Две уязвимости в продуктах Trend Micro уже эксплуатируют злоумышленники - «Новости» » Самоучитель CSS
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
18-03-2020, 12:14
Две уязвимости в продуктах Trend Micro уже эксплуатируют злоумышленники - «Новости»
Рейтинг:
Категория: Новости

В начале текущей недели разработчики компании Trend Micro исправили сразу две 0-day уязвимости, находившиеся под атаками, а также еще три критических бага в своих продуктах, до которых пока не добрались хакеры.


Подробностей о зафиксированных атаках компания пока не раскрывает. Известно лишь, что использованные злоумышленниками проблемы были связаны с корпоративными продуктами безопасности Apex One и OfficeScan XG.



Две уязвимости в продуктах Trend Micro уже эксплуатируют злоумышленники - «Новости»

Первая уязвимость нулевого дня, CVE-2020-8467 (9,1 баллов по шкале CVSS) связана с тем, что компонент инструментов Trend Micro Apex One и OfficeScan позволяет удаленным злоумышленникам выполнять произвольный код. Но для реализации атаки требуется, чтобы пользователь был аутентифицирован.


Вторая проблема под атаками, это CVE-2020-8468 (8,0 балов по шкале CVSS), тоже связанная с работой Trend Micro Apex One и OfficeScan. Эта уязвимость помогает обойти валидацию контента и в итоге атакующий получает возможность манипулировать некоторыми компонентами агента клиента. Для реализации такой атаки тоже требуется, чтобы пользователь был аутентифицирован.


Судя по этим описаниям, обе ошибки использовались либо для отключения продуктов безопасности, либо для повышения привилегий злоумышленников, которые проникли в систему иным образом.


Но помимо двух этих проблем компания также сообщила об исправлении трех не менее опасных багов (CVE-2020-8470, CVE-2020-8598 и CVE-2020-8599), которые получили 10 из 10 возможных баллов по шкале оценки уязвимостей CVSSv3. То есть все они могут быть использованы удаленно через интернет, не требуют аутентификации и в итоге обеспечивают атакующему полный контроль над антивирусом.


В начале текущей недели разработчики компании Trend Micro исправили сразу две 0-day уязвимости, находившиеся под атаками, а также еще три критических бага в своих продуктах, до которых пока не добрались хакеры. Подробностей о зафиксированных атаках компания пока не раскрывает. Известно лишь, что использованные злоумышленниками проблемы были связаны с корпоративными продуктами безопасности Apex One и OfficeScan XG. Первая уязвимость нулевого дня, CVE-2020-8467 (9,1 баллов по шкале CVSS) связана с тем, что компонент инструментов Trend Micro Apex One и OfficeScan позволяет удаленным злоумышленникам выполнять произвольный код. Но для реализации атаки требуется, чтобы пользователь был аутентифицирован. Вторая проблема под атаками, это CVE-2020-8468 (8,0 балов по шкале CVSS), тоже связанная с работой Trend Micro Apex One и OfficeScan. Эта уязвимость помогает обойти валидацию контента и в итоге атакующий получает возможность манипулировать некоторыми компонентами агента клиента. Для реализации такой атаки тоже требуется, чтобы пользователь был аутентифицирован. Судя по этим описаниям, обе ошибки использовались либо для отключения продуктов безопасности, либо для повышения привилегий злоумышленников, которые проникли в систему иным образом. Но помимо двух этих проблем компания также сообщила об исправлении трех не менее опасных багов (CVE-2020-8470, CVE-2020-8598 и CVE-2020-8599), которые получили 10 из 10 возможных баллов по шкале оценки уязвимостей CVSSv3. То есть все они могут быть использованы удаленно через интернет, не требуют аутентификации и в итоге обеспечивают атакующему полный контроль над антивирусом.

Теги: CSS

Просмотров: 485
Комментариев: 0:   18-03-2020, 12:14
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: