Сегодня 02 июня 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В PHP нашли опасную уязвимость, через которую легко заражать вирусами ПК на Windows

XAMPP и другие веб-серверы на PHP оказались под прицелом хакеров. На днях специалисты по кибербезопасности сообщили о серьёзной уязвимости в популярном языке программирования PHP, которая позволяет злоумышленникам удаленно выполнять вредоносный код на устройствах с Windows. Уязвимость получила идентификатор CVE-2024-4577.

 Источник изображения: Caspar Camille Rubin/Unsplash

Источник изображения: Caspar Camille Rubin/Unsplash

По словам экспертов, эксплуатировать эту уязвимость очень просто благодаря встроенной в Windows функции Best Fit, которая неверно преобразует некоторые Unicode-символы в PHP. Злоумышленники могут использовать метод внедрения аргументов, чтобы заставить PHP-интерпретатор выполнять произвольные команды, сообщает Ars Technica.

Уязвимость затрагивает версии PHP, работающие в режиме CGI, когда веб-сервер передает HTTP-запросы интерпретатору PHP для обработки. Однако даже если режим CGI не используется, атаковать можно установки PHP с доступными извне исполняемыми файлами интерпретатора. Такая конфигурация включена по умолчанию в популярном пакете XAMPP для Windows.

Исследователи продемонстрировали факт того, как злоумышленник может преобразовать безобидный HTTP-запрос в команду для запуска PHP-интерпретатора с дополнительными аргументами, которые разрешают удалённое выполнение PHP-кода из тела запроса. Внедрение аргумента «-d allow_url_include=1 -d auto_prepend_file=php://input» примет следующие входные данные:

 Источник изображения: Arstechnica.com

Источник изображения: Arstechnica.com

А в подтверждение того, что цель RCE была достигнута должна появиться страница phpinfo.php. Таким образом обходится защита от похожей уязвимости 2012 года (CVE-2012-1823).

 Источник изображения: Arstechnica.com

Источник изображения: Arstechnica.com

После публикации деталей уязвимости организация Shadowserver начала сканирование интернета и обнаружила тысячи уязвимых серверов. Учитывая простоту атаки, потенциальную опасность и широкое распространение PHP, эксперты рекомендуют администраторам срочно установить патч, чтобы избежать возможных атак.

Уязвимость была найдена Оранжем Цаем (Orange Tsai) из компании Devcore в рамках аудита безопасности PHP. По его словам, несмотря на тривиальность, эта ошибка представляет большой интерес для исследования. Разработчики PHP выпустили исправление в тот же день после сообщения, в четверг, 6 июня.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Разработчик Bulletstorm и Gears of War: E-Day остановил производство двух секретных игр — в People Can Fly пройдут новые увольнения 39 мин.
Грядущая конференция Apple WWDC для разработчиков будет скудна на новости в сфере ИИ 6 ч.
Valorant получит долгожданный просмотр сыгранных матчей и переедет на Unreal Engine 5 до конца 2025 года 11 ч.
На долю взлома аккаунтов на «Госуслугах» приходится 90 % от общего числа преступлений с неправомерным доступом к данным 01-06 07:04
Старые устройства Apple получают обновления безопасности спустя годы, вопреки официальным срокам поддержки 01-06 06:14
Новая статья: RoadCraft — восстановление разрушенного. Рецензия 01-06 00:08
Новая статья: Gamesblender № 728: SteamOS против Windows, анонсы Warhammer Skulls и вторая жизнь WRC 31-05 23:35
В Twitch появятся перемотка, вертикальные трансляции и не только 31-05 15:25
Суд склоняется к мягким мерам по устранению монополии Google в онлайн-поиске, но окончательное решение придётся подождать 31-05 13:35
Google запустила ИИ-генератор видео Veo 3 для мобильных устройств на Android и iOS 31-05 08:11
EnCharge AI представила аналоговые ИИ-ускорители EN100 58 мин.
Новая статья: Сравнительный тест камер флагманских смартфонов (2025): Apple iPhone 16 Pro Max, HONOR Magic 7 Pro, HUAWEI Mate 70 Pro, Samsung Galaxy S25 Ultra, vivo X200 Pro, Xiaomi 15 Ultra 9 ч.
Новая статья: Тест-драйв российского электромобиля «Атом»: гибрид «Оки» и Tesla 10 ч.
Трамп отозвал кандидатуру Джареда Айзекмана на пост главы NASA — в этом замешан Илон Маск 17 ч.
xMEMS готовит ультразвуковые кулеры µCooling для E3.S и M.2 SSD 20 ч.
SpaceX вывела на орбиту очередную партию спутников Starlink и снова посадила первую ступень носителя 01-06 07:50
Intel и SoftBank намерены разработать более экономичную альтернативу памяти HBM 01-06 07:48
Тонкий Galaxy S25 Edge показал удивительную прочность в тесте на изгиб и других испытаниях 01-06 01:52
Intel представила EMIB-T — технологию упаковки многокристальных чипов с поддержкой HBM4 и UCIe 01-06 01:48
Sharp представила прочный флагманский смартфон Aquos R10 с 240-Гц экраном и более доступный Wish 5 31-05 18:35