Шесть уязвимостей исправили в российском менеджере паролей Passwork - «Новости» » Интернет технологии
sitename
Китай выбил Южную Корею со второго места на мировом рынке полупроводников - «Новости сети»
Китай выбил Южную Корею со второго места на мировом рынке полупроводников - «Новости сети»
Безлимитное хранилище энергии внезапно обнаружили в Европе - «Новости сети»
Безлимитное хранилище энергии внезапно обнаружили в Европе - «Новости сети»
В России представили устройства Aqara для умного дома — умные лампы, диммеры, датчики и не только - «Новости сети»
В России представили устройства Aqara для умного дома — умные лампы, диммеры, датчики и не только - «Новости сети»
MSI официально подтвердила, что не будет выпускать видеокарты Radeon RX 9000 - «Новости сети»
MSI официально подтвердила, что не будет выпускать видеокарты Radeon RX 9000 - «Новости сети»
В Steam пройдёт закрытая «бета» Heroes of Might & Magic: Olden Era, причём уже очень скоро — как получить доступ - «Новости сети»
В Steam пройдёт закрытая «бета» Heroes of Might & Magic: Olden Era, причём уже очень скоро — как получить доступ - «Новости сети»
X пострадала от атаки, ответственность за которую взяла на себя группа Dark Storm - «Новости»
X пострадала от атаки, ответственность за которую взяла на себя группа Dark Storm - «Новости»
Группировка Squid Werewolf рассылает заманчивые «предложения о работе» - «Новости»
Группировка Squid Werewolf рассылает заманчивые «предложения о работе» - «Новости»
Обновление прошивки выводит из строя принтеры HP - «Новости»
Обновление прошивки выводит из строя принтеры HP - «Новости»
Уязвимость в PHP-CGI применяется для атак на японские компании - «Новости»
Уязвимость в PHP-CGI применяется для атак на японские компании - «Новости»
В прошлом году Google выплатила исследователям почти 12 млн долларов - «Новости»
В прошлом году Google выплатила исследователям почти 12 млн долларов - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Учебник CSS » Типы носителей » Шесть уязвимостей исправили в российском менеджере паролей Passwork - «Новости»

Специалисты Positive Technologies (Алексей Писаренко, Алексей Соловьев и Олег Сурнин) помогли устранить шесть уязвимостей в парольном менеджере Passwork. Успешная эксплуатация этих проблем могла привести к потере доступа к паролям.


Passwork внесен в единый реестр российского ПО, и менеджер используют крупнейшие российские компании, работающие в банковской, строительной, промышленной и других отраслях.


Уязвимости BDU:2024-08016 — BDU:2024-08021 получили оценки от 8,1 до 5,8 баллов по шкале CVSS. В случае их успешной эксплуатации атаки могли потенциально привести к утечке информации, а также к нелегитимным изменениям данных профиля в результате выполнения произвольных фоновых (то есть без взаимодействия с пользователем) запросов в браузере жертвы.


«Эксплуатация BDU:2024-08018 (оценка 7,6 балла по шкале CVSS 3.1, уязвимость типа Path Traversal)­ могла бы позволить злоумышленнику получить доступ к локальным файлам и каталогам на сервере. Такие действия могли бы привести к недоступности приложения Passwork за счет перезаписи файлов. Кроме того, если бы нарушитель смог переписать файл базы данных с паролями (это зависит от параметров самого приложения и полученных атакующим привилегий), возник бы риск утраты всех паролей», — рассказывает Олег Сурнин, руководитель группы исследований безопасности мобильных приложений, Positive Technologies.


По словам Алексея Соловьева, было выявлено несколько сценариев эксплуатации уязвимостей BDU:2024-08021 и BDU:2024-08017, при которых злоумышленник, имея минимальные привилегии в системе, мог внедрить произвольный jаvascript-код.


После совершения определенных действий атакующим такой jаvascript-код мог быть выполнен в браузере пользователя, в том числе и от имени администратора.


Кроме того, был найден сценарий эксплуатации уязвимости BDU:2024-08016, который позволял выполнить произвольный код jаvascript в браузере пользователя, если перед этим жертва перешла по вредоносной ссылке. В ходе таких атак могли быть скомпрометированы аккаунты как администратора Passwork, так и обычного пользователя.


Исследователи уведомили производителя о найденных проблемах, после чего разработчики выпустили обновление. Уязвимости были устранены в версии 6.4.3, выпущенной 14 ноября 2024 года.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Специалисты Positive Technologies (Алексей Писаренко, Алексей Соловьев и Олег Сурнин) помогли устранить шесть уязвимостей в парольном менеджере Passwork. Успешная эксплуатация этих проблем могла привести к потере доступа к паролям. Passwork внесен в единый реестр российского ПО, и менеджер используют крупнейшие российские компании, работающие в банковской, строительной, промышленной и других отраслях. Уязвимости BDU:2024-08016 — BDU:2024-08021 получили оценки от 8,1 до 5,8 баллов по шкале CVSS. В случае их успешной эксплуатации атаки могли потенциально привести к утечке информации, а также к нелегитимным изменениям данных профиля в результате выполнения произвольных фоновых (то есть без взаимодействия с пользователем) запросов в браузере жертвы. «Эксплуатация BDU:2024-08018 (оценка 7,6 балла по шкале CVSS 3.1, уязвимость типа Path Traversal)­ могла бы позволить злоумышленнику получить доступ к локальным файлам и каталогам на сервере. Такие действия могли бы привести к недоступности приложения Passwork за счет перезаписи файлов. Кроме того, если бы нарушитель смог переписать файл базы данных с паролями (это зависит от параметров самого приложения и полученных атакующим привилегий), возник бы риск утраты всех паролей», — рассказывает Олег Сурнин, руководитель группы исследований безопасности мобильных приложений, Positive Technologies. По словам Алексея Соловьева, было выявлено несколько сценариев эксплуатации уязвимостей BDU:2024-08021 и BDU:2024-08017, при которых злоумышленник, имея минимальные привилегии в системе, мог внедрить произвольный j
CSS

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: