Компания Intel в своём последнем отчёте о безопасности продуктов раскритиковала двух крупнейших конкурентов — AMD и Nvidia. По словам Intel, у AMD более чем в четыре раза больше уязвимостей в программном обеспечении, а у Nvidia на 80 % больше проблем, связанных с безопасностью графических процессоров.

Источник изображения: Intel

Первые три пункта свежего отчёта 2024 Intel Product Security Report компания посвятила себе самой. В них она, в частности, подчёркивает эффективность своей внутренней исследовательской группы по безопасности продуктов. По словам Intel, в прошлом году 96 % новых программных уязвимостей и 100 % проблем, так или иначе связанных с её аппаратными продуктами, были обнаружены силами самой компании.

Последние три пункта отчёта Intel сосредоточены на её двух основных конкурентах — AMD и Nvidia. По словам Intel, AMD в своих отчётах безопасности сообщила о «в 4,4 раза большем количестве уязвимостей ПО, связанных с аппаратным корнем доверия» и «в 1,8 раза большем количестве уязвимостей ПО в их конфиденциальных вычислительных технологиях», чем у Intel. А у Nvidia в 2024 году были обнаружены исключительно уязвимости высокой степени риска.

Intel также утверждает, что AMD самостоятельно обнаружила только 57 % всех известных новых уязвимостей своих продуктов. Это означает, что остальные 43 % проблем, связанных с безопасностью, были выявлены сторонними исследователями. Кроме того, отмечает Intel, в продуктах AMD в настоящее время имеются 78 уязвимостей, для которых «не планируются исправления», что может говорить о том, что AMD пока не нашла для них решения. Intel, напротив, заявила, что смягчила последствия или полностью устранила все обнаруженные уязвимости, связанные с аппаратным корнем доверия, во всех своих затронутых продуктах.

Intel также похвасталась, что у её графических процессоров уязвимостей оказалось меньше, чем у конкурентов — всего 10 проблем, из которых только одна имела высокую степень риска. Остальные угрозы классифицируются как среднего уровня. В то же время Nvidia сообщила о 18 проблемах с безопасностью своих GPU, все из которых оказались уязвимостями высокой степени риска. Причём 13 из этих уязвимостей потенциально позволяют злоумышленникам удалённо выполнять код на уязвимом ПК.

В универсальных драйверах для принтеров HP (HP Universal Print Driver) версий PCL 6 и PostScript обнаружены критические уязвимости, которые могут позволить злоумышленникам внедрить и выполнить вредоносный код, говорится в свежем отчёте безопасности производителя. Компания уже выпустила обновления, закрывающие эти дыры в безопасности, и рекомендует установить их немедленно.

Источник изображения: HP

Проблемы безопасности связаны со сторонними компонентами, использующимися в составе драйверов. Список уязвимостей, имеющих статус критических и обладающих высоким риском, состоит из:

• CVE-2017-12652 (выполнение произвольного кода);
• CVE-2022-2068 (выполнение произвольного кода);
• CVE-2023-45853 (раскрытие информации);
• CVE-2020-14152 (отказ в обслуживании).

Универсальные драйверы печати HP поддерживаются тысячами различных моделей принтеров и поэтому широко используются. Самостоятельно проверить, затронут ли ваш принтер вышеуказанным уязвимостям, можно с помощью этого списка принтеров от HP.

Все версии универсальных драйверов HP для принтеров, исключая текущую версию 7.3.0.25919, затронуты критическими уязвимостями безопасности и должны быть обновлены. Последние версии драйверов доступны на странице загрузки обновлений сайта HP.

Все старые версии драйверов HP в системе следует вручную удалить после установки новой версии, поскольку они не удаляются автоматически. Администраторам рекомендуется дважды проверить, что системой используются только новейшие драйверы, а все файлы старых драйверов удалены.

Тайваньский производитель сетевого оборудования Zyxel заявил, что не планирует выпускать обновления ПО для своих устройств и закрывать две недавно обнаруженные уязвимости, которые активно эксплуатируются киберпреступниками и могут затрагивать несколько тысяч клиентов.

