Дайджест Jet CSIRT [11.11.2020]

11.11.2020

Обнаружена критическая уязвимость в графическом дисплейном менеджере для Ubuntu

Исследователь безопасности Кевин Бэкхаус (Kevin Backhouse) обнаружил критическую уязвимость в компоненте AccountsService. Эксплуатация найденной уязвимости позволяет при помощи ввода нескольких команд добиться создания пользователя с повышенными привилегиями. Найденная уязвимость затрагивает версии Ubuntu 20.10, Ubuntu 20.04, Ubuntu 18.04 и Ubuntu 16.04. Исследователь сообщил разработчикам Ubuntu и GNOME о своих находках, и проблемы были исправлены в последней версии кода.


Adobe устранила две критические уязвимости в своем продукте

Специалисты компании Adobe выпустили ряд патчей, устраняющих критические уязвимости CVE-2020-24442 и CVE-2020-24443, обнаруженные в Adobe Reader для Android и Adobe Connect. Данные проблемы позволяют потенциальному злоумышленнику провести XSS-атаку и получить контроль над устройством жертвы.


Злоумышленники использовали API Facebook для сокрытия преступлений

Специалисты компании DataDome обнаружили, что злоумышленники использовали API Facebook в качестве прокси, чтобы избежать попадания в черный список. Целью киберпреступников был сбор данных с интернет-сайтов. Успешный сбор был осуществлен с помощью отправки запроса на серверы API Facebook или Facebook Messenger от имени учетных записей разработчиков Facebook на предварительный просмотр ссылок для страниц-жертвы. Метод оказался успешным, поскольку множество web-сайтов разрешают серверам Facebook сканировать свои сайты для законного размещения информации в социальных сетях.