Обзор инцидентов безопасности за период с 6 по 12 апреля 2020 года
Прошлая неделя оказалась весьма напряженной для Zoom, криптовалютной биржи Bisq, сервиса электронной почты Email.it и пр.
Прошедшая неделя ознаменовалась рядом утечек, появлением нового ботнета, взломом криптовалютной биржи и пр. Об этих и других инцидентах безопасности читайте в нашем еженедельном обзоре.
За последние несколько недель существенно возросла популярность ПО для конференцсвязи Zoom как у пользователей, так и у киберпреступников. Так, сначала на YouTube и Vimeo появились тысячи записей видеоразговоров в Zoom, в том числе записи сеансов психотерапии, школьных занятий с учениками, консультаций с докторами и корпоративных совещаний. Затем на хакерском форуме были бесплатно опубликованы 2,3 тыс. скомпрометированных учетных записей пользователей ПО.
На торговых площадках в даркнете также были выставлены на продажу данные более 600 тыс. пользователей итальянского провайдера электронной почты Email.it. Базы данных предположительно содержат незашифрованные пароли и содержимое электронной почты пользователей, зарегистрировавшихся в период с 2007-го по 2020 год.
Операторы вымогательского ПО DoppelPaymer похитили у промышленного подрядчика внутренние конфиденциальные документы, принадлежащие компании Lockheed Martin, SpaceX, Tesla и Boeing, и опубликовали их в Сети после отказа платить выкуп.
На прошлой неделе криптовалютная биржа Bisq была вынуждена прекратить торги в связи с кибератакой, в результате которой у ее пользователей было похищено около $250 тыс. в криптовалюте. Причиной проблемы послужило недавнее обновление сети, призванное повысить ее устойчивость. Однако оно содержало скрытую уязвимость, позволившую злоумышленникам манипулировать запасными адресами, переждать установленные для торгов временны̀е ограничения и перевести чужие средства на подконтрольные им кошельки.
Не обошлось на прошлой неделе и без ботнетов. С помощью подстановки учетных данных (атак credential stuffing) операторы нового растущего ботнета dark_nexus взламывают маршрутизаторы (Dasan Zhone, Dlink и ASUS), видеорегистраторы и тепловизионные камеры видеонаблюдения и включают их в свою ботсеть для осуществления DDoS-атак.
Специалисты из Qihoo 360 сообщили о масштабной вредоносной кампании, организованной группировкой DarkHotel. Кампания началась в марте нынешнего года и нацелена на китайские правительственные учреждения и их сотрудников. Для получения удаленного доступа к корпоративным и государственным сетям злоумышленники эксплуатировали уязвимость нулевого дня в серверах Sangfor SSL VPN.
Еще одна нашумевшая киберпреступная группировка FIN6 объединила свои усилия с операторами вредоносного ПО TrickBot. Так, исследователи из IBM X-Force обнаружили следы FIN6 в недавней кампании по распространению вредоносного ПО Anchor с помощью трояна TrickBot.
Компания Microsoft сообщила о вредоносной операции с участием вредоносного ПО Emotet. Вредонос попал в сети неназванной организации через фишинговое письмо, полученным одним из ее сотрудников, и за восемь дней вывел из строя всю информационную сеть организации.
Источник: https://www.securitylab.ru/news/506607.php
Прошлая неделя оказалась весьма напряженной для Zoom, криптовалютной биржи Bisq, сервиса электронной почты Email.it и пр.
Прошедшая неделя ознаменовалась рядом утечек, появлением нового ботнета, взломом криптовалютной биржи и пр. Об этих и других инцидентах безопасности читайте в нашем еженедельном обзоре.
За последние несколько недель существенно возросла популярность ПО для конференцсвязи Zoom как у пользователей, так и у киберпреступников. Так, сначала на YouTube и Vimeo появились тысячи записей видеоразговоров в Zoom, в том числе записи сеансов психотерапии, школьных занятий с учениками, консультаций с докторами и корпоративных совещаний. Затем на хакерском форуме были бесплатно опубликованы 2,3 тыс. скомпрометированных учетных записей пользователей ПО.
