Security Lab

Уязвимость

Уязвимость – недостаток в компьютерной системе, использование которого, приводить к нарушению целостности системы и некорректной работе. Уязвимость появляются в результате ошибок программирования, недостатков, которые допускались при проектировании системы, ненадежных паролей, вредоносных программ, скриптовых и SQL-инъекций.

Уязвимость позволяет атакующему нарушить корректную работу приложения, к примеру, с помощью внедрения данных незапланированным способом; выполнения команды на системе, на которой выполняется данное приложение; или, используя упущение, которое позволяет получить доступ к памяти для выполнения кода на уровне привилегий программы. Запись данных в буфер, без проверки его границ, приводит к переполнению буфера и как результат происходит выполнение произвольного кода. Это также является уязвимостью. В результате недостаточной проверки данных, вводимых пользователем, возникает уязвимость, которая позволяет напрямую выполнить SQL (SQL-инъекции).

Уязвимости были обнаружены во всех основных операционных системах, включая Microsoft Windows, Mac OS, UNIX и OpenVMS.

article-title

Платформа 0patch выпустила временный патч для уязвимости в Windows 7 и Server 2008 R2

С помощью уязвимости локальный атакующий может повысить свои привилегии и в итоге выполнить код.

article-title

Двухфакторную аутентификацию в cPanel можно обойти

В ПО cPanel исправлена опасная уязвимость, помогающая злоумышленникам взломать управляемые с его помощью сайты.

article-title

Уязвимость в продуктах VMware позволяет скомпрометировать систему

Для критической уязвимости в продуктах VMware представлено временное исправление.

article-title

Хакер опубликовал эксплоиты для 50 тыс. уязвимых VPN-устройств Fortinet

Все устройства подвержены известной и уже исправленной уязвимости обхода каталога в Fortinet FortiOS SSL VPN (CVE-2018-13379).

article-title

Эксперты прогнозируют увеличение числа атак на пользователей Chrome

Большая часть пользователей работает с устаревшими версиями Chrome, содержащими недавно раскрытие уязвимости нулевого дня.

article-title

Android-мессенджер со 100 млн загрузок раскрывает пересылаемые медиафайлы

Обнаружившие уязвимость исследователи неоднократно пытались связаться с разработчиком, но безуспешно.

article-title

Хакеры массово сканируют интернет в поисках WordPress-сайтов с уязвимыми темами

Хакеры могут проэксплуатировать связку недавно исправленных уязвимостей в Epsilon Framework, удаленно выполнить код и получить контроль над сайтом.

article-title

Microsoft исправила опасную уязвимость в более неподдерживаемой Windows 10 1809

Накопительное обновление KB4594442 исправляет проблему с аутентификацией Kerberos и продлением мандатов.

article-title

Эксперты предупредили о рисках подключения Tesla Backup Gateway к интернету

По словам исследователей, открытые подключения могут использоваться злоумышленниками для нарушения конфиденциальности пользователей.

article-title

Уязвимости в смарт-контрактах Ethereum могут привести к потере миллионов долларов

Уязвимости позволяют манипулировать кодом и похитить максимально возможные суммы за короткий период времени.

article-title

Google исправила еще две уязвимости нулевого дня в Chrome

Это уже четвертая и пятая уязвимости нулевого дня в Chrome, исправленные Google за последние несколько недель.

article-title

Ноябрьские обновления безопасности Microsoft исправляют 0-day в Windows

Уязвимость существует в ядре Windows и затрагивает все поддерживаемые версии ОС.

article-title

Apple исправила три уязвимости нулевого дня в iOS и macOS

Эксплуатация уязвимостей в атаках аналогична недавно раскрытым уязвимостям нулевого дня в Windows и Chrome.

article-title

Cisco сообщила об опасной уязвимости в AnyConnect Secure Mobility Client

Для уязвимости уже доступен PoC-эксплоит, но Cisco еще только работает над ее исправлением.

article-title

Хакеры UNC1945 взламывали сети компаний через 0-day в Oracle Solaris

По мнению специалистов, группировка приобрела эксплоит для уязвимости CVE-2020-14871 на черном рынке.

article-title

Oracle выпустила внеплановое обновление для WebLogic Server

Внеплановое обновление исправляет критическую уязвимость, уже эксплуатирующуюся киберпреступниками.

article-title

Google исправила вторую за две недели уязвимость нулевого дня в Chrome

Согласно журналу изменений, проблема затрагивает V8 – компонент для обработки JavaScript-кода.

