В PHP 7 обнаружены три серьезные уязвимости
Исследователи компании Check Point обнаружили три ранее неизвестные опасные уязвимости в механизме десериализации в языке программирования PHP 7. В PHP 5 данный механизм также был уязвим и активно эксплуатировался злоумышленниками для компрометации сайтов на базе Drupal, Joomla, Magento, vBulletin и пр.
В PHP 7 уязвимым оказался тот же механизм, что и в PHP 5, однако сами уязвимости являются другими. CVE-2016-7479 позволяет вызвать использование памяти после высвобождения и в результате выполнить код, с помощью CVE-2016-7480 можно использовать неинициализированное значение и выполнить код, а эксплуатируя CVE-2016-7478, атакующий может вызвать отказ в обслуживании.
Первые две из вышеупомянутых уязвимостей позволяют получить полный контроль над сервером. Злоумышленник может использовать его для распространения вредоносного ПО, похищения данных пользователей и т.д. Третья уязвимость позволяет «подвесить» сайт, исчерпать память и как результат вывести из строя атакуемую систему.
По словам экспертов, ни одна из уязвимостей пока не использовалась хакерами. Представители Check Point уведомили о проблемах команду безопасности PHP в августе и сентябре текущего года. 13 октября и 1 декабря для двух из них были выпущены исправления, а третья остается неисправленной.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш