6⃣ Эксперты PT SWARM помогли устранить шесть уязвимостей в парольном менеджере Passwork Если бы злоумышленники сумели их обнаружить и проэксплуатировать, это могло бы привести к потере доступа пользователей к сохраненным паролям. Но наши коллеги — Алексей Писаренко, Алексей Соловьев и Олег Сурнин — предотвратили эту опасность: https://vk.cc/cIGuJl Passwork входит в единый реестр российского ПО, им пользуются крупнейшие компании России банковской, строительной, промышленной и других отраслей. Мы уведомили вендора об угрозе в рамках политики ответственного разглашения, и 14 ноября 2024 года он выпустил обновленную программу версии 6.4.3, в которой все недостатки были устранены. Уязвимости BDU:2024-08016 — BDU:2024-08021 получили оценки от 5,8 до 8,1 балла по шкале CVSS 3.1 (средний и высокий уровни опасности). Их эксплуатация грозила утечками информации и нелегитимными изменениями данных профиля. Эксперты обнаружили несколько сценариев эксплуатации уязвимостей BDU:2024-08021 и BDU:2024-08017 : даже с минимальными привилегиями в системе киберпреступник смог бы внедрить и выполнить в браузере пользователя произвольный JavaScript-код. Выполнение такого же кода при использовании недостатка BDU:2024-08016 могло произойти, если бы пользователь перешел по вредоносной ссылке. Результатом таких атак стала бы компрометация аккаунтов пользователей и администраторов Passwork. «Эксплуатация BDU:2024-08018 могла бы позволить злоумышленнику получить доступ к локальным файлам и каталогам на сервере. Такие действия могли бы привести к недоступности приложения Passwork за счет перезаписи файлов. А если бы нарушитель смог переписать файл базы данных с паролями, возник бы риск утраты всех паролей», — уточнил Олег Сурнин, руководитель группы исследований безопасности мобильных приложений, Positive Technologies. 👉 Больше подробностей, а также информация о том, как предотвратить эксплуатацию уязвимостей, — в новости на нашем сайте: https://vk.cc/cIGuJl #PTSWARM #Positive_Technologies