Уязвимость – недостаток в компьютерной системе, использование которого, приводить к нарушению целостности системы и некорректной работе. Уязвимость появляются в результате ошибок программирования, недостатков, которые допускались при проектировании системы, ненадежных паролей, вредоносных программ, скриптовых и SQL-инъекций.
Уязвимость позволяет атакующему нарушить корректную работу приложения, к примеру, с помощью внедрения данных незапланированным способом; выполнения команды на системе, на которой выполняется данное приложение; или, используя упущение, которое позволяет получить доступ к памяти для выполнения кода на уровне привилегий программы. Запись данных в буфер, без проверки его границ, приводит к переполнению буфера и как результат происходит выполнение произвольного кода. Это также является уязвимостью. В результате недостаточной проверки данных, вводимых пользователем, возникает уязвимость, которая позволяет напрямую выполнить SQL (SQL-инъекции).
Уязвимости были обнаружены во всех основных операционных системах, включая Microsoft Windows, Mac OS, UNIX и OpenVMS.
17 Июня, 2021
Уязвимость в Instagram позволяла просматривать закрытые страницы без подписки на них
Обнаруживший проблем исследователь безопасности получил $30 тыс. в рамках программы выплаты вознаграждений.
16 Июня, 2021
Уязвимости в Schneider PowerLogic позволяют вызвать сбой в работе устройств
Пять проблем являются опасными и связаны с некорректной проверкой входных данных.
16 Июня, 2021
Хакеры могли удаленно захватывать контроль над велотренажерами Peloton Bike+
Злоумышленники могли загружать поддельный образ загрузки, предоставляющий удаленный доступ к велотренажеру без ведома пользователя.
16 Июня, 2021
Миллионы подключенных к интернету камер видеонаблюдения уязвимы к перехвату видео
Проблема затрагивает пиринговый SDK ThroughTek от стороннего производителя.
15 Июня, 2021
В рамках проекта Open Bug Bounty обнаружено свыше 1 млн уязвимостей
В настоящее время эксперты помогли исправить 626 518 уязвимостей в различных продуктах и решениях.
15 Июня, 2021
В 1 квартале 2021 года число атак на VPN-устройства выросло на более чем 1000%
Вместе с тем, специалисты отмечают спад активности вредоносного ПО, ботнетов и прочих угроз.
11 Июня, 2021
Старая уязвимость в PolKit позволяет повысить права до уровня суперпользователя
Уязвимыми являются дистрибутивы RHEL 8, Fedora 21, Debian "Bullseye", Ubuntu 20.04 и пр.
11 Июня, 2021
Хакеры распространяют вредоносы через изображения на страницах аккаунтов Steam
Заражение вредоносом происходит даже в том случае, если у пользователя нет учетной записи Steam.
9 Июня, 2021
Яндекс повысил вознаграждение за найденные в сервисах уязвимости
Компания «Яндекс» заплатит до 750 тыс. рублей за сообщения об уязвимости в своих продуктах по программе «Охота за ошибками».
8 Июня, 2021
Microsoft исправит уязвимость в Office, уходящую корнями в устаревший код
Уязвимость может быть проэксплуатирована с помощью лишь открытия файла Excel, доставленного через ссылку или электронную почту.
3 Июня, 2021
LTE USB-донглы Huawei уязвимы к атакам повышения привилегий
Опасная уязвимость позволяет злоумышленникам заменять легитимный файл вредоносным кодом.
2 Июня, 2021
Промышленные сетевые коммутаторы от ряда производителей содержат 5 одних и тех же уязвимостей
Уязвимости присутствуют в прошивке от тайваньской компании Korenix Technology.
2 Июня, 2021
Уязвимость в антивирусном ПО позволяет обходить защиту от вымогателей
Описанные исследователями атаки направлены на обход функции защищенных папок и отключение защиты путем имитации щелчка мыши.
2 Июня, 2021
Zerodium готова заплатить $100 тыс. за уязвимость нулевого дня в Pidgin
Хотя Pidgin является вполне легальным ПО, интерес к нему со стороны Zerodium, вероятнее всего, объясняется его популярностью среди хакеров.
1 Июня, 2021
Из-за ошибки в почтовом инструменте пользователи Accellion FTA не получили уведомления об атаках
Немногие клиенты Accellion своевременно узнали о патчах, поэтому большинство установок оставались открытыми для хакеров на все зимние праздники.
28 Мая, 2021
APT-группа атаковала муниципальное правительство в США через установку Fortinet
Хакеры проэксплуатировали уязвимости в Fortinet с для доступа к web-серверу, на котором размещен домен муниципального правительства.
27 Мая, 2021
В чипах Apple M1 обнаружена первая уязвимость
Обнаруживший проблему исследователь опасается переоценки своего открытия.
27 Мая, 2021
Новые техники позволят менять содержимое сертифицированных PDF-документов
В обычных условиях попытка изменения содержимого документа сразу же обнаруживается, но при использовании новых техник этого не происходит.
26 Мая, 2021
В Nginx исправлена критическая уязвимость
Уязвимость в резолвере Nginx позволяет злоумышленнику получить полный контроль над атакуемой системой.
