В отчете BSI о состоянии ИТ-безопасности в Германии приводятся тревожные цифры: в 2023 году Федеральное ведомство информационной безопасности регистрировало в среднем 68 новых уязвимостей в программных продуктах каждый день, в результате чего появлялось почти 25 000 новых уязвимостей в год.
Ошибки, связанные с безопасностью, учитывались в программах всех видов: от специализированных промышленных приложений до серверного программного обеспечения для компаний и приложений для смартфонов.
Большинство из этих уязвимостей, около 47 процентов, позволяли выполнять несанкционированные команды или программный код. Таким образом злоумышленники могли, например, установить на компьютер программу-вымогатель, обойти меры безопасности, расширить собственные права доступа или считывать данные, чтобы продать их другим группам или шантажировать владельцев.
Winrar выполняет встроенные скрипты и загружает вредоносный код
В августе 2023 года в популярной упаковочной программе Winrar была обнаружена уязвимость безопасности , позволяющая злоумышленникам-преступникам выполнять скрипты на компьютере пользователя. Причиной была ошибка в обработке инструментом расширений имен файлов.
На этой основе удалось подготовить RAR-архивы таким образом, чтобы при открытии файла автоматически запускался скрипт и, например, при загрузке дополнительных файлов из Интернета.
В августе Win.rar GmbH выпустила исправленную версию 6.23, в которой исправлена ошибка. Версия 6.24 уже доступна. Однако вполне вероятно, что многие пользователи все еще работают с более ранней, уязвимой версией программы.
Другая серьезная проблема заключается в том, что многие другие производители лицензировали механизм сжатия Winrar и включили его в свои продукты. Одним из примеров является файловый менеджер Total Commander . Поэтому, если программа предлагает открывать и создавать RAR-архивы, вам обязательно следует обновить ее до последней версии.
Ложные и реальные ошибки в VLC Media Player
Программное обеспечение с открытым исходным кодом VLC Media Player уже несколько лет привлекает внимание средств массовой информации, поскольку в нем снова и снова обнаруживаются уязвимости безопасности. Однако некоторые из этих сообщений были ложными, например, новость за 2019 год.
Ошибка затронула только Linux-версию плеера VLC и, по мнению разработчиков VLC, причина была не в их ПО, а в неисправной программной библиотеке в некоторых дистрибутивах Linux.
Однако было подтверждено, что некоторые загрузки VLC с неофициальных сайтов содержат внешний файл DLL, который загружается при вызове инструмента и впоследствии обеспечивает доступ к компьютеру извне. Извлеченный урок: загружайте программное обеспечение только с веб-сайта производителя или с надежных сайтов.
НАШЕ ЛЮБИМОЕ АНТИВИРУСНОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ
Нортон 360 Делюкс
Однако в 2022 году стал известен и ряд критических уязвимостей безопасности в VLC Player. Это позволило злоумышленнику вызвать сбой инструмента, например, через подготовленный файл, получить вредоносный код из внешних источников или вызвать отказ в обслуживании, т. е. парализовать компьютер. Все, что нужно было сделать пользователю, — это воспроизвести видеофайл или открыть плейлист.
Производитель Видеолан исправил проблемы с версией 3.0.18; текущая версия — 3.0.20.
Изображения в графическом формате Webp несут с собой вредоносный код
В сентябре прошлого года Google зарегистрировала уязвимость в своем браузере Chrome , которая позволяла злоумышленникам вызвать переполнение буфера и выполнить вредоносный код. Затронут широко используемый графический формат Webp, который характеризуется особенно малыми размерами файлов.
Все, что нужно было сделать пользователю, — это открыть созданное изображение в этом формате, и код был выполнен на его компьютере. В Google Chrome было достаточно открыть веб-сайт с изображением Webp.
Всего через несколько часов компания исправилась и объяснила, что ряд других приложений, помимо Chrome, уязвимы. На самом деле ошибка была не в самом браузере, а в открытой библиотеке libwebp, к которой программа обращается при открытии webp-изображений. Эта библиотека также используется многими другими программами, включая Chrome, Firefox и Edge, а также такими приложениями, как Gimp, Inkscape, Libreoffice, Signal, Thunderbird и 1Password.
Хотя для браузеров уже давно доступны патчи, которые также устанавливаются автоматически, многие программы на компьютерах пользователей, вероятно, все еще работают в устаревших, непропатченных версиях. Поэтому вам следует немедленно обновить любое программное обеспечение, которое может читать графику Webp, до последней версии.
Как защититься от уязвимостей в программах
В последнее время в широко используемых программах было обнаружено множество серьезных уязвимостей безопасности. Они представляют огромную угрозу безопасности ПК. Мы покажем вам, какие уязвимости задействованы и как их можно закрыть.
- Немедленно установите доступные исправления и новые версии программного обеспечения. Используйте такой инструмент, как бесплатный Ucheck , чтобы регулярно проверять наличие новых выпусков.
- Используйте менеджер паролей, например Dashlane или Bitwarden . Определите разные пароли для каждой службы, магазина, учетной записи и т. д. и выбирайте длинные и сложные комбинации символов.
- По возможности следует использовать двухфакторную аутентификацию.
- Регулярно создавайте резервные копии наиболее важных данных на внешний носитель, который затем отключите от компьютера.
- Помните об опасности фишинговых писем. Проверьте адрес отправителя и ссылки, содержащиеся в сообщениях от банков, потоковых провайдеров и служб доставки в частности.
Ошибки памяти в Foxit PDF Reader позволяют запускать вредоносный код
В ноябре 2023 года в Foxit PDF Reader и Foxit PDF Editor было обнаружено несколько уязвимостей , которые могли привести к ошибкам памяти при открытии обработанных файлов документов. Тогда злоумышленник мог выполнить на компьютере произвольный вредоносный код.
Сейчас производитель выпустил версию 2023.3, которая закрывает эти уязвимости.
Остерегайтесь: новая версия Outlook передает данные для входа
Дни программ Windows «Почта» и «Календарь» сочтены. Microsoft хочет создать программу электронной почты со стандартизированным интерфейсом и именем Outlook для всех платформ операционных систем. Веб-версия Outlook должна стать образцом.
Два упомянутых выше приложения для Windows также станут жертвами этих планов, и пользователям будет более или менее мягко предложено перейти на новый Outlook в Windows 11 в ближайшие месяцы. Он уже включен в текущую версию Windows 11. Однако это не запланированная новая версия Outlook из Microsoft 365, которая будет представлена позже.
Чтобы осуществить переход, пользователям необходимо настроить свои учетные записи IMAP в новом Outlook, а также ввести свои имена пользователей и пароли. Как теперь выяснилось, эти данные не остаются на локальном компьютере, а переносятся в облако Microsoft и хранятся там.
Аргументация Microsoft: это позволяет синхронизировать все существующие учетные записи электронной почты пользователя, так что им понадобится только одна почтовая программа для всех их почтовых ящиков. Однако, если у Microsoft есть данные доступа, компания может читать все электронные письма человека, как сообщения в своих собственных службах, таких как Outlook.com, так и электронные письма в почтовых ящиках других провайдеров.