На торговых площадках в даркнете также были выставлены на продажу данные более 600 тыс. пользователей итальянского провайдера электронной почты Email.it. Базы данных предположительно содержат незашифрованные пароли и содержимое электронной почты пользователей, зарегистрировавшихся в период с 2007-го по 2020 год.
Операторы вымогательского ПО DoppelPaymer похитили у промышленного подрядчика внутренние конфиденциальные документы, принадлежащие компании Lockheed Martin, SpaceX, Tesla и Boeing, и опубликовали их в Сети после отказа платить выкуп.
На прошлой неделе криптовалютная биржа Bisq была вынуждена прекратить торги в связи с кибератакой, в результате которой у ее пользователей было похищено около $250 тыс. в криптовалюте. Причиной проблемы послужило недавнее обновление сети, призванное повысить ее устойчивость. Однако оно содержало скрытую уязвимость, позволившую злоумышленникам манипулировать запасными адресами, переждать установленные для торгов временны̀е ограничения и перевести чужие средства на подконтрольные им кошельки.
Не обошлось на прошлой неделе и без ботнетов. С помощью подстановки учетных данных (атак credential stuffing) операторы нового растущего ботнета dark_nexus взламывают маршрутизаторы (Dasan Zhone, Dlink и ASUS), видеорегистраторы и тепловизионные камеры видеонаблюдения и включают их в свою ботсеть для осуществления DDoS-атак.
Специалисты из Qihoo 360 сообщили о масштабной вредоносной кампании, организованной группировкой DarkHotel. Кампания началась в марте нынешнего года и нацелена на китайские правительственные учреждения и их сотрудников. Для получения удаленного доступа к корпоративным и государственным сетям злоумышленники эксплуатировали уязвимость нулевого дня в серверах Sangfor SSL VPN.
Еще одна нашумевшая киберпреступная группировка FIN6 объединила свои усилия с операторами вредоносного ПО TrickBot. Так, исследователи из IBM X-Force обнаружили следы FIN6 в недавней кампании по распространению вредоносного ПО Anchor с помощью трояна TrickBot.
Компания Microsoft сообщила о вредоносной операции с участием вредоносного ПО Emotet. Вредонос попал в сети неназванной организации через фишинговое письмо, полученным одним из ее сотрудников, и за восемь дней вывел из строя всю информационную сеть организации.
Источник: https://www.securitylab.ru/news/506607.php
SecurityLab.ru
Обзор инцидентов безопасности за период с 6 по 12 апреля 2020 года
Прошлая неделя оказалась весьма напряженной для Zoom, криптовалютной биржи Bisq, сервиса электронной почты Email.it и пр.
Microsoft исправила три уязвимости нулевого дня
В рамках апрельского «второго вторника» Microsoft исправила 113 уязвимостей в своих продуктах.
Во вторник, 14 апреля, компания Microsoft выпустила плановые ежемесячные обновления безопасности для своих продуктов, исправляющие 113 уязвимостей, в том числе три уязвимости нулевого дня.
Одной из исправленных уязвимостей нулевого дня является CVE-2020-1020 , о которой SecurityLab сообщал еще в прошлом месяце. Проблема затрагивает библиотеку Adobe Type Manager (atmfd.dll), используемую Windows для обработки шрифтов PostScript Type 1 и позволяет удаленно запускать произвольный код на атакуемой системе и предпринимать действия от имени пользователя. Уязвимости затрагивают все версии Windows (кроме Windows 10) и Windows Server, в том числе более неподдерживаемую Windows 7.
Вторая уязвимость (CVE-2020-0938) также была исправлена в библиотеке Adobe Type Manager. Проблема похожа на CVE-2020-1020, однако о ней стало известно только 14 апреля.
Третьей уязвимостью нулевого дня, исправленной Microsoft в рамках апрельского «второго вторника» является CVE-2020-1027 . Проблема затрагивает ядро Windows и позволяет атакующему повысить свои привилегии и выполнить код с привилегиями ядра.
Все три уязвимости были обнаружены специалистами двух команд безопасности Google – Project Zero и Threat Analysis Group (TAG). По представленному Microsoft описанию невозможно понять, эксплуатировались они одними и теми же киберпреступниками или разными.