Источник изображения: greynoise.io

Критические уязвимости нулевого дня в маршрутизаторах Zyxel активно эксплуатируются киберпреступниками, сообщила в конце января специализирующаяся на анализе угроз компания GreyNoise. Эти ошибки позволяют злоумышленникам выполнять на устройствах произвольные команды, что приводит к компрометации системы, утечкам данных и проникновению в локальную сеть. Ещё в июле прошлого года их обнаружила компания VulnCheck, в августе Zyxel была поставлена об этом в известность, но производитель до сих пор ничего не предпринял.

Лишь накануне на сайте Zyxel появилось сообщение, что компания «недавно» узнала о двух уязвимостях, которые проходят под номерами CVE-2024-40890 и CVE-2024-40891 и, по её словам, затрагивают несколько продуктов с истекшими сроками поддержки. VulnCheck, по версии тайваньского производителя, ничего об этих уязвимостях не сообщала, и о проблеме он узнал лишь в январе, когда GreyNoise рассказала, что они активно эксплуатируются. Ошибки затрагивают «устаревшие продукты, срок эксплуатации которых истёк много лет назад», подчеркнула Zyxel, поэтому компания не намерена выпускать исправляющие их обновления ПО.

Производитель рекомендовал клиентам заменить уязвимые маршрутизаторы «продуктами нового поколения для оптимальной защиты». При этом в списке снятых с поддержки устройств на сайте Zyxel данные устройства не упоминаются, а некоторые из них до сих пор продаются на Amazon, из чего можно сделать вывод, что на практике они остаются актуальными, обратила внимание VulnCheck. Почти 1500 уязвимых устройств сейчас доступны через интернет, гласят данные профильной поисковой системы Censys. Анализ ботнетов, включая Mirai показал, что одна из уязвимостей устройств Zyxel эксплуатируется на практике, а следовательно, это оборудование может использоваться в крупномасштабных атаках, обратила внимание GreyNoise.

Google выпустила февральское обновление Android и закрыла в нём опасную уязвимость ядра ОС, которая предположительно эксплуатировалась злоумышленниками. Закрыты также несколько уязвимостей, связанных с компонентами производителей — партнёров Google.

Источник изображения: Denny Müller / unsplash.com

В обновлении Google Android закрыта ошибка CVE-2024-53104 — уязвимость в коде включённого в ядро Linux драйвера видеоустройств с USB. Об этой ошибке известно немногое: в исправленном виде алгоритм пропускает анализ неопределённых кадров видео — в противном случае ядро записывало бы в память данные, которых там оказаться не должно. Эта ошибка могла эксплуатироваться, чтобы спровоцировать сбой на устройстве или полный захват этого устройства.

Изначально код драйвера предназначен для работы с сигналами USB-камер и других источников видео, а значит, эксплуатация предполагает подключение вредоносного оборудования, передающего в систему неверные данные. Уязвимость, рассказали в Google, могла эксплуатироваться в целях «физического повышения привилегий без потребности в дополнительных привилегиях на выполнение». То есть для получения контроля над гаджетом под управлением Android к нему было достаточно подключить особым образом подготовленное устройство. «Существуют признаки того, что CVE-2024-53104 может подвергаться ограниченной целенаправленной эксплуатации», — признали в Google.

Всего в февральском обновлении исправлены 46 уязвимостей. Одна из них, за номером CVE-2024-45569, имела рейтинг 9,8 из 10, относилась к модулям локальной беспроводной связи Qualcomm и позволяла запускать удалённое выполнение кода или провоцировать сбой на устройстве. Ещё одна представляла собой уязвимость ядра за номером CVE-2025-0088 — она позволяла подменять таблицы системных страниц, а эксплуатирующее её приложение могло обеспечить злоумышленнику контроль над уязвимым устройством. В компонентах Qualcomm выявлены 10 уязвимостей; в компонентах MediaTek — 5; в компонентах Imagination Technologies — 4, связанные с графической подсистемой PowerVR. Первыми обновление Android получат владельцы устройств Google Pixel, а за ними — обладатели поддерживаемых устройств других производителей. Samsung, крупнейший партнёр Google, только закончила развёртывать январское.

По сложившейся практике, разработчики и исследователи в сфере информационной безопасности сообщают поставщикам скомпрометированной продукции о своих открытиях, чтобы те имели возможность устранить прорехи. Только после этого информация о них предаётся огласке. Google в сентябре прошлого года нашла уязвимости в серверных процессорах AMD EPYC на архитектурах с Zen по Zen 4.

Источник изображения: AMD

Как отмечается авторами бюллетеня, найденная уязвимость позволяла злоумышленникам с правами локального администратора через инструкцию RDRAND загружать вредоносные патчи микрокода, запускать на виртуальных машинах жертвы вредоносное программное обеспечение и получать доступ к его данным. Уязвимость заключается в том, что процессор использует небезопасную хэш-функцию при проверке подписи обновлений микрокода. Эта уязвимость может быть использована злоумышленниками для компрометации конфиденциальных вычислительных рабочих нагрузок, защищенных новейшей версией AMD Secure Encrypted Virtualization, SEV-SNP, или для компрометации Dynamic Root of Trust Measurement.

В зоне риска оказался обширный список серверных процессоров EPYC Naples, Rome, Milan и Genoa. Специалисты Google передали всю необходимую для устранения уязвимости информацию по конфиденциальным каналам 25 сентября прошлого года, после чего к 17 декабря AMD смогла распространить необходимые обновления среди своих клиентов. Так что на данный момент исправления для уязвимости уже есть.

Выдержав необходимую для полноценного устранения уязвимостей клиентами AMD паузу, Google сообщила о найденной уязвимости на страницах GitHub. Чтобы дополнительно обезопасить клиентов AMD, представители Google дополнительные подробности об уязвимости и инструменты для работы с ней пообещали продемонстрировать не ранее 5 марта текущего года.

Американские эксперты в области кибербезопасности обнаружили две уязвимости, присутствующие во всех актуальных устройствах iPhone, iPad и Mac, а также во многих моделях предыдущих поколений. Уязвимостям присвоили названия SLAP и FLOP — эти ошибки позволяют гипотетическим злоумышленникам просматривать содержимое всех вкладок в браузерах на устройствах.

Источник изображения: apple.com

Уязвимости SLAP (Speculation Attacks via Load Address Prediction) и FLOP (False Load Output Predictions) появились в процессорах Apple A15 и M2, а также в более поздних чипах. Ошибки выявили исследователи Технологического института Джорджии (США). Эти уязвимости схожи с обнаруженными ранее Spectre и Meltdown. Они связаны с технологией спекулятивного выполнения — процессор пытается предсказать будущие команды и заранее загружает необходимые для их выполнения данные. Внедрив в этот процесс некорректные данные, гипотетический злоумышленник получает возможность считывать содержимое памяти, которое не должно быть доступно.

Каждая вкладка браузера Safari изолирована — сайт, открытый на одной вкладке, не может получить данные с того, что открыт на соседней. Уязвимость SLAP, которую можно эксплуатировать, заставив жертву посетить вредоносный сайт, открывает его владельцу доступ к любой другой вкладке Safari. Это может быть электронная почта, местоположение в Apple Maps, банковские реквизиты и любая другая конфиденциальная информация. FLOP позволяет добиться того же результата, но является более опасной ошибкой, поскольку работает не только с Safari, но и с Chrome. Устанавливать вредоносное ПО на компьютер Mac не требуется — атака осуществляется с использованием уязвимостей в собственном коде Apple, а вероятность её обнаружения чрезвычайно мала.

Угроза актуальна для Apple iPhone 13, 14, 15, 16 и SE 3-го поколения; iPad Air, Pro и mini, начиная с моделей 2021 года; MacBook Air и Pro, начиная с моделей 2022 года; Mac mini, Studio, Pro и iMac, начиная с моделей 2023 года. Apple получила уведомление об уязвимости SLAP в мае, а о FLOP — в сентябре 2024 года. В настоящее время компания работает над исправлением ошибок. Подтверждений того, что уязвимости эксплуатировались злоумышленниками на практике, обнаружить не удалось.

«Основываясь на нашем анализе, мы не считаем, что эта проблема представляет непосредственную угрозу нашим пользователям. <…> В настоящее время не существует мер предосторожности, которые можно предпринять, за исключением обычной осмотрительности при посещении веб-сайтов», — заявили в Apple ресурсу Bleeping Computer.

Apple опубликовала списки уязвимостей, которые были закрыты с выходом общедоступных обновлений iOS 18.3 и iPadOS 18.3, macOS Sequoia 15.3, а также watchOS 11.3. В общей сложности компания закрыла 98 ошибок, касающихся работы этих платформ. Владельцам совместимых устройств рекомендуется установить данные обновления, чтобы защититься от выявленных угроз.