article-title

CERT запустил Twitter-бот, который будет давать уязвимостям случайные названия

Специалисты пытаются уменьшить количество сенсационных названий уязвимостей, пугающих пользователей.

article-title

Экспертам удалось извлечь ключ шифрования для микрокода в ЦП Intel

Имея расшифрованное обновление, хакеры могут осуществить его реверс-инжиниринг и выяснить, как можно проэксплуатировать уязвимость.

article-title

Более 100 тыс. систем все еще уязвимы к SMBGhost

Многие уязвимые системы (22%) находятся на Тайване, а также в Японии (20%), России (11%) и США (9%).

article-title

Google работает над исправлением уязвимости в DRM-технологии Widevine

PoC-эксплоит для уязвимости в виде расширения для Google Chrome на Microsoft Windows доступен на Github.

article-title

Эксперты вычислили автора популярных эксплоитов по почерку

В общей сложности специалисты выявили пять эксплоитов авторства PlayBit, имеющие общие черты.

article-title

Великобритания тайно атаковала российских лидеров

По словам бывшего члена британского Кабмина, у Москвы тоже есть уязвимости, которые можно проэксплуатировать.

article-title

Операторы бэкдора SLUB шпионят за пользователями через взломанные сайты

Обнаружена новая вредоносная кампания watering hole под названием Operation Earth Kitsune.

article-title

Команда WordPress пошла на крайние меры для исправления уязвимости в плагине

Уязвимости в плагине Loginizer позволяют осуществить SQL-инъекцию и захватить управление сайтом.

article-title

Хакеры активно атакуют корпоративные MDM-серверы MobileIron

Киберпреступники всех мастей эксплуатируют опасную уязвимость в MDM-решениях MobileIron, исправленную еще в июле.

article-title

7 мобильных браузеров уязвимы к спуфингу адресной строки

Уязвимости позволяют злоумышленникам подделать URL в адресной строке браузера и заманить жертву на вредоносный сайт.

article-title

АНБ США представило топ-25 эксплуатируемых китайскими хакерами уязвимостей

Большинство уязвимостей позволяют получить первоначальный доступ к атакуемым корпоративным сетям.

article-title

Google исправила уязвимость нулевого дня в Chrome

Уязвимость повреждения памяти в FreeType активно эксплуатируется хакерами в атаках на пользователей Chrome.

article-title

Zerologon – дыра безопасности в службе Windows Netlogon. Меры для защиты от критических уязвимостей

article-title

Для критической уязвимости в Windows 10 созданы PoC-эксплоиты

Киберкомандование США настоятельно рекомендует установить исправление для уязвимости Bad Neighbor.

article-title

В 2,2 тыс. виртуальных установок обнаружены 400 тыс. уязвимостей

Исследователи изучили продукты от 540 вендоров и присвоили им рейтинг безопасности.

article-title

Уязвимость в приставках Hindotech HK1 TV Box позволяет похищать пароли и переписку

Уязвимость существует из-за ненадлежащего контроля доступа к инструментам отладки.

article-title

Microsoft исправила ряд уязвимостей удаленного выполнения кода в своих продуктах

В рамках октябрьского «вторника исправлений» было исправлено 87 уязвимостей.

article-title

Riskware: как обнаружить, удалить и предотвратить

article-title

Российские хакеры вооружились уязвимостью Zerologon

Группировка TA505, она же Evil Corp, использует в своих атаках поддельные обновления для ПО.

article-title

Группа "белых хакеров" обнаружила в сервисах Apple 55 уязвимостей

Общая сумма вознаграждения за обнаруженные уязвимости составила 288000$.

article-title

4 ключевых направления, которые должны быть учтены во всех политиках информационной безопасности

article-title

Эксперты превратили пульт от телевизора в шпионское устройство

Исследователи модифицировали прошивку пульта XR11 таким образом, чтобы удаленно включать его микрофон.

article-title

Хакеры могут навсегда заблокировать подключенные к интернету пояса верности

Возможность вручную снять гаджет в случае его блокировки не предусмотрена.

article-title

Иранские хакеры активно эксплуатируют уязвимость ZeroLogon

Жертвами становятся крупные компании в странах Среднего Востока и Азии.

article-title

Ботнет Ttint эксплуатирует 0day-уязвимость в маршрутизаторах Tenda

Ttint на несколько порядков выше других ботнетов, обнаруженных в прошлом году.

article-title

Google набирает команду экспертов для аудита безопасности сторонних приложений

Новая команда займется поиском уязвимостей в сторонних критически важных приложениях из Google Play Store.

article-title

Дешевые смарт-розетки уязвимы ко взлому и могут самовозгореться

Специалисты изучили десять «умных» розеток от различных производителей и магазинов и нашли в них уязвимости.

article-title

Twitter предупредила о потенциальной утечке ключей API

Портал developer.twitter.com давал браузерам инструкции создавать и сохранять в кэше копии ключей API и токенов доступа.

article-title

Уязвимость Zerologon активно эксплуатируется в реальных атаках

Киберпреступники взяли на вооружение исправленную в прошлом месяце уязвимость в Windows Server.

article-title

Обнаружен новый вектор эксплуатации опасной уязвимости в Citrix Workspace

Злоумышленники могут повышать привилегии на системе и удаленно выполнять произвольные команды с привилегиями SYSTEM.

article-title

Уязвимость ZeroLogon затрагивает некоторые версии Samba

Уязвимость позволяет получить доступ к домену на уровне администратора.

article-title

В решениях для управления мобильными устройствами от MobileIron исправлены уязвимости

Одна из уязвимостей позволяет удаленно выполнить произвольный код на сервере MobileIron.

article-title

Исследователь два года молчал об уязвимости в Bitcoin в целях безопасности

Уязвимость в Bitcoin Core была обнаружена и исправлена в 2018 году, но широкая общественность узнала о ней только сейчас.

article-title

Intel исправила высокоопасную уязвимость в AMT и ISM

Intel выпустила исправления для ряда уязвимостей в своих продуктах.

article-title

Уязвимости в CodeMeter позволяют атаковать промышленные системы

Уязвимости могут эксплуатироваться удаленно без авторизации для осуществления DoS-атак или выполнения кода.

article-title

Сентябрьский пакет обновлений исправляет более 120 уязвимостей в продуктах Microsoft

Компания устранила несколько десятков критических уязвимостей.

article-title

На миллионы WordPress-сайтов обрушилась волна кибератак

Киберпреступники обнаружили уязвимость нулевого дня в популярном плагине File Manager.

article-title

Власти США выпустили директиву защиты космических систем от хакерских атак

Разработчиков таких систем обяжут продумать механизмы защиты от глушения сигнала с помощью проверенных шифровальных систем и новейших передатчиков.

article-title

Microsoft исправляет уязвимости Azure Sphere, обнаруженные Cisco

article-title

4 типа вредоносных программ, о которых вам следует знать

article-title

Выпуск огромного числа патчей в один день влечет риски и стресс для IT-команд

Команды безопасности вынуждены сортировать, тестировать и устанавливать патчи в короткое время.

article-title

Ботнет Mirai использует новую уязвимость, которая затрагивает компании по всему миру

article-title

Тенденции кибератак в первом полугодии 2020 года

article-title

Уязвимость в Safari позволяет украсть файлы со смартфонов и ПК

Apple раскритиковали за задержку выпуска патчей.

article-title

Уязвимость в системах мониторинга Xorux может привести ко взлому корпоративной сети

Уязвимость позволяет неавторизованным пользователям проводить удаленное исполнение команд ОС на сервере мониторинга при отправке запросов с главной веб-страницы решения, что может привести к компрометации сервера мониторинга.

article-title

Топ-25 самых опасных уязвимостей 2020 года

Первое место в списке заняла уязвимость типа межсайтовое выполнение сценариев.

article-title

Уязвимость в СУБД IBM Db2 может привести к утечке данных и отказу в обслуживании

Уязвимость возможно проэекслуатировать удаленно с помощью вредоносного ПО.

article-title

Десктопные почтовые клиенты позволяют похищать данные пользователей

Реализация технологии mailto в некоторых десктопных почтовых клиентах позволяет похищать файлы.

article-title

Уязвимость в серверах Jenkins может привести к утечке данных

Проблема содержится в web-сервере Jetty.

article-title

Команда Apache Struts предупредила о новых уязвимостях во фреймворке

Одна из уязвимостей может использоваться для удаленного выполнения кода.

article-title

Instagram больше года хранила удаленные фото и частные сообщения

Представители компании объяснили проблему багом в системе.

article-title

Уязвимость в Windows позволяет обходить Enterprise Authentication

Microsoft выпустила исправление для уязвимости, но оно оказалось неполным.

article-title

Intel предупредила об опасной уязвимости в материнских платах и серверных системах

Уязвимость CVE-2020-8708 позволяет неаутенифицированному атакующему удаленно повысить привилегии на системе.

article-title

Уязвимость в Chrome ставит под угрозу данные миллиардов пользователей

Проблема присутствует в Chrome, Opera и Edge на базе движка Chromium.

