Команда проекта OpenBSD откажется от поддержки технологии Intel Hyper-Threading (гиперпоточность) из-за рисков безопасности, связанных с уязвимостями Meltdown/Spectre и им подобных проблем.   Hyper-Threading представляет собой проприетарную реализацию Intel технологии Simultaneous Multithreading (SMT, одновременная многопоточность), которая появилась в начале 2000-х годов для процессоров Intel Pentium 4 и других. После активации HTT операционная система начинает «видеть» одно реальное физическое ядро процессора как два отдельных процессора. Благодаря этому при определенных типах нагрузки процессор становится более продуктивным, поскольку используется на 100%. В процессорах Intel данная функция включена по умолчанию.   Как пояснил участник команды OpenBSD Марк Кеттенис (Mark Kettenis), отмена поддержки связана с тем, что HTT представляет возможность проведения атак по времени. К данному классу атак также относятся атаки с эксплуатацией уязвимостей Meltdown, Spectre и их многочисленных вариантов. По его словам, Intel HT упрощает осуществление атак по времени, что позволит более легкую эксплуатацию подобных Spectre уязвимостей.   Команда OpenBSD реализовала настройки (hw.smt sysctl) для отключения поддержки Intel HT, поскольку «многие современные машины больше не предоставляют возможность деактивировать гиперпоточность в настройках BIOS». Пока новая функция будет работать только для процессоров Intel, в будущем разработчики планируют расширить ее на CPU других производителей. Кеттенис считает, что изменение незначительно скажется на производительности, поскольку «в действительности SMT не настолько повышает производительность, как утверждают Intel и другие производители процессоров».   Атака по времени - атака по сторонним каналам, в которой атакующий пытается скомпрометировать криптосистему с помощью анализа времени, затрачиваемого на исполнение криптографических алгоритмов.   securitylab.ru

Отныне Android сможет проверять, является приложение легитимным или потенциально вредоносным, даже без подключения к интернету. Теперь Google Play Store будет встраивать в APK приложений метаданные для проверки, является ли ПО аутентичным и было ли загружено из официального или одобренного Google магазина приложений.   Проверять метаданные, представляющие собой криптографические подписи, Android сможет даже в режиме offline. Подписанные легитимные приложения, загруженные не из Google Play Store, а из локальных пиринговых сетей, по-прежнему будут получать обновления из официального магазина при установке внешнего подключения.   Как пояснил директор по продукции Google Play Store Джеймс Бендер (James Bender), данный шаг был продиктован заботой о пользователях в развивающихся странах или отдаленных уголках земли. В местах, где интернет малодоступен, пользователи вынуждены для загрузки приложений прибегать к пиринговым сетям. Возможность проверки подлинности приложений без подключения к интернету обезопасит таких пользователей от загрузки вредоносного ПО.   «Одной из причин является желание предоставить разработчикам возможность расширить свою аудиторию в странах, где из-за высоких тарифов и ограниченного подключения распространена практика обмена приложениями по пиринговым сетям», - отметил Бендер.   Для того чтобы реализовать новую систему проверки, Google немного увеличит максимально допустимый размер APK. Таким образом, Google Play Store сможет добавлять в приложения метаданные без необходимости для разработчиков заново их упаковывать. Разработчикам ничего не нужно делать, так как метаданные будут добавляться в приложения автоматически через магазин.   securitylab.ru

Владельцы компьютеров со старыми процессорами, такими как Pentium III, больше не смогут устанавливать ежемесячные обновления и патчи безопасности для Windows 7, несмотря на обещание Microsoft поддерживать ОС до 14 января 2020 года.   Как сообщает Computerworld, судя по внесенным несколько дней назад изменениям в документацию, компьютеры, на которых не установлены расширения Streaming SIMD Extensions 2 (SSE2), больше не будут получать обновления для Windows 7.   Выпущенное в марте текущего года ежемесячное обновление для Windows 7 (KB 4088875) содержало предупреждение о проблеме с SSE2: «На компьютерах, не поддерживающих Streaming Single Instructions Multiple Data (SIMD) Extensions 2 (SSE2), возникает ошибка Stop». Тогда Microsoft пообещала исправить ее в следующем выпуске обновлений.   Та же самая ошибка возникала в случае с бюллетенем безопасности KB 4088878, и оставалась актуальной с выходом апрельских, а затем и майских обновлений. В документации к майским обновлениям было сказано следующее: «Microsoft известно о сообщениях некоторых пользователей о невозможности переустановить удаленные сетевые драйверы после установки обновления 8 мая 2018 года. Это может привести к потере сетевого подключения. В настоящее время Microsoft изучает проблему и по результатам расследования предоставит обновление статуса».   Тем не менее, 25 мая это объяснение было по непонятным причинам удалено из документации, куда был возвращен первоначальный текст: «Microsoft работает над решением и представит его в будущем релизе». Несмотря на изменение в документации, сам патч остался без изменений.   По словам пользователя DAVe3283, до 15 июня документация к KB 4284826 и KB 4284867 содержала именно такой текст. После 15 июня производитель снова внес изменения, обозначив проблему как «известную» и посоветовав осуществить апгрейд компьютеров до процессоров с поддержкой SSE2. Другими словами, Microsoft не будет исправлять проблему и не намерена объяснять почему.   Напомним, со следующего месяца Microsoft больше не будет отвечать на вопросы пользователей своих форумов техподдержки касательно Windows 7, Windows 8.1, Windows 8.1 RT, Microsoft Security Essentials, Internet Explorer 10, Office 2010 и Office 2013.   securitylab.ru

Хакерская группировка Thrip, предположительно работающая из Китая, взломала компании, которые разрабатывают технологии спутниковых коммуникаций и геопространственной разведки, а также ряд оборонных подрядчиков из США и Юго-Восточной Азии. Об этом сообщили исследователи безопасности из компании Symantec.   По словам специалистов, хакеры пытались заразить компьютерные системы, используемые для управления спутниками связи и сбора геопространственных данных.   «Это может говорить о том, что мотивы [группировки] выходят за рамки шпионажа и могут также включать диверсию», - отметили эксперты. Помимо этого, хакеры могут также пытаться саботировать работу спутников или изменить данные, полагают специалисты.   Для маскировки атак хакеры использовали метод, известный как «living off the land», который заключается в использовании локальных приложений во вредоносных целях.   «Используя данные инструменты, злоумышленники надеются скрыть свою активность среди легитимных процессов. Кроме того, злоумышленников будет крайне сложно вычислить, даже если вредоносная активность будет обнаружена», - отметили исследователи.   По данным специалистов, Thrip использовала такие легитимные инструменты как PsExec, Mimikatz, WinSCP и LogMeIn для установки вредоносов Rikamanu (троян), Catchamas (инфостилер), Mycicil (кейлоггер), Spedear (бэкдор) и Syndicasec (троян).   securitylab.ru

Один из пользователей форума Reddit, использующий псевдоним TopWire, обратил внимание, что наряду с популярным Android-эмулятором Andy OS для Windows и macOS на компьютер скрыто устанавливается вредоносная программа для добычи криптовалют за счет ресурсов графического процессора.   Согласно сообщению TopWire, майнер без ведома пользователей устанавливается в папку C:\Program Files (x86)\Updater\updater.exe. TopWire неоднократно пытался связаться по этому вопросу с разработчиками Andy OS, однако все его обращения были проигнорированы. Пользователь опубликовал видео с демонстрацией процесса установки Andy OS:   На VirusTotal инсталлятор Andy OS детектируется как одна из версий InstallCore – известного установщика рекламного ПО. Подобные установщики позволяют разработчикам бесплатного программного обеспечения зарабатывать за счет показа рекламы.   Эксперт в области безопасности Лоуренс Абрамс (Lawrence Abrams) изучил текущую версию Andy OS и выяснил, что программа устанавливается на компьютер даже после отклонения всех рекламных предложений. Он протестировал эмулятор с помощью сервиса песочницы Any.Run. Как показал анализ, в процессе установки исполняется файл GoogleUpdate.exe, запускающий файл UpdaterSetup.exe, который, в свою очередь, устанавливает программу Updater.exe и настраивает ее на автоматический запуск при входе в Windows.   Несмотря на название GoogleUpdate.exe, файл содержит описание «AndyOS Update» («Обновление AndyOS»). Судя по подписи «Andy OS Inc», файл принадлежит Andy OS Inc либо был намеренно подписан компанией.   Специалист рекомендует пользователям воздержаться от установки эмулятора Andy OS, пока разработчики не прояснят ситуацию.   securitylab.ru

В устройствах Google Chromecast и Google Home обнаружена уязвимость, позволяющая любому web-сайту получить доступ к сервису геолокации Google и определить точное местоположение гаджетов с погрешностью до 1 м.   Как правило, web-сайты получают общие сведения о местонахождении пользователей по IP-адресам подключающихся к сайтам устройств. Однако такой метод не отличается высокой точностью и позволяет лишь примерно прикинуть географическое местоположение IP-адресов. Поэтому для установления местонахождения пользователей Google использует высокоточные геолокационные сервисы, определяющие местоположение устройств на основании их расположения по отношению к окружающим беспроводным сетям.   Как сообщает исследователь компании Tripwire Крейг Янг (Craig Young), уязвимость в Google Chromecast и Google Home позволяет web-сайтам определять ближайшие беспроводные подключения и с помощью перекрестных ссылок на базу данных Google устанавливать точное местоположение пользователей.   «Хотя использующее данный функционал приложение Google предполагает, что вы должны быть авторизованы в учетной записи Google, связанной с целевым устройством, по факту, какой-либо механизм аутентификации на уровне протокола отсутствует», - отметил Янг.   Исследователь протестировал уязвимость только на трех адресах, но все три раза полученные web-сайтом геолокационные данные были верны.   securitylab.ru

В приложении Quick Look для предпросмотра файлов в macOS обнаружена уязвимость, раскрывающая содержимое файлов, хранящихся на защищенных паролем зашифрованных дисках.   Как пояснил исследователь в области безопасности Войцех Регула (Wojciech Regula), при открытии или создании какого-либо документа операционная система кэширует его и сохраняет копию, которая впоследствии открывается в Quick Look. Проблема заключается в том, что кэшированные файлы/папки хранятся в открытом виде в доступной области на незашифрованном жестком диске.   Для подтверждения теории Регула загрузил один и тот же файл на два диска. Один из них был зашифрован с помощью программы VeraCrypt, второй с использованием стандартных методов шифрования Apple. Далее он ввел простую команду на терминале и получил доступ к папке, где хранились все кэшированные файлы в незащищенном виде.   По словам другого специалиста, Патрика Уордла (Patrick Wardle), описанная Регулой проблема существует уже порядка восьми лет, в том числе в актуальной версии macOS Mojave, которую Apple представила в начале нынешнего месяца.   В случае с защищенными контейнерами AFPS macOS ведет себя похожим образом, предоставляя возможность просмотреть даже зашифрованные тома. Когда контейнер демонтируется, миниатюры файлов сохраняются во временной папке, пояснил Уордл. При наличии доступа к системе атакующие или правоохранительные органы могут просмотреть эти документы. Специалист также отметил, что при подключении «флешки» к Mac, система создаст иконки файлов, содержащихся на внешнем накопителе, и сохранит их на загрузочном диске.   В настоящее время неизвестно, намерена ли Apple исправлять вышеописанную уязвимость, а пока эксперты рекомендуют пользователям вручную удалять кэш QuickLook при демонтаже контейнера.   Quick Look – программа для предпросмотра документов разных форматов. Впервые функционал появился в версии Mac OS X Leopard.   securitylab.ru

В ходе исследования безопасности IoT-устройств специалисты ИБ-компании VDOO обнаружили в камерах видеонаблюдения Axis Communications семь уязвимостей. Производитель идентифицировал порядка 400 уязвимых моделей и выпустил обновления для каждой из них.   По словам исследователей, злоумышленник, знающий IP-адрес атакуемой камеры, может удаленно и без аутентификации получить полный контроль над устройством. Полный контроль даст ему возможность перехватывать и останавливать видеопоток, управлять функциями камеры (например, отключать детектор движения), включать камеру в ботнет, вмешиваться в работу ПО, применять в DDoS-атаках и майнинге криптовалюты, а также использовать как точку входа для продвижения внутри сети.   Для удаленного взлома устройства атакующий может использовать связку из трех уязвимостей. CVE-2018-10661 позволяет обходить аутентификацию, CVE-2018-10662 – отправлять специальные запросы с правами суперпользователя, а CVE-2018-10660 – внедрять произвольные команды оболочки.   Остальные обнаруженные специалистами VDOO уязвимости позволяют авторизованному атакующему вызывать аварийное завершение некоторых процессов и получать данные из памяти. Для каждой уязвимости эксперты разработали эксплоит. С полным списком уязвимых моделей можно ознакомиться здесь.   securitylab.ru