Фахівці команди з CERT-Bund виявили уразливість в мультимедійному програвачі VLC Media Player. Баг дозволяє віддалене виконання коду.
Проблема була виявлена в VLC Media Player 3.0.7.1, яка є останньою стабільною версією програми. Уразливість переповнення буфера (CVE-2019-13615) дозволяє отримати доступ до інформації, змінити файли і порушити роботу сервісу. Вона зачіпає функцію mkv::demux_sys_t::FreeUnused() в modules/demux/mkv/demux.cpp і з’являється під час виклику mkv:: Open в modules/demux/mkv/mkv.cpp.
Дослідники стверджують, що до уразливості схильні деякі версії VLC Media Player для настільних комп’ютерів на базі Windows, Linux і UNIX. Розробник VLC Media Player компанія VideoLAN розпочала роботу над виправленням уразливості приблизно чотири тижні тому. Патч вже завершено на 60%. Поки немає ніякої інформації про використання уразливості зловмисниками.
До речі, в плагіні Ad Inserter для WordPress, встановленому на більш ніж 200 000 сайтів, знайшли уразливість, яка дозволяє зловмисникові віддалено виконати PHP-код. Уразливість зачіпає всі web-сайти на WordPress з встановленою версією Ad Inserter 2.4.21 або нижче.
Також компанія Vivo впроваджує нову унікальну технологію для своїх смартфонів, що отримала назву “Dual Wi-Fi Acceleration”. Вона дозволяє підключатися до двох Wi-Fi одночасно для більш стабільного з’єднання.
Стало відомо, що Facebook вбудовує приховані коди в фотографії, завантажені користувачами на сайт. Компанія може відстежувати пов’язану з ними активність і використовувати ці дані для таргетованої реклами.
Окрім цього, дослідник із безпеки Лаксман Мутія (Laxman Muthiyah) повідомив про критичну уразливість в мобільному додатку Instagram. Експлуатація уразливості дозволяла скинути пароль для всіх облікових записів Instagram і отримати повний контроль над ними.
Зверніть увагу, співробітники Служби безпеки України спільно з партнерами із США припинили діяльність потужного хакерського угруповання. Відео замаскованого центру дивіться тут.
Google оголосила про триразове збільшення розміру максимальних сум, виплачуваних у рамках програми винагороди за знайдені уразливості в браузері Chrome і його компонентах.
Хакерське угрупування StrongPity використовує шкідливі версії WinRAR і Winbox з метою встановлення шпигунського ПЗ.
За даними Financial Times, вірус Pegasus, розроблений ізраїльською компанією NSO Group, збирає дані користувачів iCloud.