Security Lab

Уязвимость

Уязвимость – недостаток в компьютерной системе, использование которого, приводить к нарушению целостности системы и некорректной работе. Уязвимость появляются в результате ошибок программирования, недостатков, которые допускались при проектировании системы, ненадежных паролей, вредоносных программ, скриптовых и SQL-инъекций.

Уязвимость позволяет атакующему нарушить корректную работу приложения, к примеру, с помощью внедрения данных незапланированным способом; выполнения команды на системе, на которой выполняется данное приложение; или, используя упущение, которое позволяет получить доступ к памяти для выполнения кода на уровне привилегий программы. Запись данных в буфер, без проверки его границ, приводит к переполнению буфера и как результат происходит выполнение произвольного кода. Это также является уязвимостью. В результате недостаточной проверки данных, вводимых пользователем, возникает уязвимость, которая позволяет напрямую выполнить SQL (SQL-инъекции).

Уязвимости были обнаружены во всех основных операционных системах, включая Microsoft Windows, Mac OS, UNIX и OpenVMS.

article-title

Для уязвимости SIGRed опубликован первый PoC-эксплоит для удаленного выполнения кода

PoC-эксплоиты для SIGRed публиковались и ранее, но они позволяли только вызывать отказ в обслуживании.

article-title

Власти США обязали федеральные управления исправить уязвимость в Microsoft Exchange

Как минимум одна уязвимость в Microsoft Exchange активно эсплуатируется несколькими кибершпионскими группировками.

article-title

Уязвимость за $50 тыс. позволяла взломать любую учетную запись Microsoft

Уязвимость позволяла с помощью брутфорса подобрать код , отправляемый пользователю в процессе смены пароля.

article-title

Microsoft выпустила экстренные патчи для четырех уязвимостей 0-day в Exchange

Уязвимости уже активно эксплуатируются китайской APT-группировкой Hafnium

article-title

На VirusTotal обнаружены рабочие Linux- и Windows-эксплоиты для уязвимости Spectre

Эксплоиты позволяют непривилегированным пользователям извлекать из памяти ядра хеши LM/NT и файл /etc/shadow.

article-title

Получите практические навыки реверс-инжиниринга

"Otus онлайн образование" в марте подготовил серию бесплатных вебинаров.

article-title

Для высокоопасной уязвимости в VMware vCenter опубликован PoC-эксплоит

Исследователь опубликовал PoC-эксплоит сразу же после выхода исправления, не дав компаниям времени на его развертывание.

article-title

Уязвимость в Twitter позволяет маркировать произвольные твиты как утечки

Проблема воспроизводится как в iOS- и Android-приложениях Twitter, так и в web-версии.

article-title

Эксперты установили, кто стоит за атаками на пользователей Accellion FTA

Атаки на ПО для обмена файлами начались в декабре 2020 года и привели к компрометации данных, принадлежащих клиентам Accellion.

article-title

Топ-10 самых громких инцидентов ИБ на начало 2021

article-title

Браузер Brave оставляет следы onion-адресов в DNS-трафике

В режиме Tor браузер Brave отправляет запросы доменов .onion не на узлы Tor, а на публичные DNS-резолверы.

article-title

В QNAP Surveillance Station исправлена критическая уязвимость

Уязвимость позволяет удаленно выполнить вредоносный код на сетевом хранилище с уязвимой версией приложения.

article-title

На смартфоны Samsung можно устанавливать стороннее ПО с правами администратора

Исследователь безопасности обнаружил в смартфонах Samsung две уязвимости.

article-title

Протокол Сream Finance взломан хакерами, украдено $37,5 млн.

Известно, что хакер воспользовался уязвимостью технологии моментальных или флеш-кредитов, однако подробности взлома уточняются.

article-title

Accellion объявила о прекращении поддержки ПО, использовавшегося в кибератаках

В декабре прошлого года хакеры атаковали компании по всему миру через уязвимость нулевого дня в Accellion FTA.

article-title

Microsoft исправила более полусотни уязвимостей, в том числе уязвимость нулевого дня

Уязвимость 0-day позволяет злоумышленникам или вредоносному ПО повышать свои привилегии до уровня администратора.

article-title

Google запустила программу отслеживания уязвимостей в открытом ПО

Компания Google запустила новый сервис OSV (Open Source Vulnerabilities), предлагающий доступ к базе данных с информацией об уязвимостях в открытом ПО.

article-title

В Google Chrome исправлена уязвимость нулевого дня

Уязвимость, вероятнее всего, эксплуатировалась северокорейскими хакерами в атаках на ИБ-экспертов.

article-title

В Wi-Fi-модулях Realtek исправлены опасные уязвимости

Модули подвержены уязвимостям переполнения буфера и чтения за границами выделенной области памяти.

article-title

Старая уязвимость в Sudo также затрагивает последнюю версию macOS

Эксплуатация уязвимости позволяет злоумышленникам с доступом к локальной системе получить права суперпользователя.

article-title

Опасная уязвимость в Libgcrypt затрагивает многие дистрибутивы Linux

Уязвимость позволяет атакующему удаленно выполнить код на системе.

article-title

Хакеры могут взломать компьютеры пользователей через Cyberpunk 2077

Модификации популярной игры Cyberpunk 2077 позволяют хакерам получить доступ к персональному компьютеру пользователя через дополнительные файлы

article-title

Новый червь атакует серверы Apache, Oracle, Redis с целью майнинга криптовалют

Группировка Rocke продолжает атаковать необновленные серверы через старые известные уязвимости.

article-title

Машинное обучение прокладывает новый путь для поиска SQLi-уязвимостей

Эксперты использовали обучение с подкреплением для автоматизации процесса эксплуатации SQLi-уязвимостей.

article-title

Уязвимость, обнаруженная в лучших мессенджерах, позволяет хакерам подслушивать

article-title

10-летний баг в Sudo позволяет пользователям Linux получить права суперпользователя

С его помощью пользователь с низкими привилегиями может получить права суперпользователя, даже если его учетной записи нет в /etc/sudoers.

article-title

Apple исправила три уязвимости нулевого дня в iOS, iPadOS и tvOS

Хакеры могут эксплуатировать эти уязвимости в связке для осуществления атак watering hole.

article-title

Новая уязвимость TikTok позволяет собирать личные данные пользователей

Уязвимость позволит злоумышленникам получать доступ к личным данным в профилях пользователей, в том числе к номеру телефона.

article-title

Экс-участник LulzSec опубликовал эксплоит для уязвимости в SonicWall VPN

Уязвимость эксплуатировалась хакером Phineas Fisher для взлома Hacking Team.

article-title

Исследователь запустил сайт для публикации уязвимостей в вредоносном ПО

На сайте представлены названия вредоносов, подробные технические описания уязвимостей и PoC-эксплоиты.

article-title

Хакеры атаковали производителя SonicWall через 0-day уязвимость в его же VPN-продуктах

Злоумышленники проэксплуатировали уязвимость в VPN-устройстве Secure Mobile Access и VPN-клиенте NetExtender.

article-title

Три уязвимости в SolarWinds Orion позволяют удаленное выполнение кода

Одна из уязвимостей (CVE-2020-14005) использовалась в недавней атаке SUNBURST на компанию SolarWinds.

article-title

В открытом доступе опубликован эксплоит для получения прав суперпользователя в SAP

Эксплоит является полнофункциональным и предназначен для уязвимости в SAP SolMan (CVE-2020-6207).

article-title

Уязвимости в популярных мессенджерах позволяли шпионить за пользователями

Баги в Signal, Google Duo и Facebook Messenger позволяли устройству вызываемого абонента передавать аудио до того, как он ответит на звонок.

article-title

Уязвимости в Dnsmasq позволяют осуществлять атаку «отравление кеша DNS»

В общей сложности исследователи выявили в ПО Dnsmasq семь уязвимостей, объединенных под названием DNSpooq.

article-title

Баг в Windows 10 вызывает синий экран смерти, если открыть определенный путь

При введении пути в адресную строку браузера незамедлительно происходит аварийное завершение работы Windows 10.

article-title

Принудительное развертывание патча для уязвимости Zerologon начнется в феврале

С помощью Zerologon хакеры могут повысить привилегии до администратора домена и захватить контроль над доменом.

article-title

Олимпиаду первого уровня можно взломать всего за секунду

Уязвимости на сайте одной из самых популярных олимпиад первого уровня позволяют подделать результаты.

article-title

TikTok собирал MAC-адреса через уязвимость в Android

С помощью техники, замаскированной с использованием дополнительного слоя шифрования, TikTok обходил механизмы безопасности в Android.

article-title

Раскрыта сложная вредоносная кампания против пользователей Android и Windows

В ходе кампании злоумышленники эксплуатировали как известные уязвимости, так и уязвимости нулевого дня.

article-title

Microsoft исправила уязвимость нулевого дня в Microsoft Defender

В рамках первого в нынешнем году «вторника исправлений» Microsoft исправила 83 уязвимости в своих продуктах.

article-title

Обнаружена серьезная уязвимость в Samsung Galaxy Note 20

Из-за «ненормального поведения» сканера отпечатков пальцев в смартфонах серии Galaxy Note20, смартфон мог разблокировать любой посторонний человек, просто отсканировав свой палец.