Источник: https://www.securitylab.ru/news/506679.php
В рамках апрельского «второго вторника» Microsoft исправила 113 уязвимостей в своих продуктах.
Во вторник, 14 апреля, компания Microsoft выпустила плановые ежемесячные обновления безопасности для своих продуктов, исправляющие 113 уязвимостей, в том числе три уязвимости нулевого дня.
Одной из исправленных уязвимостей нулевого дня является CVE-2020-1020 , о которой SecurityLab сообщал еще в прошлом месяце. Проблема затрагивает библиотеку Adobe Type Manager (atmfd.dll), используемую Windows для обработки шрифтов PostScript Type 1 и позволяет удаленно запускать произвольный код на атакуемой системе и предпринимать действия от имени пользователя. Уязвимости затрагивают все версии Windows (кроме Windows 10) и Windows Server, в том числе более неподдерживаемую Windows 7.
Вторая уязвимость (CVE-2020-0938) также была исправлена в библиотеке Adobe Type Manager. Проблема похожа на CVE-2020-1020, однако о ней стало известно только 14 апреля.
Третьей уязвимостью нулевого дня, исправленной Microsoft в рамках апрельского «второго вторника» является CVE-2020-1027 . Проблема затрагивает ядро Windows и позволяет атакующему повысить свои привилегии и выполнить код с привилегиями ядра.
Все три уязвимости были обнаружены специалистами двух команд безопасности Google – Project Zero и Threat Analysis Group (TAG). По представленному Microsoft описанию невозможно понять, эксплуатировались они одними и теми же киберпреступниками или разными.
Источник: https://www.securitylab.ru/news/506679.php
SecurityLab.ru
Microsoft исправила три уязвимости нулевого дня
В рамках апрельского «второго вторника» Microsoft исправила 113 уязвимостей в своих продуктах.
Распространение коронавируса можно предсказать с помощью Facebook
Исследователи обнаружили закономерность между новыми заражениями и социальными сетями.
Исследователи из Нью-Йоркского университета провели анализ развития пандемии коронавирусной инфекции в округе Уэстчестер в США и провинции Лоди в Италии и обнаружили закономерность между распространением COVID-19 и социальными сетями.
По словам экспертов, распространение вируса было наиболее сильным в тех районах, жители которых были связаны с очагами заражения через Facebook. Например, наибольшее число зараженных COVID-19 было зафиксировано в прибрежных районах и городских центрах, связанных с Уэстчестером. Изучив списки друзей жителей провинции Лоди, специалисты обнаружили связь с Римини — популярным морским курортом на Адриатике.
Для проведения исследования специалисты использовали новый инструмент под названием Social Connectedness Index, созданный совместно с Facebook. Набор данных Facebook позволяет исследователям выявить связи между двумя географическими областями путем анализа списка друзей в социальной сети, не нарушая при этом конфиденциальность пользователей. В настоящее время инструмент также доступен для других специалистов и некоммерческих организаций для использования в подобных исследованиях.
«Географическая структура социальной сети, измеряемая Facebook, действительно может предоставить полезную для эпидемиологов информацию о типе социальных взаимодействий, способствующих распространению инфекционных заболеваний», — отметили исследователи.
Источник: https://www.securitylab.ru/news/506749.php
Исследователи обнаружили закономерность между новыми заражениями и социальными сетями.
Исследователи из Нью-Йоркского университета провели анализ развития пандемии коронавирусной инфекции в округе Уэстчестер в США и провинции Лоди в Италии и обнаружили закономерность между распространением COVID-19 и социальными сетями.
По словам экспертов, распространение вируса было наиболее сильным в тех районах, жители которых были связаны с очагами заражения через Facebook. Например, наибольшее число зараженных COVID-19 было зафиксировано в прибрежных районах и городских центрах, связанных с Уэстчестером. Изучив списки друзей жителей провинции Лоди, специалисты обнаружили связь с Римини — популярным морским курортом на Адриатике.
