Февраль не особо баловал нас новостями из мира безопасности первые пару недель. Но некоторое время назад всё изменилось. И хотя речь сегодня пойдет о критических уязвимостях, которые затрагивают многих, доля оптимизма в новостях все же присутствует. А все потому, что доступны обновления, в которых они исправлены. Но начнем мы, пожалуй, не с них, а с интересного эксперимента одного школьника, которому удалось запустить внутри pdf-файла OC Linux.
Школьник запустил Linux внутри PDF-файла
Старшеклассник Аллен Динг, ранее запускавший Doom в PDF, представил новый проект — LinuxPDF, встроенную в PDF операционную систему Linux. Проект использует JavaScript и работает в браузерах на базе Chromium (Chrome, Edge, Opera). Исходный код доступен на GitHub. LinuxPDF работает на эмуляторе RISC-V через TinyEMU. Управление осуществляется через виртуальную клавиатуру. Несмотря на то, что PDF создан для текста и изображений, поддержка JavaScript позволила реализовать такой необычный проект.
Производительность низкая: загрузка ядра занимает около минуты из-за отсутствия JIT-компиляции в движке V8 Chromium. По умолчанию система 32-битная, но можно создать 64-битную версию, которая будет работать ещё медленнее.
Проект демонстрирует нестандартное использование JavaScript, расширяя возможности PDF.
Исправлена уязвимость в PostgreSQL, задействованная при атаке на BeyondTrust
Для всех поддерживаемых версий PostgreSQL (17.3, 16.7, 15.11, 14.16, 13.19) выпущены обновления, устраняющие более 70 ошибок, включая уязвимость CVE-2025-1094. Эта уязвимость была использована в атаке на BeyondTrust и Министерство финансов США в декабре 2024 года. Проблема связана с библиотекой libpq, которая предоставляет API для взаимодействия с СУБД PostgreSQL.
Уязвимость позволяет злоумышленникам внедрять произвольный SQL-код через функции экранирования спецсимволов (PQescapeLiteral, PQescapeIdentifier, PQescapeString, PQescapeStringConn). В BeyondTrust уязвимость эксплуатировалась через утилиту psql, где некорректные Unicode-символы в UTF-8 обходили экранирование кавычек.
В результате атаки злоумышленники получили доступ к API для удалённой поддержки клиентов BeyondTrust. Как следствие, они смогли загрузить конфиденциальные данные и получить доступ к рабочим станциям.
Дополнение: Исправление в libpq вызвало регрессию — функция PQescapeIdentifier перестала учитывать поле с размером. Внеплановое обновление для устранения этой проблемы запланировано на 20 февраля.
В OpenSSH устранены уязвимости, угрожающие безопасным соединениям
Разработчики OpenSSH выпустили обновление 9.9p2, устраняющее две критические уязвимости, которые могли привести к атакам типа «человек посередине» (MiTM) и отказам в обслуживании (DoS). Обе проблемы были обнаружены специалистами компании Qualys.
Первая уязвимость, CVE-2025-26465, существует с 2014 года и затрагивает клиенты с включенной опцией VerifyHostKeyDNS. Она позволяет злоумышленникам перехватывать SSH-соединения, обходя проверку ключей сервера. Атака возможна даже при нехватке памяти на стороне клиента, что вынуждает его принять поддельный ключ. Хотя опция по умолчанию отключена, она была активна в FreeBSD с 2013 по 2023 год.
Вторая уязвимость, CVE-2025-26466, появилась в OpenSSH 9.5p1 (август 2023 года) и связана с утечкой памяти при обработке пакетов SSH2_MSG_PING. Атакующие могут отправлять множество небольших пакетов, что приводит к перегрузке памяти и процессора, вызывая сбои в работе системы.
Разработчики настоятельно рекомендуют пользователям обновиться до версии 9.9p2 и отключить VerifyHostKeyDNS, если её использование не является необходимым. Также для защиты от DoS-атак предлагается настроить ограничения с помощью директив LoginGraceTime, MaxStartups и PerSourcePenalties.
Уязвимости в процессорах AMD позволяют запускать код в режиме SMM
Компания AMD устранила 6 уязвимостей в процессорах EPYC и Ryzen. Наиболее опасные (CVE-2023-31342, CVE-2023-31343, CVE-2023-31345) позволяют выполнять код в режиме SMM (System Management Mode), который имеет приоритет выше гипервизора и нулевого кольца защиты. Если кратко, то это дает доступ ко всей системной памяти и контроль над ОС. Проблема связана с недостаточной проверкой входных данных в обработчике SMM, что дает возможность атакующему с привилегиями изменять содержимое SMRAM. Детали эксплуатации уязвимостей пока не раскрываются.
Другие исправленные уязвимости:
- CVE-2023-31352 – ошибка в AMD SEV (применяется для защиты VM), позволяющая администратору хост-системы читать незашифрованную память гостевой системы.
- CVE-2023-20582 – обход проверок RMP в SEV-SNP, что может нарушить целостность памяти виртуальных машин.
- CVE-2023-20581 – ошибка в IOMMU, позволяющая обойти проверку RMP и повлиять на память гостевой системы.
Уязвимости затрагивают процессоры AMD EPYC 3-го и 4-го поколений, Ryzen Embedded серий R1000, R2000, 5000, 7000, V2000, V3000, а также десктопные Ryzen 3000-8000 и Athlon 3000.
