MONDIARA COIN
ПРОДУКТЫ БАНКА
PROFIT CONF 2025: 29 ноября
INVEST FORUM 2025: 30 ноября
БАЗАР CONF 2025: 13 декабря
SMART-LAB CONF 2025: 25 октября
TradeID CONF 2025: 12 ноября
КАНАЛЫ TG RESEARCH
НДФЛка
ИДЕИ ДЛЯ СТАРТАПОВ
![Аватар сообщества ПОЗИТИВ [новости]](/uploads/community/6/1712605680_f2686d4814462e7121fcf08d8701b0e8.jpg)
ПОЗИТИВ [новости]
НОВОСТИ АКЦИЙ РФ
В российском менеджере паролей Passwork были устранены уязвимости, обнаруженные экспертами Positive Technologies
41
В российском менеджере паролей Passwork были устранены уязвимости, обнаруженные экспертами Positive Technologies. Устранение шести уязвимостей в парольном менеджере Passwork Алексей Писаренко, Алексей Соловьев и Олег Сурнин, эксперты PT SWARM, успешно завершили работу по устранению шести уязвимостей в популярном парольном менеджере Passwork. Эти уязвимости, если бы их удалось использовать, могли бы привести к потере доступа к паролям, что представляло серьезную угрозу для многих компаний, включая крупнейшие российские организации из банковской, строительной, промышленной и других сфер. Согласно политике ответственного раскрытия информации, вендор был своевременно уведомлен об уязвимостях, и было выпущено обновление программного обеспечения. Оценка уязвимостей Уязвимости, получившие обозначения BDU:2024-08016 — BDU:2024-08021, были оценены от 8,1 до 5,8 баллов по шкале CVSS 3.1, что соответствует среднему и высокому уровням опасности. В случае успешной эксплуатации этих уязвимостей, атаки могли привести к утечке информации, а также к нелегитимным изменениям данных профиля в результате выполнения произвольных фоновых запросов в браузере жертвы без взаимодействия с пользователем. Разработчики Passwork оперативно устранили все выявленные недостатки в версии 6.4.3, опубликованной 14 ноября 2024 года. Анализ сценариев эксплуатации уязвимостей По словам Алексея Соловьева, руководителя группы исследований безопасности мобильных приложений Positive Technologies, эксперты обнаружили несколько сценариев эксплуатации уязвимостей BDU:2024-08021 и BDU:2024-08017. Эти уязвимости позволяли злоумышленнику с минимальными привилегиями в системе внедрить произвольный код на языке JavaScript. После определенных действий этот код мог быть выполнен в браузере пользователя, включая учетные записи администраторов. Также был обнаружен сценарий эксплуатации уязвимости BDU:2024-08016, который мог бы привести к выполнению произвольного кода JavaScript в браузере пользователя в случае перехода по вредоносной ссылке. В ходе таких атак могли быть скомпрометированы как аккаунты администраторов Passwork, так и пользователей без соответствующих привилегий. Методы обнаружения и защиты от уязвимостей Для эффективного обнаружения веб-уязвимостей рекомендуется использовать статический и динамический анализаторы кода, такие как PT Application Inspector и PT BlackBox. Для блокировки попыток эксплуатации уязвимостей следует применять межсетевые экраны уровня веб-приложений, например PT Application Firewall, который доступен как в облачной версии, так и в виде локального решения. Своевременное выявление попыток эксплуатации уязвимостей внутри сетевого контура компании возможно с помощью продуктов классов NTA и NDR, таких как PT Network Attack Discovery, и средств анализа сетевого трафика, таких как PT NGFW. В PT NAD и PT NGFW уже добавлены правила детектирования уязвимостей BDU:2024-08019 и BDU:2024-08018. Источник: www.group.ptsecurity.com
![Аватар сообщества ЦИАН [новости]](/uploads/community/4/e94a4175-f1cb-42f6-b8e0-68ac05f9783d.jpg)
![Аватар сообщества МАГНИТ [новости]](/uploads/community/2/793edce7-ddaa-4543-93c1-4c580308d437.jpg)
![Аватар сообщества АЭРОФЛОТ [новости]](/uploads/community/5/9c34a6c8-3c7d-4285-917c-b43d502647be.jpg)
![Аватар сообщества РУСАЛ [новости]](/uploads/community/4/c22a1b99-2a6d-4c64-82ea-cd56b3136042.jpg)
![Аватар сообщества МОСБИРЖА [новости]](/uploads/community/3/56b18cb3-9e1d-470e-9604-182d46ef036c.jpg)
![Аватар сообщества ВТБ [новости]](/uploads/community/3/c12339dc-36d5-4ce9-ad90-344b2651ab58.jpg)
![Аватар сообщества ОЗОН [новости]](/uploads/community/4/d0f68b86-9cb8-4666-b03b-b569b9fd8e52.jpg)
![Аватар сообщества ВИ.РУ [новости]](/uploads/community/10/79dc1a8b-0e9e-4eed-baaf-286b1410b636.jpg)
![Аватар сообщества СБЕРБАНК [новости]](/uploads/community/1/1712224893_d234bcdf95d8b53e5cabc35f80fce0c3.jpg)
![Аватар сообщества ТРАНСНЕФТЬ [новости]](/uploads/community/2/068fe35f-9411-4f55-ac84-ed989235d1e2.jpg)
![Аватар сообщества ГАЗПРОМ НЕФТЬ [новости]](/uploads/community/4/1013fb93-41a0-457a-a9ac-772f2d38d37b.jpg)
![Аватар сообщества РОСНЕФТЬ [новости]](/uploads/community/2/9b11fcbd-0311-4866-868b-e98ea726e426.jpg)
![Аватар сообщества РОСТЕЛЕКОМ [новости]](/uploads/community/3/74f59dbf-c6e4-41c0-b9cd-c67d5517a913.jpg)
![Аватар сообщества СЕЛИГДАР [новости]](/uploads/community/6/1712643740_d234c975875ae14d274f1f9a282b2896.jpg)
![Аватар сообщества КРИСТАЛЛ [новости]](/uploads/community/6/6c611d3a-91d4-496f-a9a5-c8e963e3b428.jpg)
![Аватар сообщества ОАК [новости]](/uploads/community/3/c6f1174b-4899-4e70-b8ca-aa1c69a715ec.jpg)
