«Белый хакер» по кличке Polict обнаружил в генераторе PDF-файлов TCPDF опасную уязвимость, которая позволяет взламывать сайты.
Об этом он написал в своем блоге.
Библиотека TCPDF используется множеством сайтов: с ее помощью код HTML можно преобразовать в PDF-документ. Для того чтобы воспользоваться уязвимостью, киберпреступники должны либо вмешаться в процесс генерации, либо самостоятельно встроить в HTML вредоносный код.
Ошибка получила код CVE-2018−17 057. Использовать брешь в атаке достаточно сложно, однако в случае успеха хакеры получают полный контроль над скомпрометированным сайтом.
Polict обнаружил проблему в TCPDF еще летом 2018 года и сообщил о находке сотрудникам компании-производителя. Для устранения ошибки им пришлось дважды обновлять свой продукт.
Уточним, что «белыми» называет хакеров, которые не наносят вред окружающим и зачастую сотрудничают с компаниями, которые занимаются разработкой антивирусного и защитного ПО.
Как сообщал Realist, ранее эксперты обнаружили в Windows критическую уязвимость, облегчающую доступ хакерам.