25 Мая, 2021
Уязвимости в Bluetooth позволяют злоумышленникам имитировать легитимные устройства
Атака BIAS позволяет устанавливать с атакуемым устройством безопасное Bluetooth-соединение в обход механизма аутентификации.
24 Мая, 2021
Исследователи взломали бортовую развлекательную систему «Боинга-747»
Взломать систему оказалось намного сложнее, чем исследователи предполагали вначале.
23 Мая, 2021
Червеобразная уязвимость в Windows IIS также затрагивает серверы WinRM
Уязвимость ставит предприятия под угрозу атак вымогательского ПО.
19 Мая, 2021
В автомобилях Mercedes-Benz обнаружены уязвимости
Четыре проблемы являются критическими и их эксплуатация позволяет удаленно выполнить код.
18 Мая, 2021
Наибольшим спросом у хакеров пользуются эксплоиты для старых версий ПО от Microsoft
Почти половина от всех эксплоитов, на которые существует наибольший спрос, предназначены для уязвимостей, которым как минимум три года.
17 Мая, 2021
Опубликован PoC-код для эксплуатации уязвимости в Windows IIS
Уязвимость позволяет отправить специально сформированный пакет и выполнить вредоносный код в ядре операционной системы.
17 Мая, 2021
Технология SEV для защиты процессоров AMD уязвима к двум новым атакам
Атаки через уязвимости SEVurity и undeSErVed работают против ЦП AMD, защищенных с помощью не только SEV, но и SEV-ES.
13 Мая, 2021
Ученый обнаружил уязвимость в универсальной машине Тьюринга – какие выводы можно сделать?
С помощью уязвимости эксперт запустил на машине Минского произвольный код.
7 Мая, 2021
Уязвимость tsuNAME может использоваться для осуществления DDoS-атак на ключевые DNS-серверы
Если зарегистрировать достаточное количество рекурсивных DNS-серверов, можно осуществлять DDoS-атаки на авторитативные DNS-серверы.
6 Мая, 2021
Пентагон расширил свою программу раскрытия уязвимостей
Теперь исследователи могут сообщать об уязвимостях во всех общедоступных сетях Пентагона, в том числе в системах радиосвязи, IoT и АСУ ТП.
5 Мая, 2021
В драйвере Dell DBUtil исправлена уязвимость 12-летней давности
Эксплуатация проблемы позволяет получить доступ к функциям драйвера и выполнить вредоносный код с привилегиями уровня SYSTEM и ядра.
5 Мая, 2021
Уязвимости 21Nails затрагивают 60% от всех почтовых серверов в Сети
С помощью уязвимостей хакеры могут захватить контроль над сервером и перехватывать или взаимодействовать с проходящими через него письмами.
4 Мая, 2021
В iOS, macOS, iPadOS, tvOS и watchOS исправлено четыре уязвимости нулевого дня
Уязвимости затрагивают движок для рендеринга web-страниц WebKit, являющийся ключевым компонентом браузера Safari.
4 Мая, 2021
Опубликован PoC-эксплоит для одной из уязвимостей в Microsoft Exchange
Эксплуатация проблемы позволяет удаленным злоумышленникам выполнить код на уязвимых устройствах.
3 Мая, 2021
Новые атаки на кэш микроопераций обходят механизмы защиты от Spectre
Уязвимость затрагивает миллиарды компьютеров, и ее будет намного сложнее исправить, чем предыдущие уязвимости Spectre.
30 Апреля, 2021
Уязвимости в SonicWall эксплуатировались для заражения вымогателем FiveHands
Хакеры эксплуатировали уязвимость до того, как она была исправлена производителем в феврале 2021 года.
30 Апреля, 2021
Пять федеральных агентств США были взломаны через уязвимости в Pulse Connect Secure
О возможных атаках через уязвимости в Pulse Connect Secure агентство CISA предупредило еще на прошлой неделе.
28 Апреля, 2021
Уязвимость в ядре Linux прокладывает путь для дальнейших кибератак
Уязвимость позволяет обходить KASLR и раскрывать данные в стеке ядра.
26 Апреля, 2021
Хакеры атакуют корпоративные сети через серверы для обмена файлами FileZen
Данная кампания очень похожа на атаки через уязвимости в решении для обмена файлами Accellion FTA в декабре 2020 года.
24 Апреля, 2021
Уязвимость в Apple AirDrop затрагивает 1,5 млрд устройств
«Дыра безопасности» позволяет хакерам получат номер телефона пользователя и его почтовый адрес.
23 Апреля, 2021
Новый вымогатель Qlocker атакует сетевые хранилища QNAP
Производитель сетевых хранилищ настоятельно рекомендовал пользователям установить обновления для трех своих приложений.
22 Апреля, 2021
Университету Миннесоты запретили участвовать в развитии Linux из-за спорных патчей
Специалисты университета в экспериментальных целях внедрили в ядро Linux ряд уязвимостей.
22 Апреля, 2021
Хакеры начали эксплуатировать уязвимость в продуктах Trend Micro
Уязвимость в Apex One и OfficeScan XG была исправлена в августе 2020 года, но хакеры активно используют ее в атаках.
21 Апреля, 2021
Google исправила очередную уязвимость нулевого дня в Chrome
CVE-2021-21224 является уже четвертой по счету уязвимостью нулевого дня в Chrome, обнаруженной в нынешнем году.
21 Апреля, 2021
Microsoft частично исправила уязвимость в Windows 7 и Server 2008
С помощью уязвимости атакующие могут выполнить произвольный код с привилегиями LocalSystem.
21 Апреля, 2021
Киберпреступники атаковали организации США и Европы через 0-day в Pulse Connect Secure
В общей сложности эксперты идентифицировали 12 семейств вредоносного ПО, связанных с атаками на Pulse Secure VPN.
21 Апреля, 2021
Хакеры эксплуатируют три уязвимости 0-day в SonicWall ES
Производитель выпустил исправления для уязвимостей, но рассказал о них только спустя неделю.
20 Апреля, 2021
Уязвимости в аэрофритюрницах Cosori могут испортить обед
Уязвимости позволяют злоумышленникам менять температуру, время приготовления и настройки аэрофритюрницы.
19 Апреля, 2021
Valve устранила уязвимость, позволяющую украсть пароль от Steam
Valve исправила уязвимость, которая позволяла злоумышленникам получить доступ к личной информации пользователя Steam, в том числе к паролю от аккаунта.
19 Апреля, 2021
Пробелы в контроле доступа к IoT-устройствам подвергают пользователей риску атак
Одна из проблем позволяет продлевать доступ к устройству после удаления временных разрешений.
17 Апреля, 2021
Уязвимость в WhatsApp для Android позволяет похищать данные с карт памяти
К атакам уязвимы устройства, работающие под управлением версии Android 10 и более ранних.
16 Апреля, 2021
Google Project Zero даст производителям еще 30 дней на внедрение патчей
Google Project Zero будет ждать 30 дней, прежде чем раскрывать технические подробности об уязвимостях, исправленных в 90-дневный срок.
16 Апреля, 2021
Спецслужбы США опубликовали топ-5 уязвимостей из арсенала русских хакеров
Хакеры используют их с целью похищения учетных данных для дальнейших взломов компаний и правительственных учреждений.
16 Апреля, 2021
Опубликован второй на этой неделе эксплоит для Chrome и Edge
Уязвимость затрагивает движок V8 и уже исправлена в его исходном коде, но исправление пока еще не интегрировано с браузерами.
14 Апреля, 2021
Хакеры устанавливают майнеры Monero через уязвимости ProxyLogon в Microsoft Exchange
Кошелек хакеров стал получать криптовалюту 9 марта, всего через несколько дней после того, как стало известно об уязвимостях в Microsoft Exchange.
13 Апреля, 2021
Миллионам пользователей WhatsApp грозит блокировка аккаунтов
У хакеров есть возможность деактивировать аккаунт пользователя WhatsApp посредством многократного запрашивания проверочного кода для входа в учетную запись.
13 Апреля, 2021
Эксперт проэксплуатировал уязвимость в браузере электрокара Tesla Model 3
Исследователь рассказал, как ему удалось проэксплуатировать известную уязвимость (CVE-2020-6418) в браузере на базе Chromium.
13 Апреля, 2021
Опубликован PoC-эксплоит для выполнения кода в Chrome, Edge, Opera и Brave
PoC-эксплоит разработан для уязвимости в Chromium, эксплуатировавшейся на недавних соревнованиях Pwn2Own.
12 Апреля, 2021
Zerodium утроила оплату за уязвимости в WordPress
За эксплоиты для уязвимостей в чистых установках WordPress с конфигурацией по умолчанию компания предлагает $300 тыс.
9 Апреля, 2021
Хакеры готовят мощные кибератаки на россиян в период майских праздников
В текущем месяце в даркнете был продан доступ к коммутатору одного из операторов связи.
8 Апреля, 2021
Уязвимость в Domain Time II ставит под угрозу огромное количество компаний
Проблема затрагивает все версии Domain Time II, начиная с 2007 года.
4 Апреля, 2021
Власти США предупредили об атаках APT-групп через уязвимости в Fortinet FortiOS VPN
Уязвимости позволяют неавторизованному хакеру похищать учетные данные и подключаться к уязвимым VPN.
29 Марта, 2021
Новые уязвимости позволяют обойти защиту от Spectre на Linux-системах
Уязвимости позволяют обойти защиту за счет использования поддержки ядром Linux расширенных модулей eBPF.
26 Марта, 2021
Уязвимости в OpenSSL позволяют манипулировать сертификатами и вызывать DoS серверов
Во избежание эксплуатации уязвимостей хакерами пользователям рекомендуется установить версию OpenSSL 1.1.1k.
26 Марта, 2021
В SolarWinds Orion исправлены очередные уязвимости
Две исправленные уязвимости позволяют удаленно выполнить код.
23 Марта, 2021
Исправленная в январе уязвимость в Android эксплуатируется хакерами
Хотя для эксплуатации уязвимости требуется физический доступ к устройству, хакеров это не останавливает.
21 Марта, 2021
Зафиксированы первые успешные атаки через исправленную уязвимость в F5 BIG-IP и BIG-IQ
Эксплуатируемая хакерами критическая уязвимость была исправлена ранее в этом месяце.
19 Марта, 2021
Google сообщила о загадочной хакерской кампании с использованием уязвимостей 0-day
Вредоносная операция была направлена сразу на пользователей платформ Android, iOS, и Windows.
18 Марта, 2021
Чилийский финансовый регулятор опубликовал IOC для уязвимостей ProxyLogon
Комиссия по финансовому рынку Чили пополнила многочисленный список жертв атак на серверы Microsoft Exchange.
18 Марта, 2021
Хакер опубликовал уязвимость в вымогательском ПО LockBit
Разработчики LockBit исправят уязвимость, тем самым лишив экспертов возможности создать бесплатный декриптор.
16 Марта, 2021
Уязвимости в Microsoft Exchange используются для установки web-оболочек China Chopper
Web-оболочки могут использоваться для удаленного администрирования, кражи учетных данных или загрузки вредоносного ПО.
16 Марта, 2021
В Microsoft Office 365 обнаружены две критические уязвимости
Эксплуатация уязвимостей позволяет злоумышленникам полностью обойти процесс аутентификации.
15 Марта, 2021
15-летние уязвимости в Linux позволяют хакерам заполучить права суперпользователя
С помощью уязвимостей локальные атакующие могут обойти функции безопасности.
15 Марта, 2021
Новый шифровальщик DearCry заражает Microsoft Exchange через уязвимости ProxyLogon
Судя по всему, атаки начались до публикации в открытом доступе PoC-эксплоита для уязвимостей.
14 Марта, 2021
Два россиянина требуют от Apple вознаграждение за найденную в Face ID уязвимость
Компания Apple отказывается выплачивать вознаграждение в $1 млн за взлом Face ID, на которое претендуют двое жителей Екатеринбурга.
13 Марта, 2021
WSJ: Партнеры Microsoft возможно причастны к кибератаке на Exchange
Партнеры Microsoft могли предоставить предполагаемым хакерам данные для осуществления кибератаки с использованием уязвимости в Exchange Server
12 Марта, 2021
Современные интим-игрушки представляют угрозу безопасности
Учитывая появление большого количества новых брендов на рынке интимных товаров, необходимо уделить внимание их безопасности.
10 Марта, 2021
Microsoft исправила уязвимость 0-day в IE в рамках мартовских обновлений безопасности
Компания исправила 82 уязвимости в своих продуктах, в том числе уязвимость в Windows Win32k, которую изначально не хотела исправлять.
10 Марта, 2021
Github устранил серьезную уязвимость в безопасности сайта
Из-за этой ошибки некоторая часть аутентифицированных пользователей могла получить доступ к чужому сеансу.
5 Марта, 2021
Для уязвимости SIGRed опубликован первый PoC-эксплоит для удаленного выполнения кода
PoC-эксплоиты для SIGRed публиковались и ранее, но они позволяли только вызывать отказ в обслуживании.
4 Марта, 2021
Власти США обязали федеральные управления исправить уязвимость в Microsoft Exchange
Как минимум одна уязвимость в Microsoft Exchange активно эсплуатируется несколькими кибершпионскими группировками.
4 Марта, 2021
Уязвимость за $50 тыс. позволяла взломать любую учетную запись Microsoft
Уязвимость позволяла с помощью брутфорса подобрать код , отправляемый пользователю в процессе смены пароля.
3 Марта, 2021
Microsoft выпустила экстренные патчи для четырех уязвимостей 0-day в Exchange
Уязвимости уже активно эксплуатируются китайской APT-группировкой Hafnium
2 Марта, 2021
На VirusTotal обнаружены рабочие Linux- и Windows-эксплоиты для уязвимости Spectre
Эксплоиты позволяют непривилегированным пользователям извлекать из памяти ядра хеши LM/NT и файл /etc/shadow.
26 Февраля, 2021
Получите практические навыки реверс-инжиниринга
"Otus онлайн образование" в марте подготовил серию бесплатных вебинаров.
25 Февраля, 2021
Для высокоопасной уязвимости в VMware vCenter опубликован PoC-эксплоит
Исследователь опубликовал PoC-эксплоит сразу же после выхода исправления, не дав компаниям времени на его развертывание.
25 Февраля, 2021
Уязвимость в Twitter позволяет маркировать произвольные твиты как утечки
Проблема воспроизводится как в iOS- и Android-приложениях Twitter, так и в web-версии.
24 Февраля, 2021
Эксперты установили, кто стоит за атаками на пользователей Accellion FTA
Атаки на ПО для обмена файлами начались в декабре 2020 года и привели к компрометации данных, принадлежащих клиентам Accellion.
20 Февраля, 2021
Браузер Brave оставляет следы onion-адресов в DNS-трафике
В режиме Tor браузер Brave отправляет запросы доменов .onion не на узлы Tor, а на публичные DNS-резолверы.
18 Февраля, 2021
В QNAP Surveillance Station исправлена критическая уязвимость
Уязвимость позволяет удаленно выполнить вредоносный код на сетевом хранилище с уязвимой версией приложения.
15 Февраля, 2021
На смартфоны Samsung можно устанавливать стороннее ПО с правами администратора
Исследователь безопасности обнаружил в смартфонах Samsung две уязвимости.
14 Февраля, 2021
Протокол Сream Finance взломан хакерами, украдено $37,5 млн.