article-title

Уязвимость в Telegram позволяет определить местонахождение пользователя

Популярный мессенджер Telegram содержит уязвимость, благодаря которой можно определить точное местонахождение пользователя.

article-title

Более 100 000 межсетевых экранов и VPN-шлюзов Zyxel содержат встроенный бэкдор

Уязвимости подвержено множество популярных продуктов Zyxel из линейки устройств бизнес-класса, обычно развертываемых в частных корпоративных и государственных сетях.

article-title

Уязвимость в Документах Google позволяла просматривать чужие документы

Уязвимость позволяла похищать из сервиса Документы Google скриншоты документов, просто встроив их в вредоносный сайт.

article-title

Недоисправленная 0-day уязвимость в Windows получила новый PoC-эксплоит

Уязвимость, для которой еще в июне был выпущен патч, по-прежнему может эксплуатироваться в атаках.

article-title

Более 7 млн устройств открыты к атакам с использованием похищенных инструментов FireEye

Инструменты FireEye эксплуатируют 16 уязвимостей в продуктах Pulse Secure, Microsoft, Fortinet, Citrix и Adobe.

article-title

Опасные уязвимости в стеке Treck TCP/IP затрагивают миллионы IoT-устройств

С помощью уязвимостей злоумышленники могут запускать произвольные команды и вызывать отказ в обслуживании.

article-title

Китай использовал похищенные данные для раскрытия агентурной сети ЦРУ

Десять лет назад между Пекином и Вашингтоном началась борьба за глобальный контроль над данными.

article-title

В 2020 году US-CERT задокументировала рекордные 17 447 уязвимостей

Четвертый год подряд US-CERT фиксирует рекордное количество уязвимостей.

article-title

За год пандемии существенно возросло число отчетов об уязвимостях

Активизация хакеров в период пандемии COVID-19 заставила компании увеличить вознаграждение за сообщения об уязвимостях.

article-title

Миллионы уязвимых OT- и IoT-устройств представляют угрозу для критической инфраструктуры

Львиная доля использующихся на предприятиях OT- и IoT-устройств все еще уязвима к URGENT/11 и CDPwn.

article-title

Хакеры взламывают WordPress-сайты через уязвимость в плагине Easy WP SMTP

Версия Easy WP SMTP 1.4.2 и более ранние сохраняют в папке установки журнал отладки для всех отправленных сайтом электронных писем.

article-title

D-Link исправила опасные уязвимости в своих VPN-маршрутизаторах

Исправления представлены в виде «горячих» патчей, а официальный релиз обновления для прошивки запланирован на середину декабря.

article-title

Microsoft выпустила декабрьские плановые обновления безопасности

Декабрьский набор патчей исправляет 58 уязвимостей, 9 из которых обозначены как критические.

article-title

Русские хакеры эксплуатируют недавно исправленную уязвимость в продуктах VMware

Злоумышленники эксплуатируют уязвимость в атаках на организации с целью похищения конфиденциальных данных.

article-title

Опасные уязвимости в миллионах IoT-устройств никогда не будут исправлены

Уязвимости под общим названием Amnesia:33 затрагивают миллионы устройств от 150 производителей.

article-title

Хакер Google нашел способ удаленно взламывать iPhone через WiFi

article-title

Ботнет DarkIRC активно атакует серверы Oracle WebLogic

Многофункциональное вредоносное ПО DarkIRC доступно в даркнете всего за $75.

article-title

В ближайшее время ожидается рост числа атак с использованием контейнеров Docker

Из 4 млн проанализированных образов в Docker Hub 51% содержит опасные уязвимости.

article-title

Платформа 0patch выпустила временный патч для уязвимости в Windows 7 и Server 2008 R2

С помощью уязвимости локальный атакующий может повысить свои привилегии и в итоге выполнить код.

article-title

Двухфакторную аутентификацию в cPanel можно обойти

В ПО cPanel исправлена опасная уязвимость, помогающая злоумышленникам взломать управляемые с его помощью сайты.

article-title

Уязвимость в продуктах VMware позволяет скомпрометировать систему

Для критической уязвимости в продуктах VMware представлено временное исправление.

article-title

Хакер опубликовал эксплоиты для 50 тыс. уязвимых VPN-устройств Fortinet

Все устройства подвержены известной и уже исправленной уязвимости обхода каталога в Fortinet FortiOS SSL VPN (CVE-2018-13379).

article-title

Эксперты прогнозируют увеличение числа атак на пользователей Chrome

Большая часть пользователей работает с устаревшими версиями Chrome, содержащими недавно раскрытие уязвимости нулевого дня.

article-title

Android-мессенджер со 100 млн загрузок раскрывает пересылаемые медиафайлы

Обнаружившие уязвимость исследователи неоднократно пытались связаться с разработчиком, но безуспешно.

article-title

Хакеры массово сканируют интернет в поисках WordPress-сайтов с уязвимыми темами

Хакеры могут проэксплуатировать связку недавно исправленных уязвимостей в Epsilon Framework, удаленно выполнить код и получить контроль над сайтом.

article-title

Microsoft исправила опасную уязвимость в более неподдерживаемой Windows 10 1809

Накопительное обновление KB4594442 исправляет проблему с аутентификацией Kerberos и продлением мандатов.

article-title

Эксперты предупредили о рисках подключения Tesla Backup Gateway к интернету

По словам исследователей, открытые подключения могут использоваться злоумышленниками для нарушения конфиденциальности пользователей.

article-title

Уязвимости в смарт-контрактах Ethereum могут привести к потере миллионов долларов

Уязвимости позволяют манипулировать кодом и похитить максимально возможные суммы за короткий период времени.

article-title

Google исправила еще две уязвимости нулевого дня в Chrome

Это уже четвертая и пятая уязвимости нулевого дня в Chrome, исправленные Google за последние несколько недель.

article-title

Ноябрьские обновления безопасности Microsoft исправляют 0-day в Windows

Уязвимость существует в ядре Windows и затрагивает все поддерживаемые версии ОС.

article-title

Apple исправила три уязвимости нулевого дня в iOS и macOS

Эксплуатация уязвимостей в атаках аналогична недавно раскрытым уязвимостям нулевого дня в Windows и Chrome.

article-title

Cisco сообщила об опасной уязвимости в AnyConnect Secure Mobility Client

Для уязвимости уже доступен PoC-эксплоит, но Cisco еще только работает над ее исправлением.

article-title

Хакеры UNC1945 взламывали сети компаний через 0-day в Oracle Solaris

По мнению специалистов, группировка приобрела эксплоит для уязвимости CVE-2020-14871 на черном рынке.

article-title

Oracle выпустила внеплановое обновление для WebLogic Server

Внеплановое обновление исправляет критическую уязвимость, уже эксплуатирующуюся киберпреступниками.

article-title

Google исправила вторую за две недели уязвимость нулевого дня в Chrome

Согласно журналу изменений, проблема затрагивает V8 – компонент для обработки JavaScript-кода.

article-title

CERT запустил Twitter-бот, который будет давать уязвимостям случайные названия

Специалисты пытаются уменьшить количество сенсационных названий уязвимостей, пугающих пользователей.

article-title

Экспертам удалось извлечь ключ шифрования для микрокода в ЦП Intel

Имея расшифрованное обновление, хакеры могут осуществить его реверс-инжиниринг и выяснить, как можно проэксплуатировать уязвимость.

article-title

Более 100 тыс. систем все еще уязвимы к SMBGhost

Многие уязвимые системы (22%) находятся на Тайване, а также в Японии (20%), России (11%) и США (9%).

article-title

Google работает над исправлением уязвимости в DRM-технологии Widevine

PoC-эксплоит для уязвимости в виде расширения для Google Chrome на Microsoft Windows доступен на Github.

article-title

Эксперты вычислили автора популярных эксплоитов по почерку

В общей сложности специалисты выявили пять эксплоитов авторства PlayBit, имеющие общие черты.

article-title

Великобритания тайно атаковала российских лидеров

По словам бывшего члена британского Кабмина, у Москвы тоже есть уязвимости, которые можно проэксплуатировать.

article-title

Операторы бэкдора SLUB шпионят за пользователями через взломанные сайты

Обнаружена новая вредоносная кампания watering hole под названием Operation Earth Kitsune.

article-title

Команда WordPress пошла на крайние меры для исправления уязвимости в плагине

Уязвимости в плагине Loginizer позволяют осуществить SQL-инъекцию и захватить управление сайтом.

article-title

Хакеры активно атакуют корпоративные MDM-серверы MobileIron

Киберпреступники всех мастей эксплуатируют опасную уязвимость в MDM-решениях MobileIron, исправленную еще в июле.

article-title

7 мобильных браузеров уязвимы к спуфингу адресной строки

Уязвимости позволяют злоумышленникам подделать URL в адресной строке браузера и заманить жертву на вредоносный сайт.

article-title

АНБ США представило топ-25 эксплуатируемых китайскими хакерами уязвимостей

Большинство уязвимостей позволяют получить первоначальный доступ к атакуемым корпоративным сетям.

article-title

Google исправила уязвимость нулевого дня в Chrome

Уязвимость повреждения памяти в FreeType активно эксплуатируется хакерами в атаках на пользователей Chrome.

article-title

Zerologon – дыра безопасности в службе Windows Netlogon. Меры для защиты от критических уязвимостей

article-title

Для критической уязвимости в Windows 10 созданы PoC-эксплоиты

Киберкомандование США настоятельно рекомендует установить исправление для уязвимости Bad Neighbor.

article-title

В 2,2 тыс. виртуальных установок обнаружены 400 тыс. уязвимостей

Исследователи изучили продукты от 540 вендоров и присвоили им рейтинг безопасности.

article-title

Уязвимость в приставках Hindotech HK1 TV Box позволяет похищать пароли и переписку

Уязвимость существует из-за ненадлежащего контроля доступа к инструментам отладки.

article-title

Microsoft исправила ряд уязвимостей удаленного выполнения кода в своих продуктах

В рамках октябрьского «вторника исправлений» было исправлено 87 уязвимостей.

article-title

Riskware: как обнаружить, удалить и предотвратить

article-title

Российские хакеры вооружились уязвимостью Zerologon

Группировка TA505, она же Evil Corp, использует в своих атаках поддельные обновления для ПО.

article-title

Группа "белых хакеров" обнаружила в сервисах Apple 55 уязвимостей

Общая сумма вознаграждения за обнаруженные уязвимости составила 288000$.

article-title

4 ключевых направления, которые должны быть учтены во всех политиках информационной безопасности

article-title

Эксперты превратили пульт от телевизора в шпионское устройство

Исследователи модифицировали прошивку пульта XR11 таким образом, чтобы удаленно включать его микрофон.

article-title

Хакеры могут навсегда заблокировать подключенные к интернету пояса верности

Возможность вручную снять гаджет в случае его блокировки не предусмотрена.

article-title

Иранские хакеры активно эксплуатируют уязвимость ZeroLogon

Жертвами становятся крупные компании в странах Среднего Востока и Азии.

article-title

Ботнет Ttint эксплуатирует 0day-уязвимость в маршрутизаторах Tenda

Ttint на несколько порядков выше других ботнетов, обнаруженных в прошлом году.

article-title

Google набирает команду экспертов для аудита безопасности сторонних приложений

Новая команда займется поиском уязвимостей в сторонних критически важных приложениях из Google Play Store.

article-title

Дешевые смарт-розетки уязвимы ко взлому и могут самовозгореться

Специалисты изучили десять «умных» розеток от различных производителей и магазинов и нашли в них уязвимости.

article-title

Twitter предупредила о потенциальной утечке ключей API

Портал developer.twitter.com давал браузерам инструкции создавать и сохранять в кэше копии ключей API и токенов доступа.

article-title

Уязвимость Zerologon активно эксплуатируется в реальных атаках

Киберпреступники взяли на вооружение исправленную в прошлом месяце уязвимость в Windows Server.

article-title

Обнаружен новый вектор эксплуатации опасной уязвимости в Citrix Workspace

Злоумышленники могут повышать привилегии на системе и удаленно выполнять произвольные команды с привилегиями SYSTEM.

article-title

Уязвимость ZeroLogon затрагивает некоторые версии Samba

Уязвимость позволяет получить доступ к домену на уровне администратора.

article-title

В решениях для управления мобильными устройствами от MobileIron исправлены уязвимости

Одна из уязвимостей позволяет удаленно выполнить произвольный код на сервере MobileIron.

article-title

Исследователь два года молчал об уязвимости в Bitcoin в целях безопасности

Уязвимость в Bitcoin Core была обнаружена и исправлена в 2018 году, но широкая общественность узнала о ней только сейчас.

article-title

Intel исправила высокоопасную уязвимость в AMT и ISM

Intel выпустила исправления для ряда уязвимостей в своих продуктах.

article-title

Уязвимости в CodeMeter позволяют атаковать промышленные системы

Уязвимости могут эксплуатироваться удаленно без авторизации для осуществления DoS-атак или выполнения кода.

article-title

Сентябрьский пакет обновлений исправляет более 120 уязвимостей в продуктах Microsoft

Компания устранила несколько десятков критических уязвимостей.

article-title

На миллионы WordPress-сайтов обрушилась волна кибератак

Киберпреступники обнаружили уязвимость нулевого дня в популярном плагине File Manager.

article-title

Власти США выпустили директиву защиты космических систем от хакерских атак

Разработчиков таких систем обяжут продумать механизмы защиты от глушения сигнала с помощью проверенных шифровальных систем и новейших передатчиков.

article-title

Microsoft исправляет уязвимости Azure Sphere, обнаруженные Cisco

article-title

4 типа вредоносных программ, о которых вам следует знать

article-title

Выпуск огромного числа патчей в один день влечет риски и стресс для IT-команд

Команды безопасности вынуждены сортировать, тестировать и устанавливать патчи в короткое время.

