Пресс-релизы //

Киберэксперт Полунин предупреждает: хакеры могут получить полный контроль над системой

Обнаружена критическая уязвимость в широко используемой библиотеке libxml2, которая обрабатывает XML-данные в миллионах приложений и систем. Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин рекомендует использовать специализированные средства анализа безопасности и поведенческого анализа, такие как Ankey ASAP, чтобы выявить потенциальные уязвимости и аномалии в работе систем.
Уязвимость, классифицированная как CVE-2024-40896 (CVSS 9.1) и получившая критическую оценку серьёзности 9,1, позволяет злоумышленникам использовать атаки типа XXE (XML External Entities) для компрометации систем и кражи данных. Киберпреступники могут использовать уязвимость для выполнения вредоносного кода. Помимо кражи данных, это может дать злоумышленникам полный контроль над системой и спровоцировать отказ в обслуживании (DoS), исчерпав системные ресурсы.
«Уязвимости класса XXE довольно редки и касаются программных продуктов, где используется XML. XML-процессор принимает какие-то данные в определённом формате и выдаёт результат. Проблемы начинаются, когда данные формируют таким образом, что заставляют XML-процессор сделать что-то, о чём не подумали разработчики, — прочитать системный файл, выполнить команду или даже повесить систему из-за бесконечного цикла операций. В этот раз уязвимость обнаружилась в крайне популярном libxml2, библиотеке, которая как раз и реализует работу в XML. При этом вы как разработчик можете и не знать, что эта библиотека используется в вашем продукте, если подключили её вместе с другими необходимыми для старта работы библиотеками. Даже при хорошо выстроенном процессе разработки программного обеспечения выявить такую уязвимость сложно. Однако есть продукты вроде Ankey ASAP, которые помогают выявить проблемы с ПО, даже если уязвимость ещё не опубликована. В ход идёт поведенческая аналитика и подобные механизмы. Для XML, безусловно, есть и альтернативы, но те тоже не лишены своих проблем», — отметил Сергей Полунин.

Контактное лицо: Татьяна Манько
Компания: ООО "Газинформсервис"
Добавлен: 17:05, 28.12.2024 Количество просмотров: 219
Страна: Россия

«1С ПРО Консалтинг» запускает направление экспертного консалтинга для топ-менеджмента и профильных специалистов, 1С ПРО Консалтинг, 23:21, 20.01.2026, Россия122

«1С ПРО Консалтинг», совместное предприятие Фирмы «1С» и команд из экс-“большой четверки” консалтинговых компаний, запускает новое направление бизнеса. Услуга предназначена для руководителей, владельцев компаний и частных специалистов, которые ищут лучшие практики и профессионального советника для решения нестандартных бизнес-задач.

СУБД Nexign Nord получила сертификат соответствия ФСТЭК России по 4 уровню доверия, Nexign, 23:21, 20.01.2026, Россия125
Документ подтверждает, что Nexign Nord может быть использована в государственных информационных системах 1 класса защищенности, на значимых объектах КИИ 1 категории и в других защищенных средах.

RooX представила RooX UIDM Pro — продукт для централизованного управления доступом сотрудников к приложениям, RooX, 23:20, 20.01.2026, Россия127

RooX UIDM Pro объединяет базовые возможности IAM и IDM в одном продукте. Продукт позволяет быстро навести порядок в учетных записях и доступах, обеспечить SSO и 2FA для корпоративных сервисов и сократить совокупную стоимость владения за счет отказа от нескольких разрозненных систем.

«Бриз» и CommuniGate Pro объединили онлайн-встречи и календарь, CommuniGate Pro, 23:20, 20.01.2026, Россия122
Компании «К2Т» и CommuniGate Pro представили решение, которое объединяет платформу корпоративных коммуникаций и платформу совместной работы «Бриз».

«Телфин» повышает точность оценки звонков с помощью чек-листов, Телфин, 23:19, 20.01.2026, Россия120

Провайдер коммуникационных сервисов «Телфин» расширяет возможности анализа телефонных звонков с помощью новой опции — чек-листов. Теперь пользователям решения «Контакт-центр» доступна оценка звонков посредством AI-помощника или контролера.

Автоматизация инфраструктуры стала удобнее: клиентам Astra Automation доступна Ansible-коллекция для управления VMmanager, "Группа Астра", 23:19, 20.01.2026, Россия118

Совместное решение объединяет мощь серверной виртуализации и оркестрации в рамках единой экосистемы, предоставляя заказчикам полностью готовый инструмент для управления всей инфраструктурой.

VolgaBlob: спрос на Security Data Lake вырастет на 80%, VolgaBlob, 23:15, 20.01.2026, Россия123
В 2025 году бизнес стал чаще сталкиваться с атаками, которые растягиваются во времени и требуют ретроспективного расследования.

В МТУСИ внедрена система «БФТ.Управление имущественными активами», БФТ-Холдинг, 23:15, 20.01.2026, Россия121
БФТ-Холдинг завершил проект по внедрению решения «БФТ.Управление имущественными активами» в Московском техническом университете связи и информатики (МТУСИ), ведущем российском техническом вузе.

Как «1С:CRM» и интеграция с телефонией систематизировали работу отдела продаж компании «Информтехника», ООО "АКСИОМА-СОФТ", 23:15, 20.01.2026, Россия131

«Информтехника» автоматизировала воронку продаж, внедрив «1С:CRM» и интегрировав её с корпоративной АТС. Это устранило потерю лидов и дало руководству прозрачную аналитику для роста бизнеса.

Ольга Афонькина назначена Президентом Коммуникационной группы PROGRESS, Коммуникационная группа PROGRESS, 23:12, 20.01.2026, Россия100
Ольга Афонькина заняла должность Президента группы.

Компания TCL получила многочисленные награды на выставке CES 2026 за инновации в области телевизоров, мобильных устройств и умного дома, TCL, 15:11, 17.01.2026, Россия403

9 января на выставке CES 2026 в Лас-Вегасе TCL получил ряд престижных наград на церемонии «Лучшие мировые бренды 2025-2026», прошедшей в рамках CES 2026, а также сразу несколько наград «Лучшее на CES 2026» от международных СМИ и дополнительные награды от профессиональных институтов и организаций.

Эксперт Станислав Ежов из «Группы Астра» рассказал, как решить проблему ошибок ИИ, "Группа Астра", 15:03, 17.01.2026, Россия454

Искусственный интеллект пока не приносит ожидаемого роста производительности труда. Значительная часть рабочего дня уходит на исправление ошибок ИИ, перепроверку и переделку результатов работы алгоритмов. ИИ-эксперт Станислав Ежов рассказал, как решить проблему ошибок нейросети.

«1С:Бухгалтерия хлебобулочного и кондитерского предприятия» прошла сертификацию «Совместимо», 1С-Рарус, 15:03, 17.01.2026, Россия389

Бухгалтерская программа для хлебозаводов, пекарен и кондитерских, разработанная «1С-Рарус», прошла ресертификацию фирмы «1С». Подтверждены стабильность работы и корректное взаимодействие отраслевого решения с системой программ «1С:Предприятие».

Российская компания представила LOGOS-k - новый язык программирования, ДСТ Глобал, 15:02, 17.01.2026, Россия460
6 января 2026 года российская компания DST Global и исследовательский проект A-Универсум представили LOGOS-k — специализированный язык программирования.

Новые возможности и промышленные решения в RuBackup 2.8, "Группа Астра", 15:01, 17.01.2026, Россия394

Основные усилия в этом релизе направлены на улучшение пользовательского опыта и решение прикладных задач, с которыми сталкиваются ИТ-команды при росте и поддержке инфраструктур резервного копирования.