T.Hunter | информационная безопасность

Microsoft выпустила пост по следам пустившегося во все тяжкие Nightmare-Eclipse. Сам пост непримечательный: раскрывайте уязвимости нам, иначе это криминал, понятненько? Но в сообществе внезапно открылся портал в ад. Багхантеры делятся историями взаимодействия с MSRC, которые проходили по удивительно схожему сценарию: найденную уязвимость помечали как out-of-scope или дубликат и фиксили задним числом — без CVE, признания и выплат. Угрозы тоже не оценили: наши исследования — это наши исследования, что хотим с ними, то и делаем...

В лучших традициях надругательства учёного над журналистом пошли заголовки “У сайтов появился новый способ следить за посетителями”. На деле же всё далеко не так просто. Атака получила название FROST, fingerprinting remotely using OPFS-based SSD timing. Если кратко, это побочный канал утечки данных: браузер слушает большой OPFS-файл, нейронка анализирует задержку чтения и может определить, какие сайты посещает юзер и какие приложения у него открыты...

Без аккаунта, кредов или доступа в прошлом. Затронуты все версии до 1.26.2. Детали не раскрывают, чтобы дать время накатить патчи — известно, что на эндпоинте реестра не было надлежащей аутентификации. Уязвимость присутствовала около четырёх лет, и форки Gitea советуют считать уязвимыми, пока мейнтейнеры не подтвердят обратное. Forgejo уже сообщила, что у них CVE в наличии...

связанного ботнета. Экосистема наносит ответный удар. Glassworm — кодовое имя для операции по доставке червия на npm, PyPi, VS Code и других платформах, активной с начала 2025-го. Операторы залетели в заголовки в октябре, недавние атаки были в марте и конце апреля. Счастливчики получали на свои устройства инфостилер с RAT, и Glassworm прилично продержался...

23 мая ему заблокировали аккаунт на GitHub и вчера оперативно снесли с GitLab, куда он мигрировал после бана. Ещё неплохо продержался. Борец с Microsoft успел опубликовать шесть эксплойтов и останавливаться не собирается. За это время он успел превратиться в героя для выгоревших багхантеров и прочих имевших сомнительное удовольствие взаимодействия с корпорациями. Дошло до сравнений с Мистером Роботом — народная любовь к Microsoft во всей красе...