Для проведения исследования специалисты использовали новый инструмент под названием Social Connectedness Index, созданный совместно с Facebook. Набор данных Facebook позволяет исследователям выявить связи между двумя географическими областями путем анализа списка друзей в социальной сети, не нарушая при этом конфиденциальность пользователей. В настоящее время инструмент также доступен для других специалистов и некоммерческих организаций для использования в подобных исследованиях.
«Географическая структура социальной сети, измеряемая Facebook, действительно может предоставить полезную для эпидемиологов информацию о типе социальных взаимодействий, способствующих распространению инфекционных заболеваний», — отметили исследователи.
Источник: https://www.securitylab.ru/news/506749.php
SecurityLab.ru
Распространение коронавируса можно предсказать с помощью Facebook
Исследователи обнаружили закономерность между новыми заражениями и социальными сетями.
Инфостилер Agent Tesla атакует нефтегазовую промышленность
Специалисты Bitdefender сообщили о вредоносной кампании, направленной против предприятий нефтегазовой промышленности. Злоумышленники используют целенаправленный фишинг и отправляют жертвам электронные письма от имени логистических компаний и инженерных подрядчиков. Целью кампании является заражение целевых систем инфостилером Agent Tesla.
Agent Tesla представляет собой написанное на .Net коммерческое вредоносное ПО с функциями кейлоггера и трояна для удаленного доступа (RAT), используемое с 2014 года. Помимо прочего, Agent Tesla способен собирать информацию о системе, похищать данные из буфера обмена, отключать антивирусные решения и процессы, позволяющие проанализировать вредонос. До кампании, обнаруженной специалистами Bitdefender, в атаках на нефтегазовую промышленность Agent Tesla не использовался.
В одном из случаев злоумышленники отправляли жертвам фишинговые письма от имени египетской государственной нефтяной компании ENPPI (Engineering for Petroleum and Process Industries). В другом случае фишеры имитировали компанию-перевозчика, использовав в письме достоверную информацию о химическом/нефтяном танкере и профессиональный жаргон.
Первая кампания началась 31 марта нынешнего года и была нацелена на предприятия в Малайзии, Иране и США. Вторая волна представляла собой ряд кибератак на ограниченное количество предприятий на Филиппинах.
Источник: https://www.securitylab.ru/news/506931.php
Специалисты Bitdefender сообщили о вредоносной кампании, направленной против предприятий нефтегазовой промышленности. Злоумышленники используют целенаправленный фишинг и отправляют жертвам электронные письма от имени логистических компаний и инженерных подрядчиков. Целью кампании является заражение целевых систем инфостилером Agent Tesla.
Agent Tesla представляет собой написанное на .Net коммерческое вредоносное ПО с функциями кейлоггера и трояна для удаленного доступа (RAT), используемое с 2014 года. Помимо прочего, Agent Tesla способен собирать информацию о системе, похищать данные из буфера обмена, отключать антивирусные решения и процессы, позволяющие проанализировать вредонос. До кампании, обнаруженной специалистами Bitdefender, в атаках на нефтегазовую промышленность Agent Tesla не использовался.
В одном из случаев злоумышленники отправляли жертвам фишинговые письма от имени египетской государственной нефтяной компании ENPPI (Engineering for Petroleum and Process Industries). В другом случае фишеры имитировали компанию-перевозчика, использовав в письме достоверную информацию о химическом/нефтяном танкере и профессиональный жаргон.
Первая кампания началась 31 марта нынешнего года и была нацелена на предприятия в Малайзии, Иране и США. Вторая волна представляла собой ряд кибератак на ограниченное количество предприятий на Филиппинах.
Источник: https://www.securitylab.ru/news/506931.php
SecurityLab.ru
Инфостилер Agent Tesla атакует нефтегазовую промышленность
Agent Tesla известен с 2014 года, однако в атаках на нефтегазовые предприятия используется впервые.
Обзор уязвимостей за неделю: 24 апреля 2020 года
Было обнаружено множество уязвимостей удаленного выполнения кода в различных программах.
За последнюю неделю был обнаружен ряд уязвимостей в iOS, в решении IBM Data Risk Manager, MySQL Server, клиенте Zoom для конференций и пр.
