Пресс-релизы //

Киберэксперт Полунин предупреждает: хакеры могут получить полный контроль над системой

Обнаружена критическая уязвимость в широко используемой библиотеке libxml2, которая обрабатывает XML-данные в миллионах приложений и систем. Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин рекомендует использовать специализированные средства анализа безопасности и поведенческого анализа, такие как Ankey ASAP, чтобы выявить потенциальные уязвимости и аномалии в работе систем.
Уязвимость, классифицированная как CVE-2024-40896 (CVSS 9.1) и получившая критическую оценку серьёзности 9,1, позволяет злоумышленникам использовать атаки типа XXE (XML External Entities) для компрометации систем и кражи данных. Киберпреступники могут использовать уязвимость для выполнения вредоносного кода. Помимо кражи данных, это может дать злоумышленникам полный контроль над системой и спровоцировать отказ в обслуживании (DoS), исчерпав системные ресурсы.
«Уязвимости класса XXE довольно редки и касаются программных продуктов, где используется XML. XML-процессор принимает какие-то данные в определённом формате и выдаёт результат. Проблемы начинаются, когда данные формируют таким образом, что заставляют XML-процессор сделать что-то, о чём не подумали разработчики, — прочитать системный файл, выполнить команду или даже повесить систему из-за бесконечного цикла операций. В этот раз уязвимость обнаружилась в крайне популярном libxml2, библиотеке, которая как раз и реализует работу в XML. При этом вы как разработчик можете и не знать, что эта библиотека используется в вашем продукте, если подключили её вместе с другими необходимыми для старта работы библиотеками. Даже при хорошо выстроенном процессе разработки программного обеспечения выявить такую уязвимость сложно. Однако есть продукты вроде Ankey ASAP, которые помогают выявить проблемы с ПО, даже если уязвимость ещё не опубликована. В ход идёт поведенческая аналитика и подобные механизмы. Для XML, безусловно, есть и альтернативы, но те тоже не лишены своих проблем», — отметил Сергей Полунин.

Контактное лицо: Татьяна Манько
Компания: ООО "Газинформсервис"
Добавлен: 17:05, 28.12.2024 Количество просмотров: 181
Страна: Россия

БПЛА с интеллектом: студент ВИШ разработал алгоритм автономной навигации, Высшая инженерная школа Российского университета транспорта, 23:32, 08.07.2025, Россия151

Студент Высшей инженерной школы (ВИШ) образовательной программы «IT-сервисы и технологии обработки данных на транспорте» разработал алгоритм, основанный на машинном обучении (ML) и технологиях искусственного интеллекта (ИИ), который позволяет беспилотному летательному аппарату (БПЛА) автономно перемещаться по заданным маршрутам, избегая препятствия и адаптируя свой маршрут в режиме реального времени.

Сетевое оборудование SYMANITRON для систем безопасности доступно клиентам «АРМО-Системы», АРМО-Системы, 22:13, 07.07.2025, Россия263
«АРМО-Системы» объявила о партнерстве с ГК «Симанитрон»

БФТ-Холдинг и «ОБИТ» заключили партнёрское соглашение, БФТ-Холдинг, 22:12, 07.07.2025, Россия233
Оператор ИТ-решений «ОБИТ» и БФТ-Холдинг объявили о заключении партнёрского соглашения для совместного развития проектов в области SRM- и EAM-решений в корпоративном и отраслевом сегментах.

Jinn Server 1.3.7 от «Кода Безопасности» получил сертификаты ФСБ России и поступает в продажу, Код Безопасности, 22:11, 07.07.2025, Россия226

Программно-аппаратный комплекс электронной подписи Jinn Server. Версия 1.3 (сборка 1.3.7.218) успешно прошел инспекционный контроль ФСБ РФ. Теперь продукт «Кода Безопасности» доступен для заказа.

