ΑρχικήSecurityΤο OpenSSL διόρθωσε δύο ευπάθειες υψηλής σοβαρότητας

Το OpenSSL διόρθωσε δύο ευπάθειες υψηλής σοβαρότητας

Το OpenSSL διόρθωσε δύο ελαττώματα ασφαλείας υψηλής σοβαρότητας στην κρυπτογραφική βιβλιοθήκη ανοικτού κώδικα που χρησιμοποιείται για την κρυπτογράφηση καναλιών επικοινωνίας και συνδέσεων HTTPS.

Δείτε επίσης: Το OpenSSL κυκλοφορεί patch για σφάλμα υψηλής σοβαρότητας

OpenSSL

Αυτές οι δύο ευπάθειες, CVE-2022-3602 και CVE-2022-3786, επηρεάζουν μόνο τους χρήστες του OpenSSL 3.0.0 και μεταγενέστερες εκδόσεις. Ωστόσο, έχουν αντιμετωπιστεί και στην τελευταία ενημέρωση του OpenSSL στην έκδοση 3.0.7.

Το CVE-2022-3602 είναι ένα πρόβλημα υπερχείλισης buffer που θα μπορούσε να επιτρέψει απομακρυσμένη εκτέλεση κώδικα ή συντριβή, ενώ το CVE-2022-3786 μπορεί να αξιοποιηθεί από έναν εισβολέα μέσω κακόβουλων διευθύνσεων ηλεκτρονικού ταχυδρομείου για να προκαλέσει άρνηση παροχής υπηρεσιών μέσω υπερχείλισης buffer.

#secnews #malware #browser #password 

Μια νέα καμπάνια διανομής κακόβουλου λογισμικού κλειδώνει τους χρήστες στο kiosk mode του browser τους και τους αναγκάζει να εισαγάγουν τα Google credentials τους, ώστε να κλαπούν από το info-stealer malware StealC.

Το κακόβουλο λογισμικό «κλειδώνει» το πρόγραμμα περιήγησης του χρήστη στη σελίδα σύνδεσης της Google, εμποδίζοντάς τον να κλείσει το παράθυρο, αφού μπλοκάρει και τα πλήκτρα του πληκτρολογίου «ESC» και «F11». Ο στόχος είναι να αναγκάσει τον χρήστη να εισαγάγει και να αποθηκεύσει τα credentials για το Google account του στο πρόγραμμα περιήγησης, για να "ξεκλειδώσει" τον υπολογιστή.

Μάθετε περισσότερα: https://www.secnews.gr/618976/stealc-malware-kataxrisi-kiosk-mode-browser-klopi-credentials/

00:00 Εισαγωγή
00:22 Πώς λειτουργεί η επίθεση
01:42 Πιθανοί τρόποι αντιμετώπισης και προστασία

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #malware #browser #password

Μια νέα καμπάνια διανομής κακόβουλου λογισμικού κλειδώνει τους χρήστες στο kiosk mode του browser τους και τους αναγκάζει να εισαγάγουν τα Google credentials τους, ώστε να κλαπούν από το info-stealer malware StealC.

Το κακόβουλο λογισμικό «κλειδώνει» το πρόγραμμα περιήγησης του χρήστη στη σελίδα σύνδεσης της Google, εμποδίζοντάς τον να κλείσει το παράθυρο, αφού μπλοκάρει και τα πλήκτρα του πληκτρολογίου «ESC» και «F11». Ο στόχος είναι να αναγκάσει τον χρήστη να εισαγάγει και να αποθηκεύσει τα credentials για το Google account του στο πρόγραμμα περιήγησης, για να "ξεκλειδώσει" τον υπολογιστή.

Μάθετε περισσότερα: https://www.secnews.gr/618976/stealc-malware-kataxrisi-kiosk-mode-browser-klopi-credentials/

00:00 Εισαγωγή
00:22 Πώς λειτουργεί η επίθεση
01:42 Πιθανοί τρόποι αντιμετώπισης και προστασία

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LnpXQnJYNTRHY2w0

StealC: Κατάχρηση kiosk mode του browser για κλοπή password

SecNewsTV 8 hours ago

Σύμφωνα με την ομάδα του OpenSSL, “εξακολουθούμε να θεωρούμε ότι αυτά τα ζητήματα είναι σοβαρές ευπάθειες και οι χρήστες που επηρεάζονται ενθαρρύνονται να αναβαθμίσουν το συντομότερο δυνατό“.

Δείτε ακόμα: Microsoft Patch Tuesday Οκτωβρίου 2022: Διορθώνει 84 ευπάθειες

Σύμφωνα με την πολιτική του Open SSL, οι οργανισμοί και οι διαχειριστές πληροφορικής προειδοποιήθηκαν στις 25 Οκτωβρίου να ελέγξουν τα συστήματά τους για τυχόν ευάλωτες περιπτώσεις, ώστε να μπορούν να διορθωθούν όταν κυκλοφορήσει το OpenSSL 3.0.7.

ευπάθειες

Το OpenSSL έχει επίσης παράσχει στους διαχειριστές διακομιστών TLS διορθώσεις προς εφαρμογή, που θα απενεργοποιήσουν τον έλεγχο ταυτότητας του πελάτη TLS.

Παρόλο που η αρχική προειδοποίηση ανάγκασε τους διαχειριστές να αναλάβουν αμέσως δράση για να μειώσουν το ελάττωμα, η υποβάθμιση του CVE-2022-3602 (το οποίο είχε αρχικά αξιολογηθεί ως κρίσιμο) σε υψηλής σοβαρότητας περιορίζει τον πραγματικό αντίκτυπό του. Το OpenSSL 3.0 και μεταγενέστερες εκδόσεις επηρεάζονται μόνο από αυτό το ζήτημα ασφαλείας.

Επειδή αυτές οι εκδόσεις μόλις κυκλοφόρησαν, δεν έχουν εφαρμοστεί σε λογισμικό που χρησιμοποιείται για την παραγωγή όσο οι παλαιότερες εκδόσεις της βιβλιοθήκης OpenSSL.

Δείτε επίσης: ΗΠΑ: Οι top ευπάθειες που χρησιμοποιούν οι Κινέζοι hackers στις επιθέσεις τους

Ορισμένοι προμηθευτές και ειδικοί σε θέματα ασφάλειας εξισώνουν την ευπάθεια με το σφάλμα Log4Shell. Ωστόσο, αυτή επηρεάζει μόνο περίπου 7.000 συστήματα σε σύνολο 1.793.000 κεντρικών υπολογιστών – κάτι που είναι σημαντικά λιγότερο από άλλες περιπτώσεις OpenSSL που είναι προσβάσιμες από το κοινό.

Η Wiz.io διαπίστωσε ότι μόνο το 1,5% όλων των περιπτώσεων OpenSSL επηρεάστηκε από αυτό το ελάττωμα ασφαλείας.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS