«Хостер года» и «Креатив года» Нац.премия ЦОДы.рф
Победитель Нац.премии «ЦОДы.РФ» в номинациях «Хостер года» (2021, 2022, 2024), «Креатив года» (2024) и «Золотое перо года» (2025)
8 800 775-38-37 Бесплатно, круглосуточно
Тариф успешно добавлен в корзину
В корзину

Риски для безопасности данных: уязвимости в OpenPGP.js, GNU sort и GitHub

Автор новости First John
Новость 29 Мая 2025 2 мин 25

Тревожные новости в мире цифровой безопасности: в трёх популярных инструментах обнаружены критические уязвимости, которые могут затронуть миллионы пользователей. Подробнее о каждой из них рассказали ниже. 

Брешь в библиотеке OpenPGP.js

В OpenPGP.js обнаружена уязвимость CVE-2025-47934. OpenPGP.js — это JavaScript-библиотека для работы с протоколом OpenPGP, используемая в Proton Mail и других проектах. Уязвимость позволяет злоумышленнику отправлять изменённые сообщения, которые система воспринимает как подписанные. Функции openpgp.verify и openpgp.decrypt возвращают успешный результат, хотя содержимое сообщения изменено. 

Уязвимость устранена в версиях 5.11.3 и 6.1.1, но не затрагивает OpenPGP.js 4.x. Она касается только процедур проверки подписи и расшифровки сообщений. Злоумышленник может создать поддельное сообщение, изменив исходное с действительной подписью.

Уязвимость не распространяется на подписи, переданные отдельно от текста. Для атаки достаточно одного подписанного сообщения и знания его содержимого.

Подробнее

Критическая уязвимость в GNU sort: риск выхода за пределы буфера

В утилите sort, входящей в состав GNU Coreutils, обнаружена уязвимость CVE-2025-5278. Эта уязвимость связана с целочисленным переполнением в функции begfield(), что может привести к обращению к данным за пределами буфера.

При использовании специально подготовленных параметров сортировки эта уязвимость может привести к аварийному завершению работы приложения или раскрытию конфиденциальной информации.

Проблема была обнаружена в версии 7.2 (2009) и пока не была исправлена.

Подробнее

Проблема сервере GitHub: утечка данных из закрытых репозиториев

В системе GitHub MCP Server обнаружена проблема, которая позволяет злоумышленникам получать доступ к конфиденциальной информации из закрытых репозиториев через специальных AI-ассистентов.

Протокол MCP используется для интеграции моделей искусственного интеллекта с API GitHub, предоставляя им доступ к информации из репозиториев.

Злоумышленник может создать публичный запрос на исправление ошибки в репозитории, который приведёт к раскрытию данных в запросе на включение. Например, сообщение об ошибке, требующее добавить информацию об авторе в README, может раскрыть личные данные и список закрытых репозиториев автора.

Для активации уязвимости владелец репозитория должен разрешить AI-ассистенту анализировать сообщения об ошибках.

Подробнее

Возможно, вам будет интересно

Автор новости First John

Теги

Назад к списку

Другие новости

Скидка новым клиентам
Закажите сервер сегодня и получите скидку на первый месяц аренды!