article-title

Уязвимости в службе «Найти телефон» позволяют взломать Samsung Galaxy

В компонентах службы обнаружены уязвимости, которые в связке позволяют производить целый ряд действий на взломанном телефоне.

article-title

Безопасность с открытым исходным кодом имеет важное значение для безопасности предприятия

article-title

Уязвимость в HDL позволяла захватить контроль над умным домом

В системе автоматизации для "умного дома" HDL исправлена опасная уязвимость.

article-title

Positive Technologies помогла устранить уязвимости в распределенной системе управления CENTUM компании Yokogawa

Уязвимости были найдены в компоненте CAMS for HIS, отвечающем за управление аварийными сообщениями и событиями в системе управления промышленного объекта.

article-title

Netgear не будет устранять критическую уязвимость в 45 моделях маршрутизаторов

Решение в компании объяснили тем, что у 49 устройств закончился период поддержки

article-title

Баг в Zoom позволял за считанные минуты взломать код доступа

Встречи в Zoom по умолчанию были защищены шестизначным кодом, а значит, что существовало 1 млн возможных комбинаций.

article-title

Уязвимость в GRUB2 позволяет прятать вредоносное по на Linux- и Windows-ПК

С помощью BootHole злоумышленник может скомпрометировать процесс загрузки ОС и внедрить буткит.

article-title

Dell EMC устранил уязвимость в серверном контроллере удаленного доступа iDRAC, выявленную Positive Technologies

Уязвимость позволяет злоумышленнику получить полный контроль над сервером.

article-title

А нужен ли вообще антивирус в 2020 году? Ответ вам может не понравиться

article-title

Для критической уязвимости в .NET опубликован PoC-эксплоит

По мнению ИБ-экспертов, эксплуатация уязвимости в .NET куда более вероятна по сравнению с нашумевшей SigRed.

article-title

Trend Micro фиксирует взрывной рост атак на домашние роутеры

Устройство может продолжать работать, будучи зараженным и сразу несколькими вирусами, выполняя задачи разных группировок хакеров одновременно

article-title

Разработчики Rust исправили серьезные проблемы безопасности

По словам разработчиков, уязвимости чрезвычайно сложно проэксплуатировать в реальных атаках.

article-title

Для критической уязвимости в SAP опубликован PoC-эксплоит

Эксплоит предназначен для уязвимостей CVE-2020-6287 и CVE-2020-6286.

article-title

Microsoft исправила 123 уязвимости в 13 продуктах

22 исправленные уязвимости позволяют удаленное выполнение кода.

article-title

В Windows Server обнаружена крайне опасная уязвимость 17-летней давности

Критическая уязвимость SigRed позволяет захватить полный контроль над IT-инфраструктурой предприятия.

article-title

Meetecho исправила шесть опасных уязвимостей в Janus WebRTC

Уязвимости позволяют вызвать отказ в обслуживании или удаленно выполнить код.

article-title

Уязвимость в SAP позволяет похищать конфиденциальные данные компаний

RECON представляет собой тот редкий случай, когда по шкале оценивания опасности CVSSv3 уязвимость получила 10 баллов из 10.

article-title

Атака на серверы Exchange: срочно обновите их

article-title

Критическая уязвимость в Zoom ставит под угрозу ПК с устаревшими версиями Windows

С помощью уязвимости удаленный атакующий может выполнить код на Windows 7, Windows Server 2008 R2 и более ранних.

article-title

В Citrix ADC, Citrix Gateway и Citrix SD-WAN WANOP исправлен ряд уязвимостей

Уязвимости позволяют раскрывать информацию, внедрять код, вызывать отказ в обслуживании и пр.

article-title

Пользователи подали в суд на Apple и T-Mobile за уязвимость в iMessage и FaceTime

Сервисы Apple привязывались к номерам телефонов, что приводило к утечкам данных.

article-title

Уязвимость в .NET Core позволяет вредоносному ПО обходить обнаружение

С помощью уязвимости пользователь с низкими привилегиями может загружать вредоносные сборщики мусора (DLL).

article-title

Cкребём Github: поиск "секретов" разработки

article-title

В Apache Guacamole исправлены опасные уязвимости

Уязвимость позволяет злоумышленникам получить полный контроль над сервером Guacamole.

article-title

Уязвимости в macOS позволяют обойти систему защиты конфиденциальности

Уязвимости затрагивают систему защиты конфиденциальности TCC (Transparency, Consent, and Control).

article-title

Как управлять патчами и уязвимостями ПО на домашнем компьютере

article-title

Уязвимые Wi-Fi ретрансляторы открывают удаленный доступ к домашним сетям

В ретрансляторах Wi-Fi сигнала Tenda PA6 Wi-Fi Powerline обнаружены три уязвимости.