Эксперты обнаружили две критические уязвимости, позволяющие удаленным злоумышленникам взломать iPhone и iPad через встроенное iOS-приложение «Почта». Проблемы представляют собой уязвимости удаленного выполнения кода и содержатся в MIME-библиотеке почтового приложения от Apple.
Первая уязвимость связана с ошибкой границ при обработке электронной почты в iOS MobileMail. Удаленный злоумышленник может отправить специально сформированное сообщение электронной почты, инициировать запись за пределами поля и выполнить произвольный код на целевой системе. Вторая проблема связана с переполнением кучи.
Apple исправила обе ошибки в бета-версии iOS 13.4.5. Компания также провела «тщательное расследование» в связи с публикацией недавнего отчета об уязвимостях нулевого дня в iOS и не обнаружила никаких свидетельств эксплуатации их в реальных атаках.
В решении IBM Data Risk Manager (IDRM) были обнаружены четыре опасные уязвимости, эксплуатация которых позволяет неавторизованному злоумышленнику удаленно выполнить код с правами суперпользователя. Проблемы связаны с обходом аутентификации, внедрением команд, встроенными учетными данными и произвольной загрузкой файлов. IBM устранила две из четырех уязвимостей (уязвимость внедрения команд и произвольной загрузки файлов) в версии решения 2.0.4.
В ПО баз данных MySQL Server и SQLite обнаружено множество уязвимостей, в том числе опасные проблемы, которые могут быть использованы для удаленной компрометации целевой системы. Некоторые проблемы могут позволить удаленному злоумышленнику осуществить DoS-атаки или получить доступ к конфиденциальным данным.
В плагинах Jenkins AWS SAM и Jenkins Yaml Axis содержатся две RCE-уязвимости ( CVE-2020-2180 и CVE-2020-2179 соответственно). Обе проблемы связаны с тем, что синтаксический анализатор YAML не предотвращает создание экземпляров произвольных типов, позволяя таким образом удаленно выполнить код.
В версии клиента Zoom для конференций 4.6.11 были обнаружены две уязвимости. Проблема заключается в том, что файл «airhost.exe» использует хэш SHA-256 0123425234234fsdfsdr3242 для инициализации контекста CBC OpenSSL EVP AES-256, что может использоваться удаленным злоумышленником для получения несанкционированного доступа к приложению.
В браузере Google Chrome устранены многочисленные уязвимости, наиболее серьезные из которых позволяли удаленному злоумышленнику выполнить произвольный код на системе.
Компания Microsoft выпустила важные обновления безопасности для Office, Office 365 ProPlus и Paint 3D, исправляющие недавно обнаруженные уязвимости в 3D-библиотеке Autodesk для файлов FBX. Уязвимости затрагивают продукты Microsoft с интегрированной библиотекой Autodesk FBX, в частности Microsoft Office 2016 Click-to-Run (C2R), Microsoft Office 2019 и Office 365 ProPlus для 32- и 64-разрядных версий, а также Paint 3D.
В ПО Foxit PDF Reader и PhantomPDF обнаружено множество опасных уязвимостей, эксплуатация которых позволяет удаленно выполнить код. Проблемы связаны с ошибкой границ при обработке объектов U3D в PDF-файлах. Уязвимости затрагивают версии Foxit PDF Reader и PhantomPDF Reader 9.7.1.29511 и старше, а также версии 3D Plugin (Beta) 9.7.1.29511 и старше.
В системе управления контентом с открытым исходным кодом Joomla! с одержатся уязвимости, наиболее серьезная из которых может позволить удаленному неавторизованному злоумышленнику получить доступ к ограниченной функциональности или поставить под угрозу уязвимую систему.
Источник: https://www.securitylab.ru/news/507859.php
Было обнаружено множество уязвимостей удаленного выполнения кода в различных программах.
За последнюю неделю был обнаружен ряд уязвимостей в iOS, в решении IBM Data Risk Manager, MySQL Server, клиенте Zoom для конференций и пр.