Известно, что хакер воспользовался уязвимостью технологии моментальных или флеш-кредитов, однако подробности взлома уточняются.
12 Февраля, 2021
Accellion объявила о прекращении поддержки ПО, использовавшегося в кибератаках
В декабре прошлого года хакеры атаковали компании по всему миру через уязвимость нулевого дня в Accellion FTA.
10 Февраля, 2021
Microsoft исправила более полусотни уязвимостей, в том числе уязвимость нулевого дня
Уязвимость 0-day позволяет злоумышленникам или вредоносному ПО повышать свои привилегии до уровня администратора.
7 Февраля, 2021
Google запустила программу отслеживания уязвимостей в открытом ПО
Компания Google запустила новый сервис OSV (Open Source Vulnerabilities), предлагающий доступ к базе данных с информацией об уязвимостях в открытом ПО.
5 Февраля, 2021
В Google Chrome исправлена уязвимость нулевого дня
Уязвимость, вероятнее всего, эксплуатировалась северокорейскими хакерами в атаках на ИБ-экспертов.
5 Февраля, 2021
В Wi-Fi-модулях Realtek исправлены опасные уязвимости
Модули подвержены уязвимостям переполнения буфера и чтения за границами выделенной области памяти.
3 Февраля, 2021
Старая уязвимость в Sudo также затрагивает последнюю версию macOS
Эксплуатация уязвимости позволяет злоумышленникам с доступом к локальной системе получить права суперпользователя.
2 Февраля, 2021
Опасная уязвимость в Libgcrypt затрагивает многие дистрибутивы Linux
Уязвимость позволяет атакующему удаленно выполнить код на системе.
2 Февраля, 2021
Хакеры могут взломать компьютеры пользователей через Cyberpunk 2077
Модификации популярной игры Cyberpunk 2077 позволяют хакерам получить доступ к персональному компьютеру пользователя через дополнительные файлы
1 Февраля, 2021
Новый червь атакует серверы Apache, Oracle, Redis с целью майнинга криптовалют
Группировка Rocke продолжает атаковать необновленные серверы через старые известные уязвимости.
1 Февраля, 2021
Машинное обучение прокладывает новый путь для поиска SQLi-уязвимостей
Эксперты использовали обучение с подкреплением для автоматизации процесса эксплуатации SQLi-уязвимостей.
27 Января, 2021
10-летний баг в Sudo позволяет пользователям Linux получить права суперпользователя
С его помощью пользователь с низкими привилегиями может получить права суперпользователя, даже если его учетной записи нет в /etc/sudoers.
27 Января, 2021
Apple исправила три уязвимости нулевого дня в iOS, iPadOS и tvOS
Хакеры могут эксплуатировать эти уязвимости в связке для осуществления атак watering hole.
26 Января, 2021
Новая уязвимость TikTok позволяет собирать личные данные пользователей
Уязвимость позволит злоумышленникам получать доступ к личным данным в профилях пользователей, в том числе к номеру телефона.
26 Января, 2021
Экс-участник LulzSec опубликовал эксплоит для уязвимости в SonicWall VPN
Уязвимость эксплуатировалась хакером Phineas Fisher для взлома Hacking Team.
25 Января, 2021
Исследователь запустил сайт для публикации уязвимостей в вредоносном ПО
На сайте представлены названия вредоносов, подробные технические описания уязвимостей и PoC-эксплоиты.
24 Января, 2021
Хакеры атаковали производителя SonicWall через 0-day уязвимость в его же VPN-продуктах
Злоумышленники проэксплуатировали уязвимость в VPN-устройстве Secure Mobile Access и VPN-клиенте NetExtender.
22 Января, 2021
Три уязвимости в SolarWinds Orion позволяют удаленное выполнение кода
Одна из уязвимостей (CVE-2020-14005) использовалась в недавней атаке SUNBURST на компанию SolarWinds.
22 Января, 2021
В открытом доступе опубликован эксплоит для получения прав суперпользователя в SAP
Эксплоит является полнофункциональным и предназначен для уязвимости в SAP SolMan (CVE-2020-6207).
20 Января, 2021
Уязвимости в популярных мессенджерах позволяли шпионить за пользователями
Баги в Signal, Google Duo и Facebook Messenger позволяли устройству вызываемого абонента передавать аудио до того, как он ответит на звонок.
20 Января, 2021
Уязвимости в Dnsmasq позволяют осуществлять атаку «отравление кеша DNS»
В общей сложности исследователи выявили в ПО Dnsmasq семь уязвимостей, объединенных под названием DNSpooq.
19 Января, 2021
Баг в Windows 10 вызывает синий экран смерти, если открыть определенный путь
При введении пути в адресную строку браузера незамедлительно происходит аварийное завершение работы Windows 10.
18 Января, 2021
Принудительное развертывание патча для уязвимости Zerologon начнется в феврале
С помощью Zerologon хакеры могут повысить привилегии до администратора домена и захватить контроль над доменом.
18 Января, 2021
Олимпиаду первого уровня можно взломать всего за секунду
Уязвимости на сайте одной из самых популярных олимпиад первого уровня позволяют подделать результаты.