article-title

Ботнет Mirai использует новую уязвимость, которая затрагивает компании по всему миру

article-title

Тенденции кибератак в первом полугодии 2020 года

article-title

Уязвимость в Safari позволяет украсть файлы со смартфонов и ПК

Apple раскритиковали за задержку выпуска патчей.

article-title

Уязвимость в системах мониторинга Xorux может привести ко взлому корпоративной сети

Уязвимость позволяет неавторизованным пользователям проводить удаленное исполнение команд ОС на сервере мониторинга при отправке запросов с главной веб-страницы решения, что может привести к компрометации сервера мониторинга.

article-title

Топ-25 самых опасных уязвимостей 2020 года

Первое место в списке заняла уязвимость типа межсайтовое выполнение сценариев.

article-title

Уязвимость в СУБД IBM Db2 может привести к утечке данных и отказу в обслуживании

Уязвимость возможно проэекслуатировать удаленно с помощью вредоносного ПО.

article-title

Десктопные почтовые клиенты позволяют похищать данные пользователей

Реализация технологии mailto в некоторых десктопных почтовых клиентах позволяет похищать файлы.

article-title

Уязвимость в серверах Jenkins может привести к утечке данных

Проблема содержится в web-сервере Jetty.

article-title

Команда Apache Struts предупредила о новых уязвимостях во фреймворке

Одна из уязвимостей может использоваться для удаленного выполнения кода.

article-title

Instagram больше года хранила удаленные фото и частные сообщения

Представители компании объяснили проблему багом в системе.

article-title

Уязвимость в Windows позволяет обходить Enterprise Authentication

Microsoft выпустила исправление для уязвимости, но оно оказалось неполным.

article-title

Intel предупредила об опасной уязвимости в материнских платах и серверных системах

Уязвимость CVE-2020-8708 позволяет неаутенифицированному атакующему удаленно повысить привилегии на системе.

article-title

Уязвимость в Chrome ставит под угрозу данные миллиардов пользователей

Проблема присутствует в Chrome, Opera и Edge на базе движка Chromium.

article-title

Уязвимости в службе «Найти телефон» позволяют взломать Samsung Galaxy

В компонентах службы обнаружены уязвимости, которые в связке позволяют производить целый ряд действий на взломанном телефоне.

article-title

Безопасность с открытым исходным кодом имеет важное значение для безопасности предприятия

article-title

Уязвимость в HDL позволяла захватить контроль над умным домом

В системе автоматизации для "умного дома" HDL исправлена опасная уязвимость.

article-title

Positive Technologies помогла устранить уязвимости в распределенной системе управления CENTUM компании Yokogawa

Уязвимости были найдены в компоненте CAMS for HIS, отвечающем за управление аварийными сообщениями и событиями в системе управления промышленного объекта.

article-title

Netgear не будет устранять критическую уязвимость в 45 моделях маршрутизаторов

Решение в компании объяснили тем, что у 49 устройств закончился период поддержки

article-title

Баг в Zoom позволял за считанные минуты взломать код доступа

Встречи в Zoom по умолчанию были защищены шестизначным кодом, а значит, что существовало 1 млн возможных комбинаций.

article-title

Уязвимость в GRUB2 позволяет прятать вредоносное по на Linux- и Windows-ПК

С помощью BootHole злоумышленник может скомпрометировать процесс загрузки ОС и внедрить буткит.

article-title

Dell EMC устранил уязвимость в серверном контроллере удаленного доступа iDRAC, выявленную Positive Technologies

Уязвимость позволяет злоумышленнику получить полный контроль над сервером.

article-title

А нужен ли вообще антивирус в 2020 году? Ответ вам может не понравиться

article-title

Для критической уязвимости в .NET опубликован PoC-эксплоит

По мнению ИБ-экспертов, эксплуатация уязвимости в .NET куда более вероятна по сравнению с нашумевшей SigRed.

article-title

Trend Micro фиксирует взрывной рост атак на домашние роутеры

Устройство может продолжать работать, будучи зараженным и сразу несколькими вирусами, выполняя задачи разных группировок хакеров одновременно

article-title

Разработчики Rust исправили серьезные проблемы безопасности

По словам разработчиков, уязвимости чрезвычайно сложно проэксплуатировать в реальных атаках.

article-title

Для критической уязвимости в SAP опубликован PoC-эксплоит

Эксплоит предназначен для уязвимостей CVE-2020-6287 и CVE-2020-6286.

article-title

Microsoft исправила 123 уязвимости в 13 продуктах

22 исправленные уязвимости позволяют удаленное выполнение кода.

article-title

В Windows Server обнаружена крайне опасная уязвимость 17-летней давности

Критическая уязвимость SigRed позволяет захватить полный контроль над IT-инфраструктурой предприятия.

article-title

Meetecho исправила шесть опасных уязвимостей в Janus WebRTC

Уязвимости позволяют вызвать отказ в обслуживании или удаленно выполнить код.

