McAfee обнаружила пять расширений Google Chrome, крадущих данные пользователей
Аналитики угроз McAfee обнаружили пять расширений Google Chrome (Netflix Party, Netflix Party 2, Full Page Screenshot Capture — Screenshotting, FlipShope — Price Tracker Extension, AutoBuy Flash Sales), которые крадут данные о действиях пользователей в Интернете. В общей сложности вредоносные расширения были загружены более 1,4 миллиона раз. Целью вредоносных расширений является отслеживание времени посещения маркетплейсов и изменение cookie-файлов пользователей так, будто они переходили по реферальной ссылке. За такие переходы авторы расширений получают партнерское вознаграждение. Каждый раз, когда пользователь посещает новый URL-адрес, данные отправляются злоумышленнику через POST-запросы. Такие сведения включают URL-адрес в формате base64, идентификатор пользователя, местоположение устройства (страна, город, почтовый индекс) и закодированный реферальный URL-адрес.
Обновление безопасности GitLab
Специалисты GitLab анонсировали обновления безопасности 15.3.2, 15.2.4, 15.1.6 для GitLab Community Edition (CE) и Enterprise Edition (EE). Устранены 15 уязвимостей, одна из которых является критической XSS (CVE-2022-286). Данная уязвимость затрагивает все версии до 15.1.6, версии 15.2–15.2.3, версии 15.3–15.3.1 GitLab CE/EE. Злоумышленники могут воспользоваться уязвимостью функции по настройке цвета меток, которая может привести к хранимому XSS, что может позволить выполнять произвольные действия от имени жертвы на стороне клиента.
Microsoft обнаружила уязвимость в приложении TikTok
Исследователи Microsoft Defender Research Team опубликовали отчет об уязвимости высокой степени в Android-версии приложения TikTok. Уязвимость может позволить злоумышленникам обойти проверку deeplink. Атакующие могут загрузить произвольный URL-адрес в компонент WebView, а затем через данный адрес получить доступ к подключенным мостам JavaScript WebView. Используя специальные JavaScript-методы, злоумышленники могут получить доступ к профилям пользователей, а также выполнять HTTP-запросы. Также у атакующих могли оказаться токены аутентификации, вся занесенная в аккаунт информация, видеозаписи с ограниченными правами доступа и настройки профиля. Уязвимость получила идентификатор CVE-2022-28799 и была исправлена в версии 23.7.3.