На iOS и iPadOS 18.3 пришлись 26 исправленных ошибок. Пять из них приходятся на функцию AirPlay — они позволяли вызывать сбои в работе приложения и системы, осуществлять атаки типа «отказ в обслуживании» (DoS), а также выполнять произвольный код. Выявлены уязвимости в компонентах ARKit (функции дополненной реальности), CoreAudio, CoreMedia, ImageIO, в ядре системы, в модулях LaunchServices, libxslt, в компоненте ключей доступа для авторизации без пароля, в движке WebKit, браузере Safari и других компонентах.

В macOS Sequoia 15.3 компания Apple закрыла 57 уязвимостей. Они были связаны с компонентами AirPlay, AppleMobileFileIntegrity, ARKit, приложением FaceTime, службой iCloud, ядром системы, браузером Safari и движком WebKit, сетевым протоколом SMB и другими компонентами. И ещё 15 уязвимостей Apple закрыла с выпуском watchOS 11.3. Четыре связаны с AirPlay, две — с ядром системы, две — с движком WebKit, затронутыми оказались и другие компоненты платформы для смарт-часов.

Накануне также вышли обновления Apple visionOS 2.3, iPadOS 17.7.4, macOS Sonoma 14.7.3 и Ventura 13.7.3, tvOS 18.3 и Safari 18.3.

AMD подтвердила, что у её процессоров была обнаружена уязвимость — сведения о её наличии просочились в открытый доступ до того, как компания успела выпустить исправляющее ошибку обновление ПО. Проблема предположительно затрагивает процессоры потребительской линейки Ryzen, но суть ошибки AMD пока не изложила и не уточнила, каких моделей она касается.

Источник изображения: amd.com

О том, что проблема существует, рассказал эксперт по вопросам кибербезопасности Тэвис Орманди (Tavis Ormandy) из подразделения Project Zero компании Google. Он сообщил, что Asus выпустила бета-версию обновления BIOS для своих материнских плат, и упомянул о наличии уязвимости у процессоров AMD. Впоследствии он отредактировал свою публикацию, убрав упоминание уязвимости. AMD подтвердила, что уязвимость существует, но для её эксплуатации требуются локальный административный доступ к целевой машине и специальный микрокод.

«AMD осведомлена о недавно обнаруженной уязвимости процессоров. Для реализации атаки требуется доступ к системе на уровне локального администратора, разработка и запуск вредоносного микрокода. AMD предоставила методы по смягчению последствий и активно сотрудничает во своими партнёрами и клиентами над их развёртыванием. AMD рекомендует клиентам продолжать придерживаться принятых в отрасли стандартов безопасности и работать только с проверенными поставщиками при установке нового кода на свои системы. AMD планирует выпустить отчёт о безопасности с дополнительными рекомендациями и вариантами смягчения последствий», — заявил представитель компании ресурсу The Register. Прочих подробностей в AMD не сообщили.

Исследователи в области кибербезопасности Сэм Карри (Sam Curry) и Шубхам Шах (Shubham Shah) обнаружили в информационно-развлекательной системе Subaru Starlink (не связана со спутниковым провайдером от SpaceX) уязвимости, позволяющие частично перехватывать управление автомобилем и следить за его передвижениями.

Источник изображений: subaru.com

Взлом системы Starlink экспертам удалось произвести через веб-портал Subaru. Повторив их действия, потенциальный злоумышленник получает возможность открывать автомобиль, подавать звуковой сигнал, запускать двигатель, а также переназначать эти функции любому телефону или ПК. Обнаружилось также, что в системе присутствует возможность отслеживать местоположение автомобиля Subaru — не только где он находится в настоящий момент, но и историю его передвижений. Взлом производился на примере машины, принадлежащей матери господина Карри — он увидел в системе все её поездки к врачу, в гости к друзьям, и даже парковочное место, на котором она оставляла автомобиль, когда приезжала в церковь. Обнаруженная экспертами уязвимость была действительна для систем Subaru Starlink в США, Канаде и Японии.