15 Января, 2021
TikTok собирал MAC-адреса через уязвимость в Android
С помощью техники, замаскированной с использованием дополнительного слоя шифрования, TikTok обходил механизмы безопасности в Android.
13 Января, 2021
Раскрыта сложная вредоносная кампания против пользователей Android и Windows
В ходе кампании злоумышленники эксплуатировали как известные уязвимости, так и уязвимости нулевого дня.
13 Января, 2021
Microsoft исправила уязвимость нулевого дня в Microsoft Defender
В рамках первого в нынешнем году «вторника исправлений» Microsoft исправила 83 уязвимости в своих продуктах.
7 Января, 2021
Обнаружена серьезная уязвимость в Samsung Galaxy Note 20
Из-за «ненормального поведения» сканера отпечатков пальцев в смартфонах серии Galaxy Note20, смартфон мог разблокировать любой посторонний человек, просто отсканировав свой палец.
6 Января, 2021
Уязвимость в Telegram позволяет определить местонахождение пользователя
Популярный мессенджер Telegram содержит уязвимость, благодаря которой можно определить точное местонахождение пользователя.
2 Января, 2021
Более 100 000 межсетевых экранов и VPN-шлюзов Zyxel содержат встроенный бэкдор
Уязвимости подвержено множество популярных продуктов Zyxel из линейки устройств бизнес-класса, обычно развертываемых в частных корпоративных и государственных сетях.
29 Декабря, 2020
Уязвимость в Документах Google позволяла просматривать чужие документы
Уязвимость позволяла похищать из сервиса Документы Google скриншоты документов, просто встроив их в вредоносный сайт.
24 Декабря, 2020
Недоисправленная 0-day уязвимость в Windows получила новый PoC-эксплоит
Уязвимость, для которой еще в июне был выпущен патч, по-прежнему может эксплуатироваться в атаках.
23 Декабря, 2020
Более 7 млн устройств открыты к атакам с использованием похищенных инструментов FireEye
Инструменты FireEye эксплуатируют 16 уязвимостей в продуктах Pulse Secure, Microsoft, Fortinet, Citrix и Adobe.
23 Декабря, 2020
Опасные уязвимости в стеке Treck TCP/IP затрагивают миллионы IoT-устройств
С помощью уязвимостей злоумышленники могут запускать произвольные команды и вызывать отказ в обслуживании.
23 Декабря, 2020
Китай использовал похищенные данные для раскрытия агентурной сети ЦРУ
Десять лет назад между Пекином и Вашингтоном началась борьба за глобальный контроль над данными.
18 Декабря, 2020
В 2020 году US-CERT задокументировала рекордные 17 447 уязвимостей
Четвертый год подряд US-CERT фиксирует рекордное количество уязвимостей.
16 Декабря, 2020
За год пандемии существенно возросло число отчетов об уязвимостях
Активизация хакеров в период пандемии COVID-19 заставила компании увеличить вознаграждение за сообщения об уязвимостях.
16 Декабря, 2020
Миллионы уязвимых OT- и IoT-устройств представляют угрозу для критической инфраструктуры
Львиная доля использующихся на предприятиях OT- и IoT-устройств все еще уязвима к URGENT/11 и CDPwn.
14 Декабря, 2020
Хакеры взламывают WordPress-сайты через уязвимость в плагине Easy WP SMTP
Версия Easy WP SMTP 1.4.2 и более ранние сохраняют в папке установки журнал отладки для всех отправленных сайтом электронных писем.
10 Декабря, 2020
D-Link исправила опасные уязвимости в своих VPN-маршрутизаторах
Исправления представлены в виде «горячих» патчей, а официальный релиз обновления для прошивки запланирован на середину декабря.
9 Декабря, 2020
Microsoft выпустила декабрьские плановые обновления безопасности
Декабрьский набор патчей исправляет 58 уязвимостей, 9 из которых обозначены как критические.
8 Декабря, 2020
Русские хакеры эксплуатируют недавно исправленную уязвимость в продуктах VMware
Злоумышленники эксплуатируют уязвимость в атаках на организации с целью похищения конфиденциальных данных.
8 Декабря, 2020
Опасные уязвимости в миллионах IoT-устройств никогда не будут исправлены
Уязвимости под общим названием Amnesia:33 затрагивают миллионы устройств от 150 производителей.
3 Декабря, 2020
Ботнет DarkIRC активно атакует серверы Oracle WebLogic
Многофункциональное вредоносное ПО DarkIRC доступно в даркнете всего за $75.
2 Декабря, 2020
В ближайшее время ожидается рост числа атак с использованием контейнеров Docker
Из 4 млн проанализированных образов в Docker Hub 51% содержит опасные уязвимости.
26 Ноября, 2020
Платформа 0patch выпустила временный патч для уязвимости в Windows 7 и Server 2008 R2
С помощью уязвимости локальный атакующий может повысить свои привилегии и в итоге выполнить код.
25 Ноября, 2020
Двухфакторную аутентификацию в cPanel можно обойти
В ПО cPanel исправлена опасная уязвимость, помогающая злоумышленникам взломать управляемые с его помощью сайты.
24 Ноября, 2020
Уязвимость в продуктах VMware позволяет скомпрометировать систему
Для критической уязвимости в продуктах VMware представлено временное исправление.
