Noutățile săptămânii din Securitate Cibernetică 22.10.2021

Aproximativ 26% din toate amenințările JavaScript rău intenționate sunt ofuscate

O cercetare care a analizat peste 10.000 de eșantioane de software rău intenționat scris în JavaScript a concluzionat că aproximativ 26% din acesta este ascuns pentru a evita detectarea și analiză.

Ofuscarea este atunci când codul sursă ușor de înțeles este convertit într-un cod greu de înțeles și confuz. Atacatorii folosesc în mod obișnuit ofuscarea pentru a face mai dificilă analiza scripturilor rău intenționate și pentru a ocoli software-ul de securitate.

Sursa: https://www.bleepingcomputer.com/news/security/about-26-percent-of-all-malicious-javascript-threats-are-obfuscated/?&web_view=true

iPhone 13 Pro compromis în cadrul conferinței anuale de hacking Tianfu Cup din China

În cadrul competiției anuale de hacking Tianfu Cup, desfășurată la Chengdu (China), smartphone-ul Apple iPhone 13 Pro, rulând cea mai recentă versiune a iOS, 15.0.2, a fost compromis de două ori.

Echipa Kunlun Lab a utilizat un exploit „remote code execution” pentru a compromite dispozitivul în 15 secunde, în timp ce Team Pangu, câștigătoarea premiului cel mare al competiției, a realizat un jailbraking remote pe iPhone 13 Pro.  

Sursa: https://www.forbes.com/sites/daveywinder/2021/10/18/iphone-13-pro-hacked-chinese-hackers-suddenly-break-ios-1502-security/?sh=bd3ba2b1fe64

Google a lansat o nouă versiune a browser-ului Chrome pentru a repara 19 vulnerabilități

Google a lansat o nouă versiune a browser-ului Chrome, 95.0.4368.54, pentru repararea a 19 vulnerabilități, dintre care 5 au un nivel de severitate ridicat. Printre acestea se află CVE-2021-37981 (un „heap buffer overflow” al Skia), CVE-2021-37982 (problemă „use-after-free” a componentei incognito) și CVE-2021-37983 (eroare „use-after-free” a Dev Tools).

Separat, Google a spus că a îmbunătățit securitatea generală a Chrome prin eliminarea mai multor funcții, cum ar fi suportul pentru protocoalele TLS 1.0/1.1 și FTP, pentru adresele URL care prezintă nume de gazdă non-IPv4 care se termină în numere și pentru U2F (Universal 2nd Factor) standard.

Sursa: https://www.lifewire.com/patch-tuesday-2625783

Oracle 2021 CPU din Octombrie include 419 patch-uri de securitate

Oracle a anunțat marți, 19 octombrie 2021, lansarea ultimei sale actualizări trimestriale Critical Patch (CPU), care include un total de 419 de corecții de securitate pentru vulnerabilități din portofoliul companiei.

Dintre cele 419 de noi patch-uri de securitate din CPU octombrie 2021, 36 tratează vulnerabilități critice, unul dintre ele având un scor CVSS de 10. CPU abordează, de asemenea, 60 de vulnerabilități care prezintă un scor CVSS între 8 și 9.

Oracle Communications a primit cel mai mare număr de patch-uri din acest procesor, 71 la număr. Dintre acestea, 56 de vulnerabilități ar putea fi exploatate de la distanță fără autentificare.

Mai multe detalii despre vulnerabilități, produsele afectate și informații despre patch-uri găsiți la adresa: https://www.oracle.com/security-alerts/cpuoct2021.html