article-title

Уязвимость в SAP позволяет похищать конфиденциальные данные компаний

RECON представляет собой тот редкий случай, когда по шкале оценивания опасности CVSSv3 уязвимость получила 10 баллов из 10.

article-title

Атака на серверы Exchange: срочно обновите их

article-title

Критическая уязвимость в Zoom ставит под угрозу ПК с устаревшими версиями Windows

С помощью уязвимости удаленный атакующий может выполнить код на Windows 7, Windows Server 2008 R2 и более ранних.

article-title

В Citrix ADC, Citrix Gateway и Citrix SD-WAN WANOP исправлен ряд уязвимостей

Уязвимости позволяют раскрывать информацию, внедрять код, вызывать отказ в обслуживании и пр.

article-title

Пользователи подали в суд на Apple и T-Mobile за уязвимость в iMessage и FaceTime

Сервисы Apple привязывались к номерам телефонов, что приводило к утечкам данных.

article-title

Уязвимость в .NET Core позволяет вредоносному ПО обходить обнаружение

С помощью уязвимости пользователь с низкими привилегиями может загружать вредоносные сборщики мусора (DLL).

article-title

Cкребём Github: поиск "секретов" разработки

article-title

В Apache Guacamole исправлены опасные уязвимости

Уязвимость позволяет злоумышленникам получить полный контроль над сервером Guacamole.

article-title

Уязвимости в macOS позволяют обойти систему защиты конфиденциальности

Уязвимости затрагивают систему защиты конфиденциальности TCC (Transparency, Consent, and Control).

article-title

Как управлять патчами и уязвимостями ПО на домашнем компьютере

article-title

Уязвимые Wi-Fi ретрансляторы открывают удаленный доступ к домашним сетям

В ретрансляторах Wi-Fi сигнала Tenda PA6 Wi-Fi Powerline обнаружены три уязвимости.

article-title

В PAN-OS исправлена чрезвычайно опасная уязвимость

Уязвимость позволяет удаленно отключать межсетевые экраны Palo Alto Networks.

article-title

В Bitdefender Total Security 2020 исправлена критическая уязвимость

Уязвимость позволяет внешним web-страницам запускать удаленные команды в процессе Safepay Utility.

article-title

В AMD APU обнаружены три опасные уязвимости

Уязвимости позволяют получить контроль над прошивкой UEFI и выполнить код на уровне SMM.

article-title

В драйвере шины от FabulaTech найдена опасная уязвимость

Уязвимость позволяет атакующему повысить свои привилегии на системе путем добавления поддельных устройств.

article-title

Уязвимости Ripple20 затрагивают миллиарды устройств по всему миру

Проблемы были обнаружены в TCP/IP-библиотеке Treck, и с их помощью можно удаленно получить контроль над устройством.

article-title

Управление патчами – насущная необходимость

article-title

Вымогательское ПО Black Kingdom атакует предприятия через Pulse Secure VPN

Вымогатель шифрует файлы на компьютере жертв, добавляя к ним расширение .DEMON, и требует $10 тыс.

article-title

Атака SGAxe позволяет похищать защищенные данные из анклавов Intel SGX

Уязвимость в процессорах Intel позволяет авторизованному локальному злоумышленнику раскрыть информацию.

article-title

«Странное поведение» cmd.exe позволяет выполнение произвольных команд

По уверению Microsoft, обнаруженная исследователем особенность является предусмотренным функционалом.

article-title

Intel исправила очередную MDS-уязвимость в своих процессорах

Подобно Meltdown и Spectre, уязвимость CrossTalk базируется на спекулятивном исполнении команд.

article-title

Июньский «вторник исправлений» стал крупнейшим за всю историю Microsoft

В нынешнем месяце Microsoft исправила за один раз рекордное количество уязвимостей.

article-title

Обнаружена масштабная вредоносная кампания против WordPress-сайтов

Злоумышленники эксплуатируют старые XSS-уязвимости в необновленных плагинах и темах.

article-title

Выпущенные за последние 7 лет смартфоны LG уязвимы к атаке «холодной перезагрузки»

В загрузчике ОС, используемом в смартфонах LG, начиная с серии Nexus 5, исправлена опасная уязвимость.

article-title

Популярный «клон» TikTok оказалось легко взломать

Взломать любую учетную запись в приложении Mitron можно в считанные секунды.

article-title

АНБ США предупредило о новой волне кибератак на почтовые серверы

Киберпреступная группа Sandworm атакует серверы с уязвимым агентом пересылки сообщений Exim.

article-title

Уязвимость StrandHogg 2.0 позволяет захватить контроль над любым Android-приложением

