Новости

В Firefox исправили уязвимость обхода мастер-пароля

18.08.2019

Эксплуатация уязвимости (CVE-2019-11733) позволяет злоумышленнику копировать пароли в «сохраненных учетных данных» без ввода мастер-пароля.

 

После установки мастер-пароля необходимо ввести его, прежде чем к паролям можно будет получить доступ в диалоговом окне «сохраненные учетные данные». Но злоумышленник способен копировать локальные данные в буфер обмена с помощью пункта контекстного меню «копировать пароль» без предварительного ввода мастер-пароля.

 

Разработчики рекомендуют пользователям Firefox обновить браузер до версии 68.0.2 (https://www.mozilla.org/en-US/firefox/68.0.2/releasenotes/) в целях безопасности.

В VLC Media Player обнаружена критикал уязвимость

02.08.2019

Проблема представляет угрозу для новейшей версии VLC Media Player 3.0.7.1 (для Windows, Linux и UNIX) и получила идентификатор CVE-2019-13615 (https://nvd.nist.gov/vuln/detail/CVE-2019-13615#vulnC..).

 

Эксплуатация уязвимости может привести не только к исполнению произвольного кода, но также несанкционированному раскрытию информации, изменению файлов и отказу в обслуживании.

 

В настоящее время ведется работа по созданию патча (https://trac.videolan.org/vlc/ticket/22474).

РКН обнародовал алгоритм изоляции рунета

30.06.2019

В проекте изложены действия в случае возникновения угроз устойчивости российского сегмента сети интернет. В документе эта ситуация называется сложным сочетанием слов — "переход в режим централизованного управления сетью связи общего пользования".

 

При этом режиме будет запрещено направлять трафик через иностранные узлы. Исключение будет сделано лишь для Калининградской области, также для посольств и консульств России. Весь обмен трафиком будет происходить только с помощью узлов, размещенных на территории страны.

 

Законопроект о надежной работе Рунета вступит в силу 1 ноября 2019 года. За развитие инфраструктуры отвечает Роскомнадзор. На реализацию выделят 30 миллиардов рублей из бюджета.

https://regulation.gov.ru/projects#npa=92269

ФСБ потребовала ключи шифрования к данным пользователей Яндекс

04.06.2019

Несколько месяцев назад ФСБ направила в «Яндекс» требование предоставить ключи для дешифровки данных пользователей сервисов «Яндекс.Почта» и «Яндекс.Диск»

 

Согласно закону Яровой, с 20 июля 2016 года Центр оперативно-технических мероприятий ФСБ может потребовать от любого сервиса из реестра ОРИ передать ему «информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей сети интернет».

 

Спецслужба требует от компании предоставить сессионные ключи, которые, по сути, дают доступ не только, например, к сообщениям в почте, но и позволяют анализировать весь трафик от пользователей к находящимся в реестре ОРИ сервисам «Яндекса».

 

Сессионный ключ — это ключ шифрования, который используется только для одного соединения между пользователем и сервером, то есть одной сессии. «В случае с «Яндекс.Почта» он вырабатывается, когда пользователь только заходит на страницу mail.yandex.ru, а прекращает свое действие в зависимости от настроек через какое-то время, после того как пользователь либо закроет вкладку «Яндекс.Почта», либо полностью закроет браузер, либо выключит компьютер». Таким ключом шифруются не только сообщения пользователя, но и все метаданные (когда, кто, с какого IP-адреса заходил в аккаунт и т.д.), а также логин и пароль, которые пользователь отправляет на серверы «Яндекса» в процессе авторизации. Поэтому передача сессионного ключа какого-либо пользователя спецслужбам может позволить им завладеть логином и паролем от почтового ящика этого пользователя.

 

Непредоставление ключей шифрования в установленный срок является нарушением действующего Кодекса об административных правонарушениях. По закону ФСБ должна составить протокол об административном правонарушении и, если суд признает «Яндекс» виновным по статье 13.31 КоАП, может назначить компании штраф. Если компания и после этого не предоставит ключи шифрования, Роскомнадзор вынесет ей предписание об устранении нарушения, на исполнение которого дается не менее 15 дней. «В случае неисполнения предписания Роскомнадзор, в теории, может обратиться в суд с требованием заблокировать на территории России сервисы, ключи шифрования от которых отказываются предоставить. Во всяком случае такая процедура была использована в истории с блокировкой Telegram. Подобное маловероятно, скорее всего они будут долго торговаться и придут к какому-то компромиссу.

 

https://www.rbc.ru/technology_and_media/04/06/2019/5cf50e139a79474f8ab5494b

Спамеры подделали в рассылке почтовый адрес одного из сервисов «Яндекса»

24.05.2019

Произошла рассылка спама якобы с почты одного из сервисов «Яндекса». При этом адрес отправителя помечен зеленым замочком — обычно это значит, что письму можно доверять.

 

К одной из записей в блоге «Яндекса» пользователи оставляют многочисленные жалобы на подобные письма.

 

Как такое произошло?

Злоумышленники могут при отправке писем вручную изменить адрес отправителя. О такой подделке и должен предупреждать замочек: если красный, значит, что-то не так.

 

Судя по свойствам письма, в этот раз рассылка шла с сервера самого «Яндекса», однако пресс-служба компании говорит, что адрес был подделан:
"Действительно сегодня злоумышленники произвели рассылку от имени «Яндекса», при просмотре письма пользователь видел поддельный адрес отправителя. Наши специалисты уже решили этот вопрос."

Страницы