article-title

В PAN-OS исправлена чрезвычайно опасная уязвимость

Уязвимость позволяет удаленно отключать межсетевые экраны Palo Alto Networks.

article-title

В Bitdefender Total Security 2020 исправлена критическая уязвимость

Уязвимость позволяет внешним web-страницам запускать удаленные команды в процессе Safepay Utility.

article-title

В AMD APU обнаружены три опасные уязвимости

Уязвимости позволяют получить контроль над прошивкой UEFI и выполнить код на уровне SMM.

article-title

В драйвере шины от FabulaTech найдена опасная уязвимость

Уязвимость позволяет атакующему повысить свои привилегии на системе путем добавления поддельных устройств.

article-title

Уязвимости Ripple20 затрагивают миллиарды устройств по всему миру

Проблемы были обнаружены в TCP/IP-библиотеке Treck, и с их помощью можно удаленно получить контроль над устройством.

article-title

Управление патчами – насущная необходимость

article-title

Вымогательское ПО Black Kingdom атакует предприятия через Pulse Secure VPN

Вымогатель шифрует файлы на компьютере жертв, добавляя к ним расширение .DEMON, и требует $10 тыс.

article-title

Атака SGAxe позволяет похищать защищенные данные из анклавов Intel SGX

Уязвимость в процессорах Intel позволяет авторизованному локальному злоумышленнику раскрыть информацию.

article-title

«Странное поведение» cmd.exe позволяет выполнение произвольных команд

По уверению Microsoft, обнаруженная исследователем особенность является предусмотренным функционалом.

article-title

Intel исправила очередную MDS-уязвимость в своих процессорах

Подобно Meltdown и Spectre, уязвимость CrossTalk базируется на спекулятивном исполнении команд.

article-title

Июньский «вторник исправлений» стал крупнейшим за всю историю Microsoft

В нынешнем месяце Microsoft исправила за один раз рекордное количество уязвимостей.

article-title

Обнаружена масштабная вредоносная кампания против WordPress-сайтов

Злоумышленники эксплуатируют старые XSS-уязвимости в необновленных плагинах и темах.

article-title

Выпущенные за последние 7 лет смартфоны LG уязвимы к атаке «холодной перезагрузки»

В загрузчике ОС, используемом в смартфонах LG, начиная с серии Nexus 5, исправлена опасная уязвимость.

article-title

Популярный «клон» TikTok оказалось легко взломать

Взломать любую учетную запись в приложении Mitron можно в считанные секунды.

article-title

АНБ США предупредило о новой волне кибератак на почтовые серверы

Киберпреступная группа Sandworm атакует серверы с уязвимым агентом пересылки сообщений Exim.

article-title

Уязвимость StrandHogg 2.0 позволяет захватить контроль над любым Android-приложением

StrandHogg 2.0 получила свое название из-за сходства с обнаруженной ранее уязвимостью StrandHogg.

article-title

Хакеры пытались установить вымогательское ПО через уязвимость в Sophos XG

После исправления уязвимости киберпреступники были вынуждены изменить свою тактику.

article-title

Найден способ эксплуатации уязвимости в Qmail 15-летней давности

Уязвимость CVE-2005-1513 была раскрыта в 2005 году, но до сих пор остается неисправленной.

article-title

Уязвимость в DNS-серверах позволяет в тысячу раз усилить мощность DDoS-атаки

Уязвимость NXNSAttack затрагивает рекурсивные DNS-серверы и процесс делегирования.

article-title

В Bluetooth обнаружена опасная уязвимость BIAS

Проблема затрагивает классическую версию протокола Basic Rate/Enhanced Data Rate.

article-title

В межсетевых экранах Cyberoam обнаружены уязвимости

Уязвимости могут предоставить хакерам доступ к устройствам Cyberoam.

article-title

Microsoft «недоисправила» уязвимость в RDP

Прошлогодний патч для уязвимости CVE-2019-0887 оказался недостаточно эффективным.

article-title

Уязвимость PrintDemon затрагивает все версии Windows, выпущенные с 1996 года

Уязвимость присутствует в отвечающем за печать компоненте Windows Print Spooler.

article-title

Huawei отрицает свою причастность к созданию уязвимого патча для Linux

Помимо нескольких улучшенных опций безопасности патч добавляет в ядро Linux простую в эксплуатации уязвимость.

article-title

Опубликован топ-10 самых популярных уязвимостей в ПО

Власти США опубликовали список уязвимостей в ПО, чаще всего эксплуатировавшихся в 2016-2019 годах.

