Security Lab

JavaScript

1633
JavaScript

JavaScript – это язык программирования, с помощью которого web-страницам придается интерактивность. С его помощью создаются приложения, которые включаются в HTML-код. Вся уникальность данного языка программирования заключается в том, что он поддерживается практически всеми браузерами и полностью интегрируется с ними.

article-title

Обнаружена опасная RCE-уязвимость в Backstage от Spotify

Исследователи Oxeye обнаружили более 500 открытых экземпляров Backstage, которые могли быть использованы злоумышленниками.

article-title

15000 сайтов WordPress перенаправляют на мошеннический форум

Хакеры искусственно повышают рейтинг вредоносных сайтов в поиске Google.

article-title

Уязвимость загрязнения прототипа ставит под угрозу тысячи веб-приложений на Ember.js

Используя уязвимость, киберпреступники могут с легкостью провести XSS-атаку.

article-title

Ошибка в Samsung Galaxy Store позволяет тайно устанавливать приложения на смартфон

Настройка глубоких ссылок позволяет выполнить XSS-атаку и доставить дроппер на устройство.

article-title

0-day уязвимость в продуктах Microsoft открыла миллионы ПК для мощных кибератак

Аналитики уже зафиксировали кибератаки с использованием этой бреши в защите.

article-title

Поддельные обновления Windows заражают пользователей через файлы JavaScript

Любители пиратских сборок оказываются в ловушке злоумышленников.

article-title

Злоумышленники научились сбегать из JavaScript-песочницы vm2

В этом им помогает критическая RCE уязвимость, позволяющая обойти vm2 и выполнить произвольный код.

article-title

Тайная система разведки ЦРУ привела к массовым арестам агентов

В течение 10 лет ЦРУ общалось с информаторами за границей, используя сеть веб-сайтов со скрытыми коммуникационными функциями.

article-title

Oracle попросили разрешить использовать JavaScript

Название JavaScript сбивает с толку людей, которые думают, что это вариант Java.

article-title

Исследователи проанализировали новый неуловимый JavaScript-скиммер, используемый группировкой Magecart

Расследованием занимались специалисты из Cyble.

article-title

Злоумышленники похищают TikTok аккаунты в один клик

Опасная уязвимость в компоненте WebView приложения ставит под угрозу безопасность 1.5 миллиарда пользователей TikTok.

article-title

Китайские хакеры использовали старый и надежный инструмент для шпионажа за госучреждениями и тяжелой промышленностью

За шпионажем предположительно стоит Министерство госбезопасности Китая.

article-title

Отследить следящих: новый инструмент показывает как TikTok и Instagram* собирают ваши данные

Инструмент позволяет вам узнать как приложения внедряют свой JS-код в сайты.

article-title

Взломанные сайты на WordPress распространяют вредоносное ПО с помощью поддельных уведомлений от Cloudflare

Жертв заражают трояном NetSupport и инфостилером Raccoon Stealer.

article-title

Теперь Microsoft Edge будет лучше защищать пользователя на малопосещаемых сайтах

Новая стабильная версия браузера выйдет в ближайшие дни и повысит безопасность по умолчанию.

article-title

Израиль – лидер шпионажа: израильское шпионское ПО используется для слежки за журналистами

Киберпреступник использует 0-day уязвимость Google Chrome. Не поможет даже обновление

article-title

RCE-уязвимость обнаружена на платформе Blitz.js

С помощью запроса JSON и JavaScript можно удаленно выполнить код на устройстве жертвы

article-title

Один из крупнейших взломов NFT-платформ в этом году: киберпреступники украли 314 NFT с сайта Premint

Украденные NFT оцениваются в 275 ETH или $375 000.

article-title

Миллионы сайтов WordPress могут быть захвачены из-за одного плагина

Ежедневно происходит более 400 тыс. попыток взлома

article-title

Простая атака на цепочку поставок скомпрометировала тысячи веб-сайтов и приложений

Злоумышленники пытались нарушить цепочку поставок npm с помощью десятков вредоносных модулей.

article-title

APT-группа Evilnum возвращается с новой атакой на миграционные компании

Европейские организации стали жертвами хитрой вредоносной кампании

article-title

Скиммер Magecart возвращается с новым методом атак

Изменение вектора атак позволит Magecart действовать незаметно

article-title

Tor Browser: не такой уж и безопасный?

Разработчики Tails OS не рекомендуют использовать Tor до исправления критических уязвимостей Firefox.

article-title

В интернете разворачиваются неуловимые скимминговые кампании

Исследователи Microsoft бьют тревогу.

article-title

Исследователь взломал Mozilla Firefox всего за 8 секунд

В атаке использовались эксплоиты для двух ранее неизвестных уязвимостей.

article-title

Эксперты обнаружили 134 уязвимости в обработке скриптов приложениями Word и Acrobat

Специалисты создали инструмент Cooper для выявления ошибок в том, как Word и Acrobat обрабатывают JavaScript.

article-title

Автор npm-модуля node-ipc внедрил вредоносный код при обновлении из России и Беларуси

Под удар также попался vue-cli

article-title

В репозитории NPM обнаружено 25 новых вредоносных пакетов

Вредоносные JavaScript-библиотеки похищают токены Discord и переменные среды.

article-title

Команда npm удалила 17 вредоносных JavaScript-библиотек

Пакеты похищали токены доступа Discord и переменные среды с компьютеров пользователей и устанавливали RAT.

article-title

Невидимые символы в JavaScript-коде могут скрывать бэкдоры

Атака, получившая название Trojan Source, позволяет скрыть вредоносный код от глаз пользователя.

article-title

Представлена новая атака для обхода изоляции сайтов в Chrome

Spook.js – атака на базе JavaScript, направленная на обход реализованных Google механизмов защиты от уязвимостей Spectre.

article-title

Microsoft предупредила о спам-кампании с использованием техники HTML smuggling

HTML smuggling позволяет злоумышленникам собирать вредоносные файлы на устройствах жертв с помощью HTML5 и JavaScript.

article-title

Представлен JavaScript-эксплоит для осуществления атаки Rowhammer на DDR4

SMASH позволяет осуществлять атаки на современные модули DDR4 в обход мер безопасности, принятых против Rowhammer за последние семь лет.

article-title

Домен Coinhive теперь предупреждает пользователей о взломанных сайтах

Контроль над доменом был бесплатно передан ИБ-эксперту Трою Ханту.

article-title

Представлена первая в истории атака по сторонним каналам на чипы Apple M1

Ученые назвали свою атаку первой браузерной атакой по сторонним каналам, работающей даже при отключенном JavaScript.

article-title

Вредоносные nmp-пакеты распространяют троян для удаленного доступа njRAT

Вредоносные nmp-пакеты jdb.js и db-json.js замаскированы под легитимный инструмент для создания баз данных из JSON-файлов.

article-title

Вредоносный пакет npm похищает переписку в Discord

На портале npm обнаружена вредоносная JavaScript-библиотека discord.dll.

article-title

Во втором квартале 2020 года число атак уменьшилось, но вредоносное ПО стало агрессивнее

В 70% кибератак на организации использовалось вредоносное ПО, способное обходить антивирусы, полагающиеся на сигнатуры.

article-title

Обновление для JavaScript-библиотеки «сломало» часть JavaScript-экосистемы

Абсурдность ситуации заключается в том, что весь сыр-бор разгорелся из-за JavaScript-библиотеки из двух строк.

article-title

В Tor снова исправлена уязвимость, деанонимизировавшая пользователей

Разработчики выпустили версию Tor 9.0.7, отключив выполнение Javascript на высшем уровне безопасности.

article-title

В браузере Tor исправлена уязвимость, позволявшая запускаться JavaScript-кодам

Уязвимость позволяла запускаться JavaScript-кодам, даже если Tor работал в самом безопасном режиме.

article-title

Разработчик представил «плащ-невидимку» для web-камеры

С помощью TensorFlow.js можно в режиме реального времени «стереть» человека в кадре.

article-title

Ученые изобрели новый метод отслеживания браузеров

Новый метод облегчает отслеживание браузеров и помогает обойти ряд противодействующих слежке техник.

article-title

GoDaddy внедряет в сайты своих клиентов JavaScript-код без их согласия

Скрипт предназначен для улучшения производительности, но по иронии судьбы замедляет работу сайтов.

article-title

Новая мошенническая кампания заставляет Chrome расходовать 100% ЦП

Выдающие себя за техподдержку мошенники используют код JavaScript, заставляющий браузер расходовать все ресурсы ЦП.

article-title

Представлен новый метод шпионажа за браузингом пользователей в Сети

От слежки не будут защищены даже пользователи Tor.

article-title

Исследователь изучил остававшийся более 2 лет незамеченным вредонос

Вредоносный файл был распознан 6 из 60 антивирусов.

article-title

Серверы и приложения на JavaScript уязвимы к ReDoS-атакам

О проблеме известно еще с 2012 года, однако до сих пор она оставалась недооцененной.

article-title

Хакеры используют JavaScript для определения версии браузера пользователя

Наибольшей популярностью у злоумышленников пользуется функция setTimeout ().

article-title

Хакер взломал учетную запись одного из разработчиков менеджера пакетов npm

Скомпрометированный пакет JavaScript использовался для хищения учетных данных пользователей.

article-title

В JScript компоненте Windows обнаружена критическая уязвимость

Для эксплуатации проблемы атакующий должен заставить пользователя открыть вредоносную страницу или загрузить и открыть JS файл.

article-title

Новое расширение для Chrome предотвращает атаки на основе JavaScript

Несмотря на навязчивое поведение расширения, тесты показали минимальное влияние на производительность.

article-title

Защищенные приложения уязвимы к атакам из-за языков программирования

Уязвимости в языках программирования представляют угрозу безопасности создаваемых с их помощью программ.

article-title

Эксперты продемонстрировали способ эксфильтрации URL из HTTPS-трафика

Атакам могут быть подвержены все популярные браузеры на системах Windows, Mac и Linux.

article-title

Обнаружен новый вымогатель, написанный на JavaScript

Злоумышленники требуют выкуп в размере $250 за восстановления доступа к файлам жертвы.

article-title

Злоумышленники атакуют сайты на базе WordPress с помощью нового вредоносного ПО

Вирус вставляет вредоносный код во все JavaScript-сценарии на ресурсе.

article-title

Обнаружено первое в мире вымогательское ПО на JavaScript

Созданное с помощью фреймворка NW.js вредоносное ПО Ransom32 позволяет зашифровать пользовательские файлы.

article-title

Злоумышленники проводят атаки «хищения кликов» через вложения JavaScript

Вредоносная кампания, по данным SANS Internet Storm Center, длиться в течение последних трех дней.

article-title

Язык программирования C лидирует по количеству «грязных хаков»

В репозиториях с кодом на языке C строка ugly hack встречается в три раза чаще, чем в остальных.

article-title

Уязвимость в Feedly позволяет осуществлять XSS-нападение

XSS-нападения позволяют изменять или прочитывать файлы cookie, временно изменять контент web-страниц, изменять web-формы и пр.

article-title

Black Hat: JavaScript-атаки позволяют похитить данные браузера

Исследователи продемонстрировали новую технику нападения, представляющую собой комбинацию JavaScript- и тайминг-атаки.

article-title

Состоялся релиз Chrome 28 для Linux

В новой версии web-обозревателя были повышены минимальные требования для установки программы.

article-title

Исследователи предупреждают о распространении набора эксплоитов Whitehole

Главной особенностью нового инструмента является то, что он не детектируется большинством антивирусных программ.

article-title

Новое расширение для браузеров позволяет шифровать сообщения электронной почты

Разработчики программного обеспечения выпустили новый Java-сценарий для шифрования сообщений электронной почты в OpenPGP-стандарте.

article-title

На языке JavaScript написан полноценный эмулятор ПК, способный загрузить Linux

Французский математик Фабрис Беллард (Fabrice Bellard), основавший в свое время проект QEMU, представил реализацию полноценного эмулятора x86-совместимого ПК, написанную полностью на языке JavaScript.

article-title

RIM рекомендует временно отключить поддержку JavaScript из смартфонов Blackberry

Research in Motion рекомендовала корпоративным пользователям смартфонов Blackberry отключить поддержку JavaScript из-за уязвимости, обнаруженной в программном обеспечении RIM.

article-title

Microsoft выпустила IE9 Platform Preview 3

Корпорация Microsoft выпустила новую тестовую версию браузера Internet Explorer 9, в которой реализована расширенная поддержка стандарта HTML5.

article-title

Февральский рейтинг языков программирования

Февральские подсчеты свидетельствуют: четыре нишевых языка программирования имеют все шансы войти в двадцатку самых популярных.

article-title

Websence предупреждает о массовом заражении вебсайтов

К прошлой пятнице количество сайтов, зараженных новым вредоносным кодом, достигло 30 000.

article-title

Появилась новая версия трояна Gumblar

Троян Gumblar, чья доля среди веб-угроз составила недавно 42%, снова видоизменился. Во многом новая версия схожа с предыдущей, но отличается от нее более сильной защитой.

article-title

Вышла финальная версия Parrot 1.0

Вышла финальная версия виртуальной машины для динамических языков Parrot. Примечательна она тем, что её планируют сделать бэкэндом для реализации Perl 6. Кроме Perl, для Parrot разрабатываются реализации Tcl, JavaScript, Scheme, PHP, Python.

article-title

Тестирование браузеров: IE8 RC1 показал худшие результаты

Internet Explorer 8 Release Candidate 1 заметно запаздывает в обработке JavaScipt по сравнению с Google Chrome, Mozilla Firefox, Apple Safari и Opera.

article-title

Компания Apple выпустила обновленную версию браузера Safari

исправлены несколько серьезных недоработок, которые теоретически позволяли злоумышленникам получить несанкционированный доступ к пользовательским данным или выполнить на удаленном компьютере произвольный вредоносный код.

article-title

Сайт антивирусной компании Trend Micro был инфицирован вредоносным кодом

Как сообщает Trend , заражено было около 32 страниц. В iframe используется JavaScript, заражающий ПК посетителей сайта трояном и бэкдором.

article-title

Критическая уязвимость в AIM по-прежнему работает

AOL выпустила 16 октября 2007 г. финальную версию интернет-пейджера AIM 6.5 с устранением уязвимости к выполнению внедренного в сообщения вредоносного HTML и JavaScript кода в контексте «Локальной зоны» Internet Explorer. Однако исследователь Авив Рафф утверждает, что опасность не миновала.

article-title

Microsoft готовит патч для IE7

Корпорация Microsoft планирует внести некоторые изменения в механизм обработки универсальных идентификаторов ресурса (Uniform Resource Identifier, URI) браузером Internet Explorer.

article-title

Популярные сайты способствуют распространению вирусов

Черви и вирусы, распространяющиеся благодаря низкой степени защиты браузеров и веб-серверов, вероятно, станут основной угрозой для интернет-пользователей.