Невозможно отучить людей изучать самые ненужные предметы.
Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3
Надо знать обо всем понемножку, но все о немногом.
Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы
Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)
Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода
Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5
Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости
Справочник от А до Я
HTML, CSS, JavaScript
Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы
Помогли мы вам |
Независимый ИБ-специалист Билл Демиркапи (Bill Demirkapi) обнаружил множество уязвимостей в утилите HP Support Assistant, предустановленной на всех компьютерах производства HP, продававшихся после октября 2012 года.
Исследователь рассказывает, что инструмент, использующийся на машинах под управлением Windows 7, Windows 8 и Windows 10, уязвим пред десятью разными проблемами, включая пять локальных уязвимостей повышения привилегий, две ошибки произвольного удаления файлов и три ошибки удаленного выполнения произвольного кода.
Так, исследователь обнаружил, что злоумышленник может, к примеру, поместить собственный вредоносный двоичный файл в определенные папки в системном разделе и выполнить его с помощью подписанного процесса HP, с системными привилегиями. При мэтом загруженный файл будет выполнен, даже если проверка подписи не удалась, а злоумышленник сможет запустить исполняемый файл с аргументом расшифровки для записи вредоносных полезных данных в любом месте системы.
Также Демиркапи пишет, что атакующий способен использовать два простых эксплоита для удаления любого файла на компьютере жертвы в контексте привилегированного процесса HP. А бинарник HP Download and Install Assistant может использоваться для удаленного выполнения кода. Для этого злоумышленнику придется заставить жертву зайти на вредоносный сайт, а также вынудить программу загрузить DLL или «скормить» ей цифровые сертификаты фальшивых компаний, в именах которых содержатся слова «HP» или «Hewlett Packard».
Примеры атак можно увидеть ниже.
Инженеры HP частично исправили обнаруженные специалистом баги в декабре 2019 года, после получения первоначального отчета, датированного октябрем. Еще один патч был выпущен недавно, в марте 2020 года, после того, как в январе исследователь отправил компании обновленный отчет. Со вторым патчем был исправлен один из недостатков, изначально оставленный без исправления, а также еще один баг, обнаруженный уже после.
Важно, что HP по-прежнему не удалось устранить три из уязвимостей локального повышения привилегий, а значит, даже у пользователя установлена последняя версия HP Support Assistant, он все равно подвергается риску. Чтобы полностью обезопасить себя, пользователям настоятельно рекомендуется удалить HP Support Assistant, а также HP Support Solutions Framework со своего устройства.
|
|