 |
Киберэксперт Полунин предупреждает: хакеры могут получить полный контроль над системой
Обнаружена критическая уязвимость в широко используемой библиотеке libxml2, которая обрабатывает XML-данные в миллионах приложений и систем. Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин рекомендует использовать специализированные средства анализа безопасности и поведенческого анализа, такие как Ankey ASAP, чтобы выявить потенциальные уязвимости и аномалии в работе систем. Уязвимость, классифицированная как CVE-2024-40896 (CVSS 9.1) и получившая критическую оценку серьёзности 9,1, позволяет злоумышленникам использовать атаки типа XXE (XML External Entities) для компрометации систем и кражи данных. Киберпреступники могут использовать уязвимость для выполнения вредоносного кода. Помимо кражи данных, это может дать злоумышленникам полный контроль над системой и спровоцировать отказ в обслуживании (DoS), исчерпав системные ресурсы. «Уязвимости класса XXE довольно редки и касаются программных продуктов, где используется XML. XML-процессор принимает какие-то данные в определённом формате и выдаёт результат. Проблемы начинаются, когда данные формируют таким образом, что заставляют XML-процессор сделать что-то, о чём не подумали разработчики, — прочитать системный файл, выполнить команду или даже повесить систему из-за бесконечного цикла операций. В этот раз уязвимость обнаружилась в крайне популярном libxml2, библиотеке, которая как раз и реализует работу в XML. При этом вы как разработчик можете и не знать, что эта библиотека используется в вашем продукте, если подключили её вместе с другими необходимыми для старта работы библиотеками. Даже при хорошо выстроенном процессе разработки программного обеспечения выявить такую уязвимость сложно. Однако есть продукты вроде Ankey ASAP, которые помогают выявить проблемы с ПО, даже если уязвимость ещё не опубликована. В ход идёт поведенческая аналитика и подобные механизмы. Для XML, безусловно, есть и альтернативы, но те тоже не лишены своих проблем», — отметил Сергей Полунин.
Контактное лицо: Татьяна Манько
Компания: ООО "Газинформсервис"
Добавлен: 17:05, 28.12.2024
Количество просмотров: 181
Страна: Россия
БПЛА с интеллектом: студент ВИШ разработал алгоритм автономной навигации, Высшая инженерная школа Российского университета транспорта, 23:32, 08.07.2025, Россия151 |
Студент Высшей инженерной школы (ВИШ) образовательной программы «IT-сервисы и технологии обработки данных на транспорте» разработал алгоритм, основанный на машинном обучении (ML) и технологиях искусственного интеллекта (ИИ), который позволяет беспилотному летательному аппарату (БПЛА) автономно перемещаться по заданным маршрутам, избегая препятствия и адаптируя свой маршрут в режиме реального времени. |
Афиша мероприятий на июль в ТРЦ «Нора», ТРЦ Нора, 22:08, 07.07.2025, Россия235 |
Торгово-развлекательный центр «Нора» готов встретить июль ярким и насыщенным календарём мероприятий для всей семьи! Этот месяц в «Норе» станет месяцем незабываемых впечатлений, радостных открытий и весёлых развлечений для всех посетителей |
Hybrid Platform снова стала №1 среди DSP по версии AdIndex, Hybrid, 11:45, 05.07.2025, Россия340 |  |
Компания Hybrid, специализирующаяся на высокотехнологичных разработках в области интернет-рекламы, снова заняла первое место в рейтинге AdIndex Technology Index 2025 в категории DSP-платформ. Это уже второй год подряд, когда Hybrid признаётся лидером в сегменте программатик-закупки. |
CorpSoft24: Изменения в 152-ФЗ вызовут рост облачного рынка России, CorpSoft24, 11:45, 05.07.2025, Россия421 |  |
Изменения в Федеральном законе №152-ФЗ «О персональных данных», вступившие в силу 1 июля 2025 года, поспособствуют усилению безопасности переданной операторам личной информации граждан и приведут к росту российского облачного рынка, прогнозируют эксперты компании CorpSoft24. |
Цифровая крепость: Бастион провел ребрендинг, Бастион, 16:49, 03.07.2025, Россия280 |
Компания по информационной безопасности «Бастион» провела ребрендинг. В обновленную айдентику вошли логотип и фирменный стиль, отражающие ключевые ценности бренда: надежность, экспертность и высокотехнологичность. Новый визуальный код подчеркивает глубину и точность экспертизы, приобретенной за годы существования компании. |
|
 |