Компания Google выпустила обновления безопасности для браузера Chrome
В новой версии 106.0.5249.119 браузера Chrome исправлено шесть уязвимостей высокой степени критичности. Большая часть исправлений касается уязвимостей, связанных с некорректным использованием динамической памяти во время работы программы, самая серьезная из которых относится к библиотеке Skia и имеет идентификатор CVE-2022-3445. Также были исправлены уязвимости переполнения буфера WebSQL — CVE-2022-3446 и ошибка в Custom Tabs — CVE-2022-3447.
Исследователи из Aqua обнаружили атаку, раскрывающую имена частных пакетов npm
Npm имеет API-интерфейс реестра, который позволяет пользователям загружать пакеты, а также проверять их наличие. Если искомый пакет не существует или установлен как частный, веб-сайт вернет код ошибки HTTP 404. Исследователи обнаружили измеримую разницу в среднем времени, необходимом npm для ответа на запрос, является ли пакет закрытым или несуществующим. Раскрытые таким образом имена приватных пакетов в репозитории позволяют злоумышленникам публично размещать их вредоносные клоны. Если разработчики и тестировщики ПО, загрузившие поддельные пакеты, не обнаружат подмену, продукты могут попасть к конечным пользователям.
Aruba исправила критические уязвимости в EdgeConnect Enterprise Orchestrator
Компания Aruba выпустила обновления безопасности для EdgeConnect Enterprise Orchestrator, устраняющие несколько критических уязвимостей, которые позволяли злоумышленникам скомпрометировать хост. Обновления включают в себя исправления уязвимостей CVE-2022-37913 и CVE-2022-37914, связанных с обходом механизма аутентификации и повышением привилегий, а также устранение CVE-2022-37915 — RCE уязвимости в веб-интерфейсе управления EdgeConnect Enterprise Orchestrator. Разработчики отметили, что на сегодняшний день не обнаружено активного использования упомянутых уязвимостей.