В Microsoft Office обнаружена 0-day уязвимость Follina
Опубликовано описание 0-day уязвимости в Microsoft Office, которая позволяет злоумышленнику, не имеющему особых привилегий, выполнить произвольный код на уязвимом узле средствами MSDT. Один из обнаруженных образцов, представляет собой Word-документ, который использует функцию шаблона для извлечения HTML-файла с удаленного сервера. После чего загруженный HTML-код использует схему MS-MSDT URI для загрузки и выполнения PowerShell кода.
Ботнет Enemybot расширил свои возможности
Новый ботнет Enemybot на базе Linux расширил свои возможности, добавив в свой функционал недавно обнаруженные уязвимости безопасности, нацеленные на веб-серверы, устройства Android и системы управления контентом (CMS). Быстрому распространению ботнета служит его доступность для злоумышленников, поскольку исходный код ботнета выложен на GitHub.
Обнаружены уязвимости в WebAssembly и движке JavaScript V8
Исследователь Вейбо Ванг из сингапурской компании по кибербезопасности Numen Cyber, рассказал об обнаруженной им уязвимости в движке V8 JavaScript и WebAssembly, используемом в браузерах Google Chrome и Chromium. По словам специалиста проблема была связана с использованием use-after-free в компоненте оптимизации команд. Успешная эксплуатация уязвимости позволяла злоумышленнику выполнить произвольный код в контексте браузера.
ИБ и интеллектуальные транспортные системы
На рассмотрение технического комитета по стандартизации «Защита информации» (ТК 362) поступили проекты новых ГОСТов:
ГОСТ Р «Интеллектуальные транспортные системы. Информационная безопасность. Надежность обмена данными между инфраструктурой и автомобилем».
ГОСТ Р «Интеллектуальные транспортные системы. Информационная безопасность. Термины и определения».
Ввоз криптографических средств
Официально опубликовано постановление Правительства Российской Федерации от 09.05.2022 № 834 «Об установлении особенностей ввоза в Российскую Федерацию шифровальных (криптографических) средств и товаров, их содержащих».
Эксперимент по повышению уровня защищенности ГИС
Официально опубликовано постановление Правительства Российской Федерации от 13.05.2022 № 860 «О проведении эксперимента по повышению уровня защищенности государственных информационных систем федеральных органов исполнительной власти и подведомственных им учреждений».
Принят проект о внесении изменений в Федеральный закон "О персональных данных"
В первом чтении приняты поправки в федеральный закон, согласно которым вводится обязанность операторов незамедлительно информировать уполномоченные органы власти об инцидентах с принадлежащими им базами персональных данных. Также предусматривается обязанность операторов обеспечивать непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ.