В популярном менеджере паролей KeePass обнаружена уязвимость, эксплуатация которой позволяет извлечь мастер-пароль из памяти приложения. За счёт этого злоумышленники, которым удалось скомпрометировать устройство жертвы, могут похить все хранящиеся в менеджере пароли, даже если база данных заблокирована.

Источник изображения: hothardware.com

Упомянутая уязвимость отслеживается под идентификатором CVE-2023-3278. Её обнаружил исследователь в сфере информационной безопасности, известный под ником vdohney. Он опубликовал на GitHub краткое описание проблемы и PoC-эксплойт, предполагающий использование уязвимости KeePass. Проблема затрагивает KeePass 2.53 и более ранние версии приложения.

Дело в том, что в KeePass для ввода пароля используется поле SecureTextBoxEx, которое сохраняет вводимые пользователем символы в память в открытом виде. Это означает, что злоумышленнику достаточно завладеть дампом памяти, причём это может быть дамп процесса, файла подкачки pagefile.sys, файла гибернации hiberfil.sys, различных аварийных дампов или дампа памяти всей системы. Также не имеет значения, заблокировано или нет рабочее пространство и запущен ли KeePass.

Эксплойт тестировался в Windows, но, вероятно, его скорректированная версия будет работать и в macOS, так как уязвимость связана с тем, как приложение обрабатывает данные при вводе пароля, а не с самой операционной системой. Ожидается, что уязвимость будет исправлена в KeePass 2.54, запуск которого должен состояться в ближайшие несколько недель.

Предназначенное для macOS приложение Telegram содержит уязвимость, через которую злоумышленник может получить доступ к веб-камере и микрофону компьютера, обнаружил инженер Google Дэн Рева (Dan Revah).

Источник изображения: Rubaitul Azad / unsplash.com

Уязвимость клиента Telegram под macOS была выявлена ещё в феврале, и тогда же администрация платформы получила о ней уведомление. Но администрация Telegram на сообщение не отреагировала, и Рева принял решение предать своё открытие широкой огласке.

Уязвимость возникла из-за возможности интеграции в Telegram сторонней динамической библиотеки (Dylib). Из-за этого приложение обходит средства защиты Hardened Runtime и Entitlements: первое предназначено для защиты от вредоносного кода и манипуляций с памятью, а второе — для контроля над доступом к микрофону, камере и другим компонентам компьютера.

В результате становится возможным внедрить на компьютер собственную динамическую библиотеку, запуск которой будет производиться от имени Telegram с его полномочиями — она позволит негласно записывать звук и видео, сохраняя записи в файле. При включении инструмента LaunchAgent такая вредоносная библиотека сможет самостоятельно запускаться после перезагрузки компьютера, а открывать мессенджер для этого уже не потребуется.

Проблема возникла из-за того, что на macOS отсутствует жёсткое требование поддержки Hardened Runtime в приложениях, тогда как на iOS оно есть.

По данным ресурса Phoronix, компания Intel на прошлой неделе выпустила обновление микрокода для своих центральных процессоров, исправляющее некую уязвимость в сфере информационной безопасности, причём затронуло оно весьма широкий ассортимент моделей, включая мобильные версии Kaby Lake, которые дебютировали ещё в 2016 году.

Если учесть, что плановый выход преимущественно программных обновлений состоялся не так давно во вторник, то появление рекомендаций по обновлению микрокода процессоров в пятницу могло говорить о недавнем обнаружении сопутствующих уязвимостей. К сожалению, о характере уязвимостей внятной информации нет, но затрагивают они широкий перечень поколений процессоров, начиная от самых современных Alder Lake и Sapphire Rapids, и заканчивая довольно древними мобильными Kaby Lake.

Пользователям Linux соответствующие обновления уже доступны, в дальнейшем производители материнских плат должны будут включить эти исправления в грядущие версии BIOS, а программные исправления наверняка поступят к пользователям Windows по обычным каналам обновлений ещё быстрее.