article-title

В vBulletin исправлена опасная уязвимость

Злоумышленники могут осуществить реверс-инжиниринг патча и разработать эксплоит.

article-title

Киберпреступники атаковали 1 млн сайтов под управлением WordPress

Эксперты зафиксировали масштабную вредоносную кампанию, нацеленную на WordPress-сайты.

article-title

В SaltStack Salt обнаружены критические уязвимости

Уязвимости исправлены в версии фреймворка 3000.2.

article-title

Операторы Usenet ушли в offline из-за беспрецедентной утечки данных

Проблема могла быть вызвана вредоносным программным инструментом для доступа к Usenet.

article-title

Миллионы устройств Apple уязвимы для хакеров

article-title

Уязвимости в РСУ ABB могут привести к сбоям в промышленной среде

Уязвимости позволяют удаленно выполнить код, вызвать отказ в обслуживании и повысить привилегии.

article-title

Взломать учетную запись Microsoft Teams можно было с помощью GIF

Microsoft исправила опасную уязвимость, позволявшую получать доступ к чужим учетным записям Microsoft Teams.

article-title

Обзор уязвимостей за неделю: 24 апреля 2020 года

Было обнаружено множество уязвимостей удаленного выполнения кода в различных программах.

article-title

Apple не нашла следов эксплуатации «0day-уязвимостей» в iOS в реальных атаках

Компания не отрицает наличия в iOS уязвимостей, но сомневается в том, что их уже эксплуатируют киберпреступники.

article-title

АНБ опубликовало инструменты для выявления web-оболочек на серверах

Спецслужбы США и Австралии привлекли внимание компаний к обычно упускаемому из виду вектору атак через web-оболочки.

article-title

Microsoft выпустила внеплановые обновления для уязвимостей в Office и Paint 3D

Уязвимости были обнаружены в 3D-библиотеке Autodesk для файлов FBX.

article-title

Представлен способ превращения антивирусов в инструмент для самоуничтожения

Сделать антивирусное ПО бесполезным можно с помощью символических ссылок.

article-title

Для четырех неисправленных уязвимостей в IBM IDRM опубликованы PoC-эксплоиты

Исследователь решил раскрыть уязвимости после того, как IBM не приняла его отчет, поданный по всем правилам через CERT/CC.

article-title

Хакеры заражают больницы вымогательским ПО с помощью учетных данных AD

Заполучив учетные данные, злоумышленники проникают в сетевую среду организации через уязвимые установки Pulse Secure VPN.

article-title

Обзор уязвимостей за неделю: 17 апреля 2020 г.

За последнюю неделю был обнаружен ряд уязвимостей в различных программах, включая продукты Microsoft, Adobe и Oracle.

article-title

Две ранее неизвестные уязвимости в Zoom выставлены на продажу

Уязвимости позволяют подглядывать за чужими видеозвонками.

article-title

Уязвимость в OnePlus 7 Pro позволяет похитить отпечатки пальцев

Хотя уязвимость сложно проэксплуатировать, она проливает свет на более серьезную проблему.

article-title

Уязвимость в TikTok позволяет подменять видео на чужих страницах

В ходе демонстрации уязвимости эксперты загрузили на страницу ВОЗ фейковое видео на тему коронавируса.

article-title

Уязвимость в VMware открывает хакерам доступ к корпоративной информации

По системе оценивания опасности CVSS v.3 уязвимость CVE-2020-3952 получила максимальные 10 баллов.

article-title

Hoaxcalls атакует устройства Grandstream UCM6200 через исправленную уязвимость

Атакующие включают уязвимые устройства в ботнет для осуществления DDoS-атак.

article-title

Обзор уязвимостей за неделю: 10 апреля 2020 г.

За последнюю неделю был обнаружен ряд уязвимостей в различных программах, включая Firefox, Chrome, glibc и пр.

article-title

Boeing исправит очередные две проблемы с ПО самолетов 737 MAX

Одна из проблем может привести к потере управления, а вторая – к отключению автопилота во время захода на посадку.

article-title

82,5% серверов Microsoft Exchange по-прежнему уязвимы к CVE-2020-0688

Исправленная в феврале уязвимость CVE-2020-0688 позволяет захватить контроль над сервером.

article-title

Уязвимости в HP Support Assistant подвергают опасности Windows-ПК

В HP Support Assistant обнаружены десять уязвимостей, и три из них по-прежнему остаются неисправленными.

article-title

В Firefox исправлены две уязвимости нулевого дня

Уязвимости позволяют удаленно выполнить код и получить контроль над системой.

article-title

Обзор уязвимостей за неделю: 3 апреля 2020 г.