Эксперты обнаружили две критические уязвимости, позволяющие удаленным злоумышленникам взломать iPhone и iPad через встроенное iOS-приложение «Почта». Проблемы представляют собой уязвимости удаленного выполнения кода и содержатся в MIME-библиотеке почтового приложения от Apple.
Первая уязвимость связана с ошибкой границ при обработке электронной почты в iOS MobileMail. Удаленный злоумышленник может отправить специально сформированное сообщение электронной почты, инициировать запись за пределами поля и выполнить произвольный код на целевой системе. Вторая проблема связана с переполнением кучи.
Apple исправила обе ошибки в бета-версии iOS 13.4.5. Компания также провела «тщательное расследование» в связи с публикацией недавнего отчета об уязвимостях нулевого дня в iOS и не обнаружила никаких свидетельств эксплуатации их в реальных атаках.
В решении IBM Data Risk Manager (IDRM) были обнаружены четыре опасные уязвимости, эксплуатация которых позволяет неавторизованному злоумышленнику удаленно выполнить код с правами суперпользователя. Проблемы связаны с обходом аутентификации, внедрением команд, встроенными учетными данными и произвольной загрузкой файлов. IBM устранила две из четырех уязвимостей (уязвимость внедрения команд и произвольной загрузки файлов) в версии решения 2.0.4.
В ПО баз данных MySQL Server и SQLite обнаружено множество уязвимостей, в том числе опасные проблемы, которые могут быть использованы для удаленной компрометации целевой системы. Некоторые проблемы могут позволить удаленному злоумышленнику осуществить DoS-атаки или получить доступ к конфиденциальным данным.
В плагинах Jenkins AWS SAM и Jenkins Yaml Axis содержатся две RCE-уязвимости ( CVE-2020-2180 и CVE-2020-2179 соответственно). Обе проблемы связаны с тем, что синтаксический анализатор YAML не предотвращает создание экземпляров произвольных типов, позволяя таким образом удаленно выполнить код.
В версии клиента Zoom для конференций 4.6.11 были обнаружены две уязвимости. Проблема заключается в том, что файл «airhost.exe» использует хэш SHA-256 0123425234234fsdfsdr3242 для инициализации контекста CBC OpenSSL EVP AES-256, что может использоваться удаленным злоумышленником для получения несанкционированного доступа к приложению.
В браузере Google Chrome устранены многочисленные уязвимости, наиболее серьезные из которых позволяли удаленному злоумышленнику выполнить произвольный код на системе.
Компания Microsoft выпустила важные обновления безопасности для Office, Office 365 ProPlus и Paint 3D, исправляющие недавно обнаруженные уязвимости в 3D-библиотеке Autodesk для файлов FBX. Уязвимости затрагивают продукты Microsoft с интегрированной библиотекой Autodesk FBX, в частности Microsoft Office 2016 Click-to-Run (C2R), Microsoft Office 2019 и Office 365 ProPlus для 32- и 64-разрядных версий, а также Paint 3D.
В ПО Foxit PDF Reader и PhantomPDF обнаружено множество опасных уязвимостей, эксплуатация которых позволяет удаленно выполнить код. Проблемы связаны с ошибкой границ при обработке объектов U3D в PDF-файлах. Уязвимости затрагивают версии Foxit PDF Reader и PhantomPDF Reader 9.7.1.29511 и старше, а также версии 3D Plugin (Beta) 9.7.1.29511 и старше.
В системе управления контентом с открытым исходным кодом Joomla! с одержатся уязвимости, наиболее серьезная из которых может позволить удаленному неавторизованному злоумышленнику получить доступ к ограниченной функциональности или поставить под угрозу уязвимую систему.
Источник: https://www.securitylab.ru/news/507859.php
SecurityLab.ru
Обзор уязвимостей за неделю: 24 апреля 2020 года
Было обнаружено множество уязвимостей удаленного выполнения кода в различных программах.
Обновление для JavaScript-библиотеки «сломало» часть JavaScript-экосистемы
Абсурдность ситуации заключается в том, что весь сыр-бор разгорелся из-за JavaScript-библиотеки из двух строк.
