Анонимный хакер с псевдонимом Polict, обнаружил в генераторе PDF-файлов TCPDF опасную уязвимость и описал в своем блоге способ воспользоваться ею для взлома сайтов.
Библиотека TCPDF используется множеством ресурсов: с ее помощью код HTML можно преобразовать в PDF-документ. Сама ошибка имеет код CVE-2018-17057. Хакер обнаружил ее еще летом 2018 года, о чем сообщил производителям программного продукта. Для устранения уязвимости им пришлось дважды обновлять генератор.
Чтобы воспользоваться брешью, кибервзломщики должны самостоятельно встроить в HTML вредоносный код, либо вмешаться в процесс генерации. Использовать уязвимость в атаке достаточно сложно, однако в случае успеха можно полный контроль над скомпрометированным сайтом.
Ранее в январе специалисты компании «Доктор Веб» обнаружили новый вирус для взлома криптокошельков . Разработчики хакерской программы предлагают на сайтах, посвященных майнингу, скачать вирус под видом приложения, которое позволит майнерам отслеживать изменения курса цифровых валют.
fastfluxhostcom fastfluxru