За последнюю неделю был обнаружен ряд уязвимостей в различных программах, включая Chrome, браузер To и пр.

article-title

Уязвимости в Safari позволяли взломать камеру на iPhone и MacBook

Просто открыв сайт на iPhone или MacBook, пользователи могут предоставить злоумышленникам доступ к камере и микрофону.

article-title

Twitter сохранял личные сообщения пользователей в кэше браузера

Сервис хранил личные файлы пользователей Firefox в кэше браузера даже после выхода или закрытия сайта.

article-title

В ядре Linux исправлена серьезная уязвимость

Уязвимость позволяет атакующему повысить свои привилегии и выполнить код в контексте ядра.

article-title

Microsoft исправит целый класс уязвимостей в Windows

25 уязвимостей затрагивают компонент Win32k и, по сути, представляют собой различные варианты одной и той же проблемы.

article-title

В Zoom обнаружен ряд проблем с безопасностью

«Сквозное» шифрование в Zoom оказалось не таким уж «сквозным»; кроме того, приложение раскрывает данные пользователей.

article-title

Обзор уязвимостей за неделю: 27 марта 2020 года

На прошлой неделе были обнаружены уязвимости в Windows, Apple Safari, OpenWrt, Jenkins и пр.

article-title

Microsoft обнаружила две новых уязвимости для выполнения удаленного кода

article-title

В OpenWrt исправлена критическая уязвимость

Уязвимость CVE-2020-7982 существует в менеджере пакетов OPKG в OpenWrt.

article-title

WhatsApp хранит коды для 2FA в открытом виде

Коды видны на устройствах, чьи владельцы имеют на них права суперпользователя.

article-title

В memcached исправлена уязвимость переполнения буфера

Обнаруживший уязвимость исследователь сообщил о ней широкой общественности, не уведомив разработчиков.

article-title

Microsoft предупредила об уязвимости нулевого дня в Windows

Проблема затрагивает все версии Windows и Windows Server, в том числе более неподдерживаемую Windows 7.

article-title

Опубликованы PoC-эксплоиты для уязвимости KrØØk

Эксплоит позволяет перехватывать некоторые данные с уязвимых устройств.

article-title

Обзор уязвимостей за неделю: 20 марта 2020 года

Были обнаружены уязвимости в Google Chrome, продуктах Adobe, решении Cisco SD-WAN, Trend Micro и Drupal.

article-title

Исправление для уязвимости в VMware Fusion для Mac оказалось неполным

Уязвимость существует из-за некорректного использования флагов setuid и позволяет повысить привилегии.

article-title

Adobe выпустила внеплановые исправления для 41 уязвимости

29 из 41 уязвимостей отмечена как критические, а остальные 11 являются опасными.

article-title

Cамыми уязвимыми фреймворками оказались WordPress и Apache Struts

На Apache Struts и WordPress приходится 57% уязвимостей, для которых существует PoC-код.

article-title

Обнаружена новая уязвимость, позволяющая похищать данные процессоров Intel

Как уверяют в Intel, новую уязвимость Snoop можно закрыть с помощью патча для уязвимости Foreshadow.

article-title

В браузере Tor исправлена уязвимость, позволявшая запускаться JavaScript-кодам

Уязвимость позволяла запускаться JavaScript-кодам, даже если Tor работал в самом безопасном режиме.

article-title

За последний год число уязвимостей в открытом ПО выросло на 50%

В 2019 году было выявленных более 6 тыс. уязвимостей в продуктах с открытым исходным кодом.

article-title

Microsoft выпустила исправление для критической уязвимости в SMBv3

В настоящее время исправление для уязвимости (KB4551762) доступно на сайте Microsoft.

article-title

Avast отключила главный компонент своих антивирусов из-за уязвимости

Уязвимость в JavaScript-движке антивирусов Avast позволяет удаленно выполнить код на атакуемой системе.

article-title

В Сеть утекли данные о новой червеобразной уязвимости в SMB (Обновлено)

В рамках «вторника исправлений» Microsoft исправила рекордные 115 уязвимостей, но уязвимость в SMB осталась неисправленной.

article-title

Обнаружены две новые атаки на процессоры AMD

В совокупности с выявленными ранее атаками наподобие Spectre они позволяют получать информацию с атакуемого устройства.

article-title

ОС Android стала самой уязвимой платформой в 2019 году

В общей сложности в ОС Android в 2019 году было обнаружено 414 уязвимостей.