Афиша мероприятий на июль в ТРЦ «Нора», ТРЦ Нора, 22:08, 07.07.2025, Россия235

Торгово-развлекательный центр «Нора» готов встретить июль ярким и насыщенным календарём мероприятий для всей семьи! Этот месяц в «Норе» станет месяцем незабываемых впечатлений, радостных открытий и весёлых развлечений для всех посетителей

Wone IT завершила проект цифровой трансформации Ленстройтреста на базе ELMA365, WONE IT, 22:07, 07.07.2025, Россия256

Wone IT сообщает о завершении проекта по автоматизации управления строительством для компании «Ленстройтрест» с помощью платформы ELMA365. Внедрение позволило существенно сократить сроки согласований и повысить прозрачность ключевых процессов.

Hybrid Platform снова стала №1 среди DSP по версии AdIndex, Hybrid, 11:45, 05.07.2025, Россия340

Компания Hybrid, специализирующаяся на высокотехнологичных разработках в области интернет-рекламы, снова заняла первое место в рейтинге AdIndex Technology Index 2025 в категории DSP-платформ. Это уже второй год подряд, когда Hybrid признаётся лидером в сегменте программатик-закупки.

CorpSoft24: Изменения в 152-ФЗ вызовут рост облачного рынка России, CorpSoft24, 11:45, 05.07.2025, Россия421

Изменения в Федеральном законе №152-ФЗ «О персональных данных», вступившие в силу 1 июля 2025 года, поспособствуют усилению безопасности переданной операторам личной информации граждан и приведут к росту российского облачного рынка, прогнозируют эксперты компании CorpSoft24.

Корпоративное обучение в 2025 году: скорость, адаптация и разумное использование ИИ, iSpring, 11:45, 05.07.2025, Россия399
Во втором квартале 2025 года компания iSpring провела опрос о тенденциях в корпоративном обучении среди представителей 132 российских компаний. Результаты исследования выявили ключевые вызовы и ожидания в этой сфере.

Эксперт «Швабе» поделился опытом выстраивания экосистем интеллектуальных платформ, Холдинг «Швабе», 11:44, 05.07.2025, Россия335

Представитель холдинга «Швабе» Госкорпорации Ростех на полях XVI Международного IT-Форума с участием стран БРИКС и ШОС в Ханты-Мансийске поделился опытом применения экосистемного подхода при внедрении масштабных интеллектуальных платформ.

LG OLED EVO M5 — ПО-НАСТОЯЩЕМУ БЕСПРОВОДНОЙ OLED ТЕЛЕВИЗОР С ОТЛИЧНЫМ КАЧЕСТВОМ ИЗОБРАЖЕНИЯ УРОВНЯ МОДЕЛИ G5, LG Electronics, 11:44, 05.07.2025, Россия303

Компания LG Electronics (LG) представляет серию беспроводных OLED телевизоров LG OLED evo M5, которая сочетает в себе передовую технологию LG True Wireless1 с качеством изображения LG OLED модели G52

RedLab на ПМЭФ-2025: о вызовах, решениях и технологических трендах, RedLab, 11:42, 05.07.2025, Россия430
18-21 июня прошел XXVIII Петербургский международный экономический форум. Мероприятие посетили свыше 24 000 участников из 144 государств.

Linx Cloud вошел в топ-10 провайдеров в рейтинге IaaS Enterprise, Linx, 22:30, 03.07.2025, Россия437
Linx Cloud занял 7-е место в рейтинге провайдеров IaaS Enterprise 2025, составленным Market.CNews. В прошлом году компания была на 18-м месте. Таким образом, Linx Cloud за год поднялся в рейтинге на 11 пунктов.

Цифровая крепость: Бастион провел ребрендинг, Бастион, 16:49, 03.07.2025, Россия280

Компания по информационной безопасности «Бастион» провела ребрендинг. В обновленную айдентику вошли логотип и фирменный стиль, отражающие ключевые ценности бренда: надежность, экспертность и высокотехнологичность. Новый визуальный код подчеркивает глубину и точность экспертизы, приобретенной за годы существования компании.

Российский производитель решений по автоматизации телефонии «Агат-РТ» переводит свои ключевые продукты на операционную систему Astra Linux Embedded, "Группа Астра", 16:24, 03.07.2025, Россия264

Использование защищенной отечественной ОС расширяет возможности применения оборудования в государственных учреждениях, силовых структурах, финансовых, коммерческих и других организациях с высокими требованиями к защите данных.