Сегодня 09 сентября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В PHP нашли опасную уязвимость, через которую легко заражать вирусами ПК на Windows

XAMPP и другие веб-серверы на PHP оказались под прицелом хакеров. На днях специалисты по кибербезопасности сообщили о серьёзной уязвимости в популярном языке программирования PHP, которая позволяет злоумышленникам удаленно выполнять вредоносный код на устройствах с Windows. Уязвимость получила идентификатор CVE-2024-4577.

 Источник изображения: Caspar Camille Rubin/Unsplash

Источник изображения: Caspar Camille Rubin/Unsplash

По словам экспертов, эксплуатировать эту уязвимость очень просто благодаря встроенной в Windows функции Best Fit, которая неверно преобразует некоторые Unicode-символы в PHP. Злоумышленники могут использовать метод внедрения аргументов, чтобы заставить PHP-интерпретатор выполнять произвольные команды, сообщает Ars Technica.

Уязвимость затрагивает версии PHP, работающие в режиме CGI, когда веб-сервер передает HTTP-запросы интерпретатору PHP для обработки. Однако даже если режим CGI не используется, атаковать можно установки PHP с доступными извне исполняемыми файлами интерпретатора. Такая конфигурация включена по умолчанию в популярном пакете XAMPP для Windows.

Исследователи продемонстрировали факт того, как злоумышленник может преобразовать безобидный HTTP-запрос в команду для запуска PHP-интерпретатора с дополнительными аргументами, которые разрешают удалённое выполнение PHP-кода из тела запроса. Внедрение аргумента «-d allow_url_include=1 -d auto_prepend_file=php://input» примет следующие входные данные:

 Источник изображения: Arstechnica.com

Источник изображения: Arstechnica.com

А в подтверждение того, что цель RCE была достигнута должна появиться страница phpinfo.php. Таким образом обходится защита от похожей уязвимости 2012 года (CVE-2012-1823).

 Источник изображения: Arstechnica.com

Источник изображения: Arstechnica.com

После публикации деталей уязвимости организация Shadowserver начала сканирование интернета и обнаружила тысячи уязвимых серверов. Учитывая простоту атаки, потенциальную опасность и широкое распространение PHP, эксперты рекомендуют администраторам срочно установить патч, чтобы избежать возможных атак.

Уязвимость была найдена Оранжем Цаем (Orange Tsai) из компании Devcore в рамках аудита безопасности PHP. По его словам, несмотря на тривиальность, эта ошибка представляет большой интерес для исследования. Разработчики PHP выпустили исправление в тот же день после сообщения, в четверг, 6 июня.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
«До сих пор отходим от похмелья»: разработчики Ghost of Yotei с размахом отпраздновали перенос GTA VI 2 ч.
Нейросеть Google Veo 3 научилась создавать вертикальные видео для соцсетей 3 ч.
Разработчики Hollow Knight: Silksong сжалились над игроками — первый патч сделает метроидванию чуть проще 3 ч.
По мотивам «Повести временных лет» выпустят MMORPG на стыке научной фантастики и фэнтези с «эпической историей» и геймплеем «нового уровня» 5 ч.
Антиспам-сервис Microsoft начал блокировать безопасные ссылки в Teams и Exchange Online, и отправлять письма в карантин 5 ч.
Пароли «admin» и другие дыры в кибербезопасности сети ресторанов Burger King выявили белые хакеры 6 ч.
Из Meta продолжается массовый исход специалистов в сфере ИИ — Цукерберг пытается его остановить, но безуспешно 6 ч.
Microsoft тестирует новые ИИ-функции в «Проводнике» Windows 11 6 ч.
Бывший сотрудник подал на WhatsApp в суд из-за игнорирования проблем с кибербезопасностью 8 ч.
Соцсети заполонили боты: Сэм Альтман пожаловался, что интернет стал искусственным из-за ИИ 9 ч.
Дебютировали Apple Watch SE 3 с усиленным стеклом, AoD, повышенной автономностью и 5G — от $249 44 мин.
Nvidia внезапно представила ИИ-чип Rubin CPX со 128 Гбайт GDDR7 для обработки длинных контекстов 46 мин.
Стартап Modos разработал первый в мире дисплей на электронной бумаге с частотой обновления 75 Гц 2 ч.
Глава AMD Лиза Су выступит с докладом на CES 2026 — ожидаются анонсы о новых Ryzen, Radeon и Instinct 3 ч.
«Она для энтузиастов, готовых потратиться»: Lenovo попыталась оправдать высокую цену Legion Go 2 3 ч.
Геотермальная энергия стоит очень дорого, но стартап Dig Energy обещает снизить затраты на 80 % 4 ч.
Alterego представила носимое устройство с «почти телепатическими способностями» для общения со скоростью мысли 5 ч.
Бескабельные серверы и стойки Softbank помогут роботам вытеснить людей из ЦОД 5 ч.
Asus запустила продажи видеокарты ProArt GeForce RTX 5080 OC с отделкой под дерево и USB-C 5 ч.
QuantumScape показала первый в мире транспорт на твердотельных аккумуляторах — модифицированный мотоцикл Ducati V21L 5 ч.