Обновление для библиотеки JavaScript на прошлых выходных повергло в хаос большую часть JavaScript-экосистемы, причинив головную боль разработчикам миллионов проектов. Абсурдность ситуации заключается в том, что весь сыр-бор разгорелся из-за крошечной JavaScript-библиотеки, состоящей всего из двух строк (так называемый one-liner).
Речь идет о пакете is-promise, позволяющем разработчикам проверять, являются ли JavaScript-объекты объектами Promise. Хотя библиотека состоит всего из двух строк кода для базовой проверки, она является одним из самых популярных в настоящее время npm-пакетов. Согласно данным GitHub, is-promise входит в 3,4 млн проектов и используется в качестве зависимости еще в 766 JavaScript-библиотеках.
На прошлых выходных is-promise была обновлена, чтобы исполнять роль ES-модуля – стандартизированной модульной системы в языке JavaScript. Тем не менее, версия is-promise 2.2.0 не соответствовала надлежащим стандартам ES-модуля. Из-за неправильной реализации поддержки ES-модуля сразу после выхода обновления проекты, использовавшие is-promise в своей цепочке сборки, начали давать сбои.
Эффект от ошибки сказался незамедлительно. Проблема затронула как кодовые базы JavaScript с закрытым исходным кодом, так и некоторые из крупнейших проектов экосистемы JavaScript. Сюда входят: Create React App (стандартный шаблон для создания приложений React) от Facebook, фреймворк Angular.js от Google, Google Firebasse-tools, Amazon AWS Serverless CLI, Nuxt.js, AVAи пр.
Ошибка не привела к сбою существующих проектов, поэтому простоев не было, но разработчики не смогли скомпилировать новые версии своих проектов.
Команда is-promise выпустила обновление, однако оно не смогло устранить проблему, и в конечном итоге от поддержки ES-модуля в версии 2.2.2 пришлось отказаться.
Источник: https://www.securitylab.ru/news/507869.php
Абсурдность ситуации заключается в том, что весь сыр-бор разгорелся из-за JavaScript-библиотеки из двух строк.
Обновление для библиотеки JavaScript на прошлых выходных повергло в хаос большую часть JavaScript-экосистемы, причинив головную боль разработчикам миллионов проектов. Абсурдность ситуации заключается в том, что весь сыр-бор разгорелся из-за крошечной JavaScript-библиотеки, состоящей всего из двух строк (так называемый one-liner).
Речь идет о пакете is-promise, позволяющем разработчикам проверять, являются ли JavaScript-объекты объектами Promise. Хотя библиотека состоит всего из двух строк кода для базовой проверки, она является одним из самых популярных в настоящее время npm-пакетов. Согласно данным GitHub, is-promise входит в 3,4 млн проектов и используется в качестве зависимости еще в 766 JavaScript-библиотеках.
На прошлых выходных is-promise была обновлена, чтобы исполнять роль ES-модуля – стандартизированной модульной системы в языке JavaScript. Тем не менее, версия is-promise 2.2.0 не соответствовала надлежащим стандартам ES-модуля. Из-за неправильной реализации поддержки ES-модуля сразу после выхода обновления проекты, использовавшие is-promise в своей цепочке сборки, начали давать сбои.
Эффект от ошибки сказался незамедлительно. Проблема затронула как кодовые базы JavaScript с закрытым исходным кодом, так и некоторые из крупнейших проектов экосистемы JavaScript. Сюда входят: Create React App (стандартный шаблон для создания приложений React) от Facebook, фреймворк Angular.js от Google, Google Firebasse-tools, Amazon AWS Serverless CLI, Nuxt.js, AVAи пр.
Ошибка не привела к сбою существующих проектов, поэтому простоев не было, но разработчики не смогли скомпилировать новые версии своих проектов.
Команда is-promise выпустила обновление, однако оно не смогло устранить проблему, и в конечном итоге от поддержки ES-модуля в версии 2.2.2 пришлось отказаться.
Источник: https://www.securitylab.ru/news/507869.php
SecurityLab.ru
Обновление для JavaScript-библиотеки «сломало» часть JavaScript-экосистемы
Абсурдность ситуации заключается в том, что весь сыр-бор разгорелся из-за JavaScript-библиотеки из двух строк.