Компания Google выпустила обновления безопасности для браузера Chrome

В новой версии 106.0.5249.119 браузера Chrome исправлено шесть уязвимостей высокой степени критичности. Большая часть исправлений касается уязвимостей, связанных с некорректным использованием динамической памяти во время работы программы, самая серьезная из которых относится к библиотеке Skia и имеет идентификатор CVE-2022-3445. Также были исправлены уязвимости переполнения буфера WebSQL — CVE-2022-3446 и ошибка в Custom Tabs —  CVE-2022-3447.

Исследователи из Aqua обнаружили атаку, раскрывающую имена частных пакетов npm

Npm имеет API-интерфейс реестра, который позволяет пользователям загружать пакеты, а также проверять их наличие. Если искомый пакет не существует или установлен как частный, веб-сайт вернет код ошибки HTTP 404. Исследователи обнаружили измеримую разницу в среднем времени, необходимом npm для ответа на запрос, является ли пакет закрытым или несуществующим. Раскрытые таким образом имена приватных пакетов в репозитории позволяют злоумышленникам публично размещать их вредоносные клоны. Если разработчики и тестировщики ПО, загрузившие поддельные пакеты, не обнаружат подмену, продукты могут попасть к конечным пользователям.

Aruba исправила критические уязвимости в EdgeConnect Enterprise Orchestrator

Компания Aruba выпустила обновления безопасности для EdgeConnect Enterprise Orchestrator, устраняющие несколько критических уязвимостей, которые позволяли злоумышленникам скомпрометировать хост. Обновления включают в себя исправления уязвимостей CVE-2022-37913 и CVE-2022-37914, связанных с обходом механизма аутентификации и повышением привилегий, а также устранение CVE-2022-37915 — RCE уязвимости в веб-интерфейсе управления EdgeConnect Enterprise Orchestrator. Разработчики отметили, что на сегодняшний день не обнаружено активного использования упомянутых уязвимостей.