Ваше обновление программного обеспечения вас предало! — Тревожный звонок по поводу безопасности N...

Что, если ваше обновление программного обеспечения… на самом деле не является обновлением?

Закажите демонстрацию и убедитесь, как Patch My PC защищает более 25 миллионов устройств в более чем 8000 организациях… без слепого доверия, скрещенных пальцев или ночных панических атак.

https://pmpc.link/ly5W

Безопасно. Автоматически. Создано для масштабируемости.
Ваши обновления должны проверять, от кого они пришли, а не только откуда.

В этом выпуске Patch & Rant мы разбираем удивительно серьезную уязвимость безопасности, связанную с Notepad++ (и нет, Notepad++ не был «взломан» в традиционном смысле).

Настоящая проблема? Механизм обновления, который больше доверял ссылке для скачивания, чем личности самого установщика. Ужас!

Вот в чем проблема:
Более старые версии Notepad++ спокойно загружали и запускали любой установщик, на который указывал сервер обновлений, не проверяя цифровую подпись. Если кто-то мог вмешаться в этот трафик обновлений? Поздравляем, теперь вы используете их программное обеспечение.

Хорошие новости:
• Notepad++ исправил это в версии 8.8.9, внедрив надлежащие проверки цифровых подписей.
• Patch My PC уже давно решил эту проблему, задолго до того, как это стало модно.

Мы разберем:
• Как на самом деле работают механизмы обновления.
• Почему доверие к ссылкам вместо подписей — это кошмар с точки зрения безопасности.
• Как централизованное обновление устраняет весь этот класс рисков.
• Почему «просто обновляйте программное обеспечение» не всегда достаточно.

Если вы управляете конечными устройствами, заботитесь о безопасности цепочки поставок или просто любите наблюдать, как (с любовью) высмеивают неудачный дизайн обновлений, то эта статья для вас.

00:00 – Скрытая угроза безопасности Notepad++
00:36 – Почему это не типичное нарушение безопасности
01:12 – Как работает процесс обновления Notepad++
01:42 – Критический недостаток: отсутствие проверки установщика
02:16 – Доверие к ссылке, а не к файлу
02:43 – Как злоумышленники могли использовать трафик обновления
03:11 – Чего не хватало: проверки цифровой подписи
03:39 – Как Notepad++ исправил это в версии 8.8.9
04:18 – Почему проверка подписи действительно важна
04:47 – Почему мы не используем встроенные средства обновления приложений
05:15 – Как Patch My PC устраняет этот риск
05:57 – Почему централизованное обновление – это настоящее решение
06:20 – Заказать демонстрацию и финальное обновление Основные выводы

#Кибербезопасность
#Управлениепатчами
#БезопасностьЦепочкиПоставок
#NotepadPlusPlus
#ОбновленияПрограммногоОборудования
#БезопасностьКонечныхТочек
#ИТБезопасность
#НулевоеДоверие
#ИнформационнаяБезопасность
#ЖизньСистемногоАдминистратора
#ВторникПатчейндж
#КорпоративныеИТ
#ЦифровыеПодписи
#УправлениеУязвимостями
#PatchMyPC