|
В подсистеме ядра Linux выявлены 15-летние уязвимости
Специалистами организации GRIMM были выявлены уязвимости подсистемы iSCSI ядра Linux (CVE-2021-27365, CVE-2021-27363, CVE-2021-27364), позволяющие локальному пользователю с базовыми привилегиями повысить свои права до уровня суперпользователя. Эксплуатация уязвимостей возможна только в случае наличия у злоумышленника локального доступа к системе. Несмотря на то, что уязвимости были выявлены только сейчас, в подсистеме iSCSI они появились ещё в 2006 году на ранних стадиях разработки. Исправления уязвимостей уже доступно в основном ядре Linux от 7 марта. |
|
Google представила PoC-код для эксплуатации уязвимости Spectre
Исследователи Google опубликовали JavaScript-эксплоит, демонстрирующий возможность использования уязвимости Spectre (CVE-2017-5753) для доступа к информации в области памяти браузера. По утверждениям инженеров Google, эксплоит работает на множестве архитектур, и на практике доказывает ненадёжность некоторых механизмов защиты, используемых разработчиками на текущий момент (изоляция сайтов, Cross-Origin, Cross-Origin Read Blocking). Для полноценной демонстрации атаки, специалистами создан сайт leaky.page, подробно описывающий этапы атаки и задействованные механизмы. |
|
Опубликован традиционный Threat Roundup от Cisco Talos
Команда Cisco Talos опубликовала очередной Threat Roundup по наиболее актуальным угрозам ИБ за период с 5 по 12 марта. |
|
|
|
В Минцифры обсудили поправки в законопроект о персональных данных
Согласно предложенным Минцифры России поправкам, обезличивание персональных данных может осуществляться только с согласия субъекта или в иных случаях, предусмотренных законодательством Российской Федерации в области персональных данных. Поправки предусматривают, что бизнес сможет свободно обрабатывать обезличенные данные. При этом для обеспечения защиты персональных данных россиян предлагается ввести ряд ограничений для операторов, которые обрабатывают данные. |
|
Законопроект, уточняющий реформу цифровой подписи в РФ, принят в I чтении
Госдума приняла в первом чтении законопроект о переносе вступления в силу с 1 апреля 2021 года на 1 июля 2022 года нового порядка идентификации лиц удостоверяющими центрами (УЦ) при получении сертификата ключей проверки электронных подписей (СЭП). Закон предусматривает новые очень жесткие требования к УЦ. |