23 Ноября, 2020
Хакер опубликовал эксплоиты для 50 тыс. уязвимых VPN-устройств Fortinet
Все устройства подвержены известной и уже исправленной уязвимости обхода каталога в Fortinet FortiOS SSL VPN (CVE-2018-13379).
20 Ноября, 2020
Эксперты прогнозируют увеличение числа атак на пользователей Chrome
Большая часть пользователей работает с устаревшими версиями Chrome, содержащими недавно раскрытие уязвимости нулевого дня.
20 Ноября, 2020
Android-мессенджер со 100 млн загрузок раскрывает пересылаемые медиафайлы
Обнаружившие уязвимость исследователи неоднократно пытались связаться с разработчиком, но безуспешно.
19 Ноября, 2020
Хакеры массово сканируют интернет в поисках WordPress-сайтов с уязвимыми темами
Хакеры могут проэксплуатировать связку недавно исправленных уязвимостей в Epsilon Framework, удаленно выполнить код и получить контроль над сайтом.
19 Ноября, 2020
Microsoft исправила опасную уязвимость в более неподдерживаемой Windows 10 1809
Накопительное обновление KB4594442 исправляет проблему с аутентификацией Kerberos и продлением мандатов.
18 Ноября, 2020
Эксперты предупредили о рисках подключения Tesla Backup Gateway к интернету
По словам исследователей, открытые подключения могут использоваться злоумышленниками для нарушения конфиденциальности пользователей.
13 Ноября, 2020
Уязвимости в смарт-контрактах Ethereum могут привести к потере миллионов долларов
Уязвимости позволяют манипулировать кодом и похитить максимально возможные суммы за короткий период времени.
12 Ноября, 2020
Google исправила еще две уязвимости нулевого дня в Chrome
Это уже четвертая и пятая уязвимости нулевого дня в Chrome, исправленные Google за последние несколько недель.
11 Ноября, 2020
Ноябрьские обновления безопасности Microsoft исправляют 0-day в Windows
Уязвимость существует в ядре Windows и затрагивает все поддерживаемые версии ОС.
6 Ноября, 2020
Apple исправила три уязвимости нулевого дня в iOS и macOS
Эксплуатация уязвимостей в атаках аналогична недавно раскрытым уязвимостям нулевого дня в Windows и Chrome.
5 Ноября, 2020
Cisco сообщила об опасной уязвимости в AnyConnect Secure Mobility Client
Для уязвимости уже доступен PoC-эксплоит, но Cisco еще только работает над ее исправлением.
3 Ноября, 2020
Хакеры UNC1945 взламывали сети компаний через 0-day в Oracle Solaris
По мнению специалистов, группировка приобрела эксплоит для уязвимости CVE-2020-14871 на черном рынке.
3 Ноября, 2020
Oracle выпустила внеплановое обновление для WebLogic Server
Внеплановое обновление исправляет критическую уязвимость, уже эксплуатирующуюся киберпреступниками.
3 Ноября, 2020
Google исправила вторую за две недели уязвимость нулевого дня в Chrome
Согласно журналу изменений, проблема затрагивает V8 – компонент для обработки JavaScript-кода.
2 Ноября, 2020
CERT запустил Twitter-бот, который будет давать уязвимостям случайные названия
Специалисты пытаются уменьшить количество сенсационных названий уязвимостей, пугающих пользователей.
29 Октября, 2020
Экспертам удалось извлечь ключ шифрования для микрокода в ЦП Intel
Имея расшифрованное обновление, хакеры могут осуществить его реверс-инжиниринг и выяснить, как можно проэксплуатировать уязвимость.
29 Октября, 2020
Более 100 тыс. систем все еще уязвимы к SMBGhost
Многие уязвимые системы (22%) находятся на Тайване, а также в Японии (20%), России (11%) и США (9%).
27 Октября, 2020
Google работает над исправлением уязвимости в DRM-технологии Widevine
PoC-эксплоит для уязвимости в виде расширения для Google Chrome на Microsoft Windows доступен на Github.
27 Октября, 2020
Эксперты вычислили автора популярных эксплоитов по почерку
В общей сложности специалисты выявили пять эксплоитов авторства PlayBit, имеющие общие черты.
26 Октября, 2020
Великобритания тайно атаковала российских лидеров
По словам бывшего члена британского Кабмина, у Москвы тоже есть уязвимости, которые можно проэксплуатировать.
22 Октября, 2020
Операторы бэкдора SLUB шпионят за пользователями через взломанные сайты
Обнаружена новая вредоносная кампания watering hole под названием Operation Earth Kitsune.
22 Октября, 2020
Команда WordPress пошла на крайние меры для исправления уязвимости в плагине
Уязвимости в плагине Loginizer позволяют осуществить SQL-инъекцию и захватить управление сайтом.
22 Октября, 2020
Хакеры активно атакуют корпоративные MDM-серверы MobileIron
Киберпреступники всех мастей эксплуатируют опасную уязвимость в MDM-решениях MobileIron, исправленную еще в июле.
21 Октября, 2020
7 мобильных браузеров уязвимы к спуфингу адресной строки
Уязвимости позволяют злоумышленникам подделать URL в адресной строке браузера и заманить жертву на вредоносный сайт.
21 Октября, 2020
АНБ США представило топ-25 эксплуатируемых китайскими хакерами уязвимостей
Большинство уязвимостей позволяют получить первоначальный доступ к атакуемым корпоративным сетям.
21 Октября, 2020
Google исправила уязвимость нулевого дня в Chrome
Уязвимость повреждения памяти в FreeType активно эксплуатируется хакерами в атаках на пользователей Chrome.
15 Октября, 2020
Для критической уязвимости в Windows 10 созданы PoC-эксплоиты
Киберкомандование США настоятельно рекомендует установить исправление для уязвимости Bad Neighbor.
14 Октября, 2020
В 2,2 тыс. виртуальных установок обнаружены 400 тыс. уязвимостей
Исследователи изучили продукты от 540 вендоров и присвоили им рейтинг безопасности.
14 Октября, 2020
Уязвимость в приставках Hindotech HK1 TV Box позволяет похищать пароли и переписку
Уязвимость существует из-за ненадлежащего контроля доступа к инструментам отладки.
14 Октября, 2020
Microsoft исправила ряд уязвимостей удаленного выполнения кода в своих продуктах
В рамках октябрьского «вторника исправлений» было исправлено 87 уязвимостей.
12 Октября, 2020
Российские хакеры вооружились уязвимостью Zerologon
Группировка TA505, она же Evil Corp, использует в своих атаках поддельные обновления для ПО.
9 Октября, 2020
Группа "белых хакеров" обнаружила в сервисах Apple 55 уязвимостей
Общая сумма вознаграждения за обнаруженные уязвимости составила 288000$.
8 Октября, 2020
Эксперты превратили пульт от телевизора в шпионское устройство
Исследователи модифицировали прошивку пульта XR11 таким образом, чтобы удаленно включать его микрофон.
7 Октября, 2020
Хакеры могут навсегда заблокировать подключенные к интернету пояса верности
Возможность вручную снять гаджет в случае его блокировки не предусмотрена.
6 Октября, 2020
Иранские хакеры активно эксплуатируют уязвимость ZeroLogon
Жертвами становятся крупные компании в странах Среднего Востока и Азии.
5 Октября, 2020
Ботнет Ttint эксплуатирует 0day-уязвимость в маршрутизаторах Tenda
Ttint на несколько порядков выше других ботнетов, обнаруженных в прошлом году.
5 Октября, 2020
Google набирает команду экспертов для аудита безопасности сторонних приложений
Новая команда займется поиском уязвимостей в сторонних критически важных приложениях из Google Play Store.
2 Октября, 2020
Дешевые смарт-розетки уязвимы ко взлому и могут самовозгореться
Специалисты изучили десять «умных» розеток от различных производителей и магазинов и нашли в них уязвимости.
28 Сентября, 2020
Twitter предупредила о потенциальной утечке ключей API
Портал developer.twitter.com давал браузерам инструкции создавать и сохранять в кэше копии ключей API и токенов доступа.
24 Сентября, 2020
Уязвимость Zerologon активно эксплуатируется в реальных атаках
Киберпреступники взяли на вооружение исправленную в прошлом месяце уязвимость в Windows Server.
23 Сентября, 2020
Обнаружен новый вектор эксплуатации опасной уязвимости в Citrix Workspace
Злоумышленники могут повышать привилегии на системе и удаленно выполнять произвольные команды с привилегиями SYSTEM.
23 Сентября, 2020
Уязвимость ZeroLogon затрагивает некоторые версии Samba
Уязвимость позволяет получить доступ к домену на уровне администратора.
16 Сентября, 2020
В решениях для управления мобильными устройствами от MobileIron исправлены уязвимости
Одна из уязвимостей позволяет удаленно выполнить произвольный код на сервере MobileIron.
14 Сентября, 2020
Исследователь два года молчал об уязвимости в Bitcoin в целях безопасности
Уязвимость в Bitcoin Core была обнаружена и исправлена в 2018 году, но широкая общественность узнала о ней только сейчас.
10 Сентября, 2020
Intel исправила высокоопасную уязвимость в AMT и ISM
Intel выпустила исправления для ряда уязвимостей в своих продуктах.
9 Сентября, 2020
Уязвимости в CodeMeter позволяют атаковать промышленные системы
Уязвимости могут эксплуатироваться удаленно без авторизации для осуществления DoS-атак или выполнения кода.
9 Сентября, 2020
Сентябрьский пакет обновлений исправляет более 120 уязвимостей в продуктах Microsoft
Компания устранила несколько десятков критических уязвимостей.
7 Сентября, 2020
На миллионы WordPress-сайтов обрушилась волна кибератак
Киберпреступники обнаружили уязвимость нулевого дня в популярном плагине File Manager.
5 Сентября, 2020
Власти США выпустили директиву защиты космических систем от хакерских атак
Разработчиков таких систем обяжут продумать механизмы защиты от глушения сигнала с помощью проверенных шифровальных систем и новейших передатчиков.
28 Августа, 2020
Выпуск огромного числа патчей в один день влечет риски и стресс для IT-команд
Команды безопасности вынуждены сортировать, тестировать и устанавливать патчи в короткое время.