StrandHogg 2.0 получила свое название из-за сходства с обнаруженной ранее уязвимостью StrandHogg.

article-title

Хакеры пытались установить вымогательское ПО через уязвимость в Sophos XG

После исправления уязвимости киберпреступники были вынуждены изменить свою тактику.

article-title

Найден способ эксплуатации уязвимости в Qmail 15-летней давности

Уязвимость CVE-2005-1513 была раскрыта в 2005 году, но до сих пор остается неисправленной.

article-title

Уязвимость в DNS-серверах позволяет в тысячу раз усилить мощность DDoS-атаки

Уязвимость NXNSAttack затрагивает рекурсивные DNS-серверы и процесс делегирования.

article-title

В Bluetooth обнаружена опасная уязвимость BIAS

Проблема затрагивает классическую версию протокола Basic Rate/Enhanced Data Rate.

article-title

В межсетевых экранах Cyberoam обнаружены уязвимости

Уязвимости могут предоставить хакерам доступ к устройствам Cyberoam.

article-title

Microsoft «недоисправила» уязвимость в RDP

Прошлогодний патч для уязвимости CVE-2019-0887 оказался недостаточно эффективным.

article-title

Уязвимость PrintDemon затрагивает все версии Windows, выпущенные с 1996 года

Уязвимость присутствует в отвечающем за печать компоненте Windows Print Spooler.

article-title

Huawei отрицает свою причастность к созданию уязвимого патча для Linux

Помимо нескольких улучшенных опций безопасности патч добавляет в ядро Linux простую в эксплуатации уязвимость.

article-title

Опубликован топ-10 самых популярных уязвимостей в ПО

Власти США опубликовали список уязвимостей в ПО, чаще всего эксплуатировавшихся в 2016-2019 годах.

article-title

В vBulletin исправлена опасная уязвимость

Злоумышленники могут осуществить реверс-инжиниринг патча и разработать эксплоит.

article-title

Киберпреступники атаковали 1 млн сайтов под управлением WordPress

Эксперты зафиксировали масштабную вредоносную кампанию, нацеленную на WordPress-сайты.

article-title

В SaltStack Salt обнаружены критические уязвимости

Уязвимости исправлены в версии фреймворка 3000.2.

article-title

Операторы Usenet ушли в offline из-за беспрецедентной утечки данных

Проблема могла быть вызвана вредоносным программным инструментом для доступа к Usenet.

article-title

Миллионы устройств Apple уязвимы для хакеров

article-title

Уязвимости в РСУ ABB могут привести к сбоям в промышленной среде

Уязвимости позволяют удаленно выполнить код, вызвать отказ в обслуживании и повысить привилегии.

article-title

Взломать учетную запись Microsoft Teams можно было с помощью GIF

Microsoft исправила опасную уязвимость, позволявшую получать доступ к чужим учетным записям Microsoft Teams.

article-title

Обзор уязвимостей за неделю: 24 апреля 2020 года

Было обнаружено множество уязвимостей удаленного выполнения кода в различных программах.

article-title

Apple не нашла следов эксплуатации «0day-уязвимостей» в iOS в реальных атаках

Компания не отрицает наличия в iOS уязвимостей, но сомневается в том, что их уже эксплуатируют киберпреступники.

article-title

АНБ опубликовало инструменты для выявления web-оболочек на серверах

Спецслужбы США и Австралии привлекли внимание компаний к обычно упускаемому из виду вектору атак через web-оболочки.

article-title

Microsoft выпустила внеплановые обновления для уязвимостей в Office и Paint 3D

Уязвимости были обнаружены в 3D-библиотеке Autodesk для файлов FBX.

article-title

Представлен способ превращения антивирусов в инструмент для самоуничтожения

Сделать антивирусное ПО бесполезным можно с помощью символических ссылок.

article-title

Для четырех неисправленных уязвимостей в IBM IDRM опубликованы PoC-эксплоиты

Исследователь решил раскрыть уязвимости после того, как IBM не приняла его отчет, поданный по всем правилам через CERT/CC.

article-title

Хакеры заражают больницы вымогательским ПО с помощью учетных данных AD

Заполучив учетные данные, злоумышленники проникают в сетевую среду организации через уязвимые установки Pulse Secure VPN.

article-title

Обзор уязвимостей за неделю: 17 апреля 2020 г.

За последнюю неделю был обнаружен ряд уязвимостей в различных программах, включая продукты Microsoft, Adobe и Oracle.

article-title

Две ранее неизвестные уязвимости в Zoom выставлены на продажу

Уязвимости позволяют подглядывать за чужими видеозвонками.

article-title

Уязвимость в OnePlus 7 Pro позволяет похитить отпечатки пальцев

Хотя уязвимость сложно проэксплуатировать, она проливает свет на более серьезную проблему.