article-title

Google годами не исправляет опасную уязвимость в Google Authenticator

Обнаружено первое в истории вредоносное ПО для похищения кодов двухфакторной аутентификации Google Authenticator.

article-title

В нескольких плагинах WordPress исправлены уязвимости нулевого дня

Уязвимости позволяют получить контроль над сайтами и уже эксплуатируются в рамах вредоносной кампании.

article-title

Исправлена критическая уязвимость в Android-устройствах с процессорами MediaTek

CVE-2020-0069 позволяет получить права суперпользователя на устройствах Nokia, Amazon, BLU, Sony, ZTE и пр.

article-title

Хакеры могут следить за пользователями через «умные» пылесосы

Злоумышленники могут получить удаленный доступ к камерам пылесосов и следить за происходящим в доме жертвы.

article-title

В сетевых хранилищах Zyxel исправлена опасная уязвимость

По шкале оценивания опасности CVSS уязвимость получила максимальные 10 баллов.

article-title

Злоумышленники обчищают кошельки PayPal через неизвестную уязвимость

Киберпреступники эксплуатируют уязвимость в интеграции PayPal с Google Pay.

article-title

Уязвимость в OpenSMTPD затрагивает BSD- и Linux-серверы

Уязвимость позволяет атакующему получить полный контроль над почтовыми серверами.

article-title

В устройствах Moxa AWK-3131A обнаружено 12 уязвимостей

Проблемы затрагивают устройства AWK-3131A с версией прошивки 1.13 и ниже.

article-title

Для критической уязвимости в Windows 10 доступен временный микропатч

Микропатч от 0Patch исправляет уязвимость в IE, которую должно было исправить провальное обновление KB4532693.

article-title

2020: конец Windows 7

article-title

Уязвимость в systemd позволяет выполнить код с повышенными правами

Проблема возникает при асинхронном выполнении запросов к Polkit-библиотеке во время обработки DBus-сообщений.

article-title

В ПО Boeing 737 Max обнаружена очередная уязвимость

Самолеты смогут снова начать летать только после исправлений всех проблем с безопасностью.

article-title

В протоколе CDP обнаружены критические уязвимости

Совокупность уязвимостей в Cisco Discovery Protocol получила название CDPwn.

article-title

Уязвимости в WhatsApp позволяли скомпрометировать миллионы пользователей

Злоумышленники могли путем отправки специально сформированного сообщения похищать файлы с ПК жертв.

article-title

Новые опасные уязвимости в процессорах Intel

article-title

Хакеры эксплуатируют неисправленную уязвимости в СКУД Linear eMerge E3

Злоумышленники используют скомпрометированные устройства для осуществления атак на заданные цели.

article-title

Уязвимости в Microsoft Azure позволяли захватывать контроль над облачными серверами

Уязвимости были обнаружены исследователями Check Point и исправлены Microsoft в конце прошлого года.

article-title

В почтовом сервере OpenSMTPD обнаружена критическая уязвимость

Эксплуатация уязвимости позволяет удаленно выполнять shell-команды на сервере с правами суперпользователя.

article-title

Уязвимость в Zoom позволяла подключаться к чужим разговорам

Исследователям удалось подобрать идентификаторы встреч и подключиться к разговорам в Zoom.

article-title

Intel в третий раз выпустит патчи для уязвимостей Zombieload

Intel планирует выпустить обновления «в ближайшие недели».

article-title

В медицинском оборудовании GE Healthcare обнаружены критические уязвимости

Пять из шести уязвимостей получили максимальную оценку в 10 баллов по шкале CVSS v3.1.

article-title

В AMD ATI Radeon исправлены четыре уязвимости

Уязвимости позволяют удаленно выполнить код или вызвать отказ в обслуживании.

article-title

В Honeywell Maxpro VMS и NVR исправлены опасные уязвимости

Уязвимости позволяют получить полный контроль над системами видеонаблюдения.

article-title

Microsoft предупреждает о серьезном нарушении безопасности в Internet Explorer

article-title

В решении FortiSIEM обнаружен встроенный SSH-ключ

Эксплуатация уязвимости позволяет неавторизованным злоумышленникам вызвать отказ в обслуживании системы.

article-title

Netgear оставила на своих маршрутизаторах TLS-сертификаты с закрытыми ключами

Оставленные данные могут использоваться киберпреступниками для взлома маршрутизаторов.

article-title

Уязвимость в BlockFi сделала пользователя миллионером на один день

Воспользовавшись уязвимостью, Zombieslayer970 увеличил баланс в своем криптовалютном кошельке до 10 млн эфиров.