Атака на протокол HTTP/2. Обход шифрования диска через непрерывное нажатие Enter. Применение атаки Rowhammer для создания уникальных идентификаторов. Подстановка нажатий клавиш через Bluetooth.
Исследования: Анализ утечек на смартфонах Realme, Xiaomi и OnePlus. Метод эксплуатации разыменования NULL-указателей в ядре Linux. Определение контуров предметов за стеной через Wi-Fi. Зависимость времени выполнения инструкций от данных в CPU. Определение местоположения через анализ задержек в доставке SMS. Определение текста по звуку набора на клавиатуре. Проблемы со старыми зависимостями.
Локальные уязвимости: ядро Linux (nftables (1, 2), eBPF, ipset, skb, exFAT, netfilter, tcindex, VMA, io_uring, защита от Spectre v2, QoS), Glibc ld.so, NTFS-драйвер GRUB, OpenOffice, LibreOffice, Xreader, X.Org Server, libX11, GCC, openSUSE-welcome, Ubuntu OverlayFS, OverlayFS, sudo.
Удалённые уязвимости: ядро Linux (NVMe-oF/TCP, ksmbd, IPv6-стек), strongSwan IPsec, Exim, oFono, ClamAV, OpenSSH (1, 2, ssh-agent), Buildroot, Git (1, 2, 3), OpenSSL, GStreamer, Zephyr RTOS, OpenVPN, SoftEther VPN, ingress-nginx, VLC, Squid, libcue (атака через GNOME), libvpx (атака через браузеры), libwebp (атака через браузеры и LibreOffice), GitLab (1, 2, 3), FreeBSD pf, Python, PHP, Cargo (1, 2), VitualBox, Redis, Asterisk, Mastodon, nginx, I2P, Tor, cpdb-libs, cups-filters, Apache OpenMeetings, Warpinator, Ghostscript, Flatpak, Home Assistant, Wasmtime, ImageMagic, Ruby on Rails, Hyper.
Взломы: MongoDB, Sourcegraph, Kodi, Inkscape, Ledger, LastPass, Slack, CircleCI и Rackspace, Reddit.
Приватность: Телеметрия в Go и Fedora. Результаты сбора телеметрии в GNOME. Проблемы в автомобильных информационных системах. 67% Apache Superset используют ключ из примеров. Восстановление кадрированных скриншотов.
Уязвимости в маршрутизаторах и оборудовании: Barracuda ESG, Netgear, D-Link, MikroTik, ASUS, Juniper, Tenda, Samsung Exynos, Cisco IOS XE, Cisco Small Business, Zyxel, Canon. Перехват трафика беспроводных точек доступа.
Продолжение выявления вредоносных пакетов в репозиториях и каталогах NPM, PyPI, Ubuntu Snap Store. Захват проектов в PyPI и Packagist. Ключи доступа, забытые в PyPI (1, 2) и GitHub.
Атаки на инфраструктуры: Захват ключей для подписи приложений GitHub. Утечка Git-репозиториев Яндекс. Перехват шифрованного трафика jabber.ru и xmpp.ru. Вредоносная зависимость в PyTorch. Утечка закрытых ключей Intel. Утечка данных 37 млн клиентов T-Mobile из-за уязвимости в API. Фишинг KeePass. Атака на регистраторов, позволившая захватить контроль над 19 доменами первого уровня.
Инциденты:
Уязвимость из-за патчей Ubuntu к OverlayFS.
Публикация в публичном репозитории хостового SSH-ключа GitHub.
Ложные отчёты об уязвимостях.
Бэкдор в deb-пакетах Free Download Manager.
Подстановка непристойных выражений в инсталлятор Ubuntu 23.10.
Эксплоит rkvdec с вредоносным кодом.
тэги: helpsoc tech komp 2023 события за год,
tags: helpsoc tech komp 2023 события за год.
