компанія Google попередила власників ноутбуків Chromebook про небезпечну уразливість в експериментальній функції Chrome OS під назвою “вбудований ключ безпеки”, яка виконує процедури універсальної двофакторної аутентифікації (Universal 2nd Factor, U2F).
Ця функція дозволяє використовувати пристрій Chromebook аналогічно апаратного ключа безпеки USB/NFC/Bluetooth.
Функція може використовуватися при реєстрації або авторизації на сайті. Користувачі можуть натиснути кнопку живлення Chromebook, яка відправить на сайт криптографічний токен, аналогічний класичному апаратному ключу. Однак замість ключа на основі USB, NFC або Bluetooth користувач використовує свій Chromebook як доказ володіння і посвідчення особи.
Фахівці з Google виявили уразливість в прошивці мікросхем H1 версії 0.3.14 і більш ранніх, які використовуються для обробки криптографічних операцій функції “вбудованого ключа безпеки”. Прошивка чипа неправильно обробляє деякі операції і випадково урізає довжину деяких криптографічних підписів, полегшуючи їх злам.
Зловмисники можуть віддалено підробити ключ безпеки користувача. Але навіть якщо злочинці отримають підписи і закритий ключ для створення інших підписів, вони обійдуть тільки другий фактор у процесі класичної двофакторної аутентифікації. Зловмисникам як і раніше потрібно знати логін або пароль користувача для зламу облікових записів.
Google виправила цю уразливість в червні нинішнього року з випуском версії Chrome OS 75.
До речі, дослідник із безпеки компанії Exodus Intelligence виявив в одному з компонентів Chrome критичну уразливість, яка дозволяє зловмисникам виконати шкідливий код безпосередньо в браузері жертви.
Нагадаємо, в рамках щомісячної серії оновлень безпеки, відомої як “вівторок виправлень”, компанія Microsoft випустила 80 виправлень для 15 продуктів і сервісів, включаючи браузери Internet Explorer і Edge, Office, Skype for Business тощо.
Також дослідники з кібербезпеки з команди SpiderLabs компанії TrustWave виявили численні уразливості в деяких моделях маршрутизаторів від виробників D-Link і Comba Telecom, які пов’язані з небезпечним зберіганням облікових даних.
Стало відомо, що зловмисники можуть використовувати справжні файли Microsoft Teams для виконання шкідливого навантаження за допомогою підробленої папки встановлення.
Режим “Інкогніто” у браузерах надає належний рівень конфіденційності без додаткових зусиль. Він потрібен не лише для того, щоб браузер “не запам’ятовував” сайти, які Ви відвідали. Крім історії відвідувань, браузер не зберігає введені паролі і логіни, не зберігає файли cookies і не вивантажує дані сайтів в кеш. Всі ці три пункти містять конфіденційну інформацію про Вас і Ваші екаунти. А це завжди ласий шматочок для зловмисників. Як увімкнути конфіденційний режим у Chrome, Firefox, Opera, Internet Explorer, Microsoft Edge і Safari на різних платформах, читайте у статті.
Facebook виправила дві небезпечні уразливості в серверному додатку HHVM. Їх експлуатація дозволяє зловмисникам віддалено отримувати конфіденційну інформацію або викликати відмову в обслуговуванні системи шляхом завантаження шкідливого файлу в форматі JPEG.
Зверніть увагу, дослідник (Will Dormann) із Координаційного центру CERT виявив “сліпу зону” системи Windows і антивірусних програм – образи диска в форматах VHD і VHDX.
Ви можете покладатися на власну пам’ять, коли встановлюєте паролі. Але це ненадійно, тому що паролі, які важко підібрати, водночас важко запам’ятати. Тим паче, що їх може бути кілька десятків. Для таких випадків потрібні менеджери паролів. Про те, які вони бувають і як ними користуватися, дізнайтеся зі статті.
ШІ пройшов науковий тест для 8-го класу, але метод, який він застосовував, підкреслює відсутність у нього здорового глузду або чогось, що нагадувало б людську свідомість.