Специалисты установили доменное имя ресурса, через который осуществляется удалённое управление функциями автомобилей. Изучив этот сайт, они нашли способ получить административные привилегии: подобрав адрес электронной почты сотрудника, они производили сброс его пароля. Для этого система запрашивала ответ на два контрольных вопроса, но их проверка осуществлялась локальным скриптом в браузере пользователя, а не на сервере Subaru, и обойти такую защиту было нетрудно. На LinkedIn они обнаружили электронную почту разработчика Subaru Starlink, взломали его учётную запись на административном портале и обнаружили, что у него есть доступ к поиску любого владельца автомобиля Subaru по фамилии, почтовому индексу, адресу электронной почты, номеру телефона или номерному знаку — найдя нужный автомобиль, они получали доступ к конфигурации Starlink.

Карри и Шах сообщили о своих открытиях компании Subaru в конце ноября, и автопроизводитель оперативно принял меры для исправления уязвимостей. Это решило проблему безопасности, но оставило проблему конфиденциальности: даже если потенциальные злоумышленники лишились возможности перехватывать функции управления автомобилями и считывать историю перемещения транспортных средств, всё это по-прежнему могут делать работники Subaru. В компании подтвердили, что её работники действительно имеют доступ ко всем этим функциям, но заверили, что они проходят надлежащую подготовку и подписывают соглашения о неразглашении; на практике же доступ к местоположению машины им якобы предоставляется, чтобы сообщать его службам быстрого реагирования, если система обнаружит ДТП.

Тот факт, что Subaru отслеживает передвижения автомобилей своего производства, свидетельствует, что во всём автопроме больше нет гарантий конфиденциальности, указывает Сэм Карри. Так, сотрудник Google, как предполагается, не может читать переписку пользователей Gmail, а в Subaru история передвижений транспортных средств открыта для работников компании. Ранее стало известно, что в открытом доступе оказались аналогичные данные автомобилей VW Group из-за действий входящей в концерн компании Cariad.

Компания Nvidia сообщила об исправлении нескольких критических уязвимостей безопасности в своих графических драйверах и программном обеспечении для управления виртуальными GPU. Эти уязвимости затрагивают операционные системы Windows и Linux.

Источник изображения: Nvidia

Последние обновления программного обеспечения Nvidia нацелены на устранение нескольких уязвимостей безопасности, которые позволяют злоумышленникам с локальным доступом выполнять вредоносный код, красть данные или вызывать сбои в работе затронутых систем. Среди исправлений выделяются две уязвимости высокой степени опасности. Первая с маркировкой CVE-2024-0150 связана с переполнением буфера в драйвере дисплея GPU, что может привести к компрометации системы вследствие подделки данных, и раскрытию информации. Вторая критическая проблема с маркировкой CVE-2024-0146 затрагивает диспетчер виртуального GPU, где скомпрометированная гостевая система может вызвать повреждение памяти, что потенциально может привести к выполнению вредоносного кода и захвату системы.

Nvidia рекомендует пользователям систем Windows обновиться как минимум до версии драйвера 553.62 (ветвь R550) или до версии 539.19 (ветвь R535). Пользователям Linux необходимо установить версию драйвера 550.144.03 или 535.230.02 в зависимости от ветви драйвера.

Обновления охватывают линейки продуктов Nvidia RTX, Quadro, NVS и Tesla. Корпоративные среды, использующие технологии виртуализации Nvidia, могут столкнуться с дополнительными рисками без установки последних обновлений безопасности. В частности, уязвимость с маркировкой CVE-2024-53881 позволяет гостевым системам прерывать соединение хост-машин, что может привести к сбоям в работе всей системы. Чтобы исправить эти уязвимости безопасности, пользователи программного обеспечения виртуальных графических процессоров должны обновиться до версии драйвера 17.5 (550.144.02) или 16.9 (535.230.02).

Компания поясняет, что уязвимости нацелены на системы, к которым злоумышленники имеют локальный доступ. Однако в виртуальных средах, где несколько пользователей совместно используют ресурсы графических процессоров, эти уязвимости представляют значительную угрозу безопасности. Системные администраторы могут загрузить обновления безопасности со страницы загрузки драйверов Nvidia. Корпоративные клиенты сред vGPU должны получить исправления через портал лицензирования Nvidia. Компания рекомендует немедленно установить эти обновления на всех затронутых системах.

Компания Baicells Technologies, основанная в 2014 году, начиная с 2015 года поставила телекоммуникационное оборудование для 700 коммерческих мобильных сетей во всех штатах США. Недавно Министерство торговли США и ФБР начали расследование в отношении Baicells на предмет возможных рисков для нацбезопасности. Источники сообщают, что ФБР обратило внимание на компанию ещё в 2019 году, а в 2021 году агенты ФБР вызывали на допрос одного из руководителей Baicells North America.

Несмотря на то что санкции практически уничтожили американский бизнес китайских технологических компаний Huawei и ZTE, Вашингтон сохраняет опасения в отношении китайского телекоммуникационного оборудования, подозревая его производителей в шпионаже. «Проверка этого вопроса была бы в верхней части моего списка», — заявил Джон Карлин (John Carlin), бывший главный прокурор по национальной безопасности Министерства юстиции.

В этом месяце Пентагон добавил Baicells в список из 134 компаний, сотрудничающих с китайскими военными, не предоставив при этом никаких доказательств или дополнительных комментариев. Внесение в этот список не имеет юридической силы, но может нанести удар по репутации компаний. «Мы категорически не согласны с решением Министерства обороны и намерены подать апелляцию», — сообщил представитель Baicells.

Вашингтон обвиняет Китай в перехвате конфиденциальных данных и взломе телекоммуникационных сетей. Эксперты правительства США утверждают, что китайские спецслужбы, получив удалённый доступ к маршрутизаторам и базовым станциям, могут перехватывать или вмешиваться в их трафик, нарушать их работоспособность или проводить кибератаки. Хотя нет прямых доказательств того, что какое-либо оборудование Baicells применялось не по назначению, официальные лица США утверждают, что именно эта техника использовалась широким кругом поддерживаемых Китаем хакерских групп по всему миру.

Федеральные власти США были обеспокоены тем, что поставщик услуг беспроводного интернета KGI Communications развернул базовые станции Baicells в Кинг-Джордже, штат Вирджиния, недалеко от Центра надводных боевых действий ВМС в Дальгрене, где испытывается гиперзвуковое оружие. Поставщику было рекомендовано отказаться от его планов.

В 2023 году сотрудники ФБР обратили внимание на планы Лас-Вегаса по расширению существующей сети ещё 82 базовыми станциями Baicells. В результате Лас-Вегас расторг контракт и вместо этого обратился к поставщику из США.

Источник изображений: Baicells

Изначально Beijing Baicells Technologies Co была основана в 2014 году несколькими бывшими сотрудниками Huawei, большинство из которых на сегодняшний день покинуло компанию. В 2016 году Baicells открыла офис в Плейно, пригороде Далласа, где располагалась штаб-квартира американского научно-исследовательского подразделения Huawei Futurewei.

Представитель Baicells утверждает, что компания никогда не имела деловых отношений с Huawei. При этом четыре бывших сотрудника, напрямую знакомых с китайским руководством Baicells, утверждают, что компания управляется из Китая, а любые управленческие решения должны быть одобрены специальным советом.

Чтобы успокоить опасения клиентов США по поводу связей Baicells с Китаем, в последние годы менеджерам по продажам было поручено говорить, что оборудование было произведено на Тайване. Однако из таможенных данных следует, что 92 % поставок оборудования Baicells в США с 2018 года по июль 2024 года были произведены в Китае или Гонконге, и лишь 8 % — на Тайване.

Агентство по киберзащите США CISA, входящее в состав Министерства внутренней безопасности, опубликовало в 2023 году сообщение об уязвимости базовых станций Baicells Nova. CISA контролирует список из 16 критически важных инфраструктурных сетей, к которым, в частности, относятся водоснабжение, энергия, финансовые услуги и телекоммуникации. В общей сложности CISA опубликовала два предупреждения по безопасности и четыре уведомления об уязвимостях в маршрутизаторах и базовых станциях Baicells, обозначив как минимум пять из них как «критические».

Анализ, проведённый после этого компанией Censys, показал, что от 28 до 186 базовых станций Baicells в США по-прежнему используют уязвимую прошивку, что потенциально подвергает их риску взлома. Комментируя результаты расследования, представитель Baicells в ответ сообщил, что компания «предприняла позитивные шаги для обеспечения безопасности наших продуктов и проактивно решает любые проблемы безопасности».

Представитель посольства Китая в США Лю Пэнъюй (Liu Pengyu) в очередной раз призвал Вашингтон прекратить использовать проблемы кибербезопасности для обвинения Китая. Председатель правления Baicells Technologies Сунь Лисинь (Sun Lixin) заявил, что североамериканское подразделение компании открыто для сотрудничества по любым запросам правительства США, отметив, что продукция компании «не несёт каких-либо рисков безопасности».

Во вторник, 14 января, компания Microsoft по традиции выпустила крупный пакет обновлений безопасности. Этот релиз стал самым масштабным за последние несколько лет — в Windows, Office, Edge и других приложениях и службах было устранено 159 уязвимостей, что почти вдвое превышает обычное количество исправлений. По данным Microsoft, три из этих уязвимостей уже эксплуатируются «в дикой природе», а ещё пять были публично известны ранее.

Источник изображения: Microsoft

Microsoft традиционно предоставляет ограниченную информацию об уязвимостях для самостоятельного анализа в руководстве по обновлению безопасности. Известно, что основная часть исправлений, 132 уязвимости, касается различных версий ОС Windows, поддерживаемых Microsoft (Windows 10, Windows 11 и Windows Server).

По данным компании, три из устранённых уязвимостей безопасности Windows активно эксплуатируются. Уязвимости Hyper-V с идентификаторами CVE-2025-21333, CVE-2025-21334 и CVE-2025-21335 позволяют зарегистрированным злоумышленникам выполнять код с повышенными привилегиями из гостевой системы. Информация о масштабах использования этих эксплойтов не раскрывается.

Microsoft классифицирует восемь уязвимостей Windows как критические. Например, уязвимость CVE-2025-21298 в Windows OLE (CVSS 9.8) может быть использована через специально созданное электронное письмо, если оно открыто в Outlook. Включённый предварительный просмотр вложения может привести к внедрению и выполнению вредоносного кода.

Уязвимости CVE-2025-21297 и CVE-2025-21309 (CVSS 8.1) в службах удалённых рабочих столов сервера могут быть использованы злоумышленниками для удалённой атаки без необходимости входа пользователя в систему.

Также было устранено 28 схожих уязвимостей удалённого выполнения кода (RCE, CVSS 8.8) в службе телефонии Windows. Эти уязвимости классифицируются как высокорисковые, но данных об их использовании злоумышленниками нет.

Microsoft исправила 20 уязвимостей в продуктах Office. Среди них — уязвимости RCE в Word, Excel, Outlook, OneNote, Visio и SharePoint Server. Три уязвимости RCE в Access классифицируются как уязвимости нулевого дня.

Пакет обновлений также включает исправление безопасности для браузера Microsoft Edge — версия 131.0.2903.146 от 10 января на основе Chromium 131.0.6778.265. Однако подробная документация по этому обновлению пока отсутствует. Вероятно, исправления аналогичны тем, которые были внесены Google в последней версии Chrome, где устранён ряд высокорисковых уязвимостей.

Microsoft в очередной раз призвала пользователей устаревших версий Windows 7 и 8.1 перейти на Windows 10 или Windows 11, чтобы продолжать получать обновления безопасности. Следующий регулярный вторник исправлений намечен на 11 февраля 2025 года.

В конце прошлого года в Германии состоялось ежегодное мероприятие Chaos Communication Congress, собравшее специалистов по информационной безопасности из разных стран мира. Одним из участников конгресса был известный под ником Stacksmashing исследователь Томас Рот (Thomas Roth), который продемонстрировал технику взлома новых смартфонов Apple iPhone с интерфейсом USB Type-C, более подробно о которой стало известно только сейчас.

Источник изображения: Garin Chadwick / Unsplash

Томас Рот сумел взломать контроллер порта USB Type-C смартфона Apple, который отвечает за управление зарядкой и передачей данных на устройстве. Исследователь сумел перепрограммировать контроллер ACE3 с целью дальнейшего его использования для выполнения несанкционированных действий, включая обход проверок безопасности и выполнение на устройстве вредоносных команд.

Уязвимость, которой воспользовался Рот, является следствием того, что Apple не в полной мере реализовала средства защиты в прошивке контроллера. Это позволяет злоумышленнику получить низкоуровневый доступ посредством использования специально изготовленных кабелей или устройства с USB Type-C. После получения доступа скомпрометированный контроллер можно задействовать для эмуляции доверенных аксессуаров или выполнения действий без согласия пользователя.

Отмечается, что возможность взлома iPhone через USB Type-C имеет серьёзные последствия для безопасности устройств, поскольку интеграция контроллера ACE3 с внутренними системами «означает, что его компрометация потенциально может привести к непривязанному джейлбрейку или постоянной имплантации прошивки, способной поставить под угрозу основную операционную систему». Кроме того, злоумышленники могут использовать уязвимость для получения несанкционированного доступа к конфиденциальным данным или получения контроля над устройством.

Владельцам iPhone с USB Type-C не стоит слишком сильно беспокоиться о новой уязвимости, по крайней мере в данный момент. Подробности взлома смартфонов Apple стали известны совсем недавно, да и сам процесс эксплуатации уязвимости достаточно сложен. Кроме того, Apple наверняка в будущем исправит уязвимость с помощью обновления прошивки контроллера ACE3, который впервые появился в iPhone 15 и iPhone 15 Pro.

Компания Meta✴ выплатила $100 000 независимому специалисту в области кибербезопасности Бену Садегипуру (Ben Sadeghipour) за обнаружение серьёзной уязвимости на платформе. Анализируя систему показа рекламы, Садегипур нашёл брешь, которая позволила ему выполнить команду в закрытой части серверной инфраструктуры Facebook✴, фактически получив над сервером полный контроль.

Источник изображения: Shutter Speed / Unsplash

Как сообщает TechCrunch, уязвимость была связана с одним из серверов, используемых Facebook✴ для создания и показа рекламы. Этот сервер оказался подвержен ранее известной и исправленной ошибке в браузере Chrome, который Facebook✴ использует в своей рекламной системе. Садегипур объяснил, что с помощью облегчённой версии браузера Chrome, запускаемой через терминал, он смог взаимодействовать с внутренними серверами компании и получить доступ к управлению ими в качестве администратора.

«Я предположил, что это критическая уязвимость, которую стоит исправить, поскольку она находится прямо внутри вашей инфраструктуры», — написал Садегипур в своём письме для Meta✴. Компания быстро отреагировала на ситуацию и попросила исследователя воздержаться от дальнейших тестов до устранения проблемы. Исправление заняло всего один час.

Садегипур также подчеркнул опасность обнаруженной ошибки. Хотя он не стал проверять всю возможную функциональность, которую можно было бы использовать, находясь внутри инфраструктуры Facebook✴, он предупредил, что данная уязвимость позволяет потенциально получить доступ к другим сайтам и системам внутри инфраструктуры компании. «С помощью уязвимости удалённого выполнения кода можно обойти ограничения и напрямую извлекать данные как с самого сервера, так и с других устройств, к которым он подключен», — пояснил он.

Meta✴ отказалась предоставить комментарий по запросу журналистов, однако факт устранения бага был подтверждён. Садегипур также добавил, что аналогичные проблемы существуют у других компаний, чьи рекламные платформы он тестировал.

Функция шифрования BitLocker, предназначенная для обеспечения безопасности данных, была представлена Microsoft в Windows Vista. Оказалось, что давняя уязвимость BitLocker, позволявшая хакерам обойти механизм безопасности, всё ещё актуальна, несмотря на то, что Microsoft выпустила исправляющий её патч.

Источник изображения: Hack Capital / unsplash.com

Об этом стало известно на прошедшем недавно конгрессе Chaos Communication Congress, когда хакер Томас Ламбертц (Thomas Lambertz) показал, как можно использовать старую, якобы исправленную уязвимость в технологии шифрования Microsoft. Любопытно, что он смог это сделать это на устройстве со свежей версией Windows 11, в которой были установлены актуальные обновления безопасности.

Речь идёт об уязвимости CVE-2023-21563, которая получила имя «bitpixie» и о которой стало известно в 2022 году. Похоже, что Microsoft так и не удалось полностью решить эту проблему. Эксплуатация упомянутой уязвимости позволяет обойти функцию шифрования и получить полный доступ к данным, хотя для этого потребуется физический доступ к атакуемому устройству.

Для эксплуатации упомянутой уязвимости Ламбертц задействовал технологию Secure Boot, благодаря чему смог запустить старую версию загрузчика Windows. Такой подход позволил извлечь ключ шифрования в память и с помощью Linux извлечь данные из памяти. Для рядовых пользователей данная проблема не слишком актуальна. Однако в корпоративном сегменте BitLocker используется значительно чаще, а в актуальных сборках Windows 11 функция шифрования включена по умолчанию. Это означает, что подобные атаки могут использоваться хакерами для извлечения и расшифровки данных с корпоративных устройств с Windows 11.