Security Lab

Уязвимость

Уязвимость – недостаток в компьютерной системе, использование которого, приводить к нарушению целостности системы и некорректной работе. Уязвимость появляются в результате ошибок программирования, недостатков, которые допускались при проектировании системы, ненадежных паролей, вредоносных программ, скриптовых и SQL-инъекций.

Уязвимость позволяет атакующему нарушить корректную работу приложения, к примеру, с помощью внедрения данных незапланированным способом; выполнения команды на системе, на которой выполняется данное приложение; или, используя упущение, которое позволяет получить доступ к памяти для выполнения кода на уровне привилегий программы. Запись данных в буфер, без проверки его границ, приводит к переполнению буфера и как результат происходит выполнение произвольного кода. Это также является уязвимостью. В результате недостаточной проверки данных, вводимых пользователем, возникает уязвимость, которая позволяет напрямую выполнить SQL (SQL-инъекции).

Уязвимости были обнаружены во всех основных операционных системах, включая Microsoft Windows, Mac OS, UNIX и OpenVMS.

article-title

В Windows и Linux появилась опция для защиты от Zombieload v2

В Windows и Linux реализована возможность отключения расширения TSX, делающего процессоры уязвимыми к атакам Zombieload v2.

article-title

В популярных VNC обнаружены многолетние уязвимости

Эксплуатация некоторых уязвимостей позволяла злоумышленникам удаленно выполнять код.
article-title

В BMC-контроллерах Intel исправлено 13 уязвимостей

Самая опасная уязвимость получила 9 из 10 баллов по шкале оценивания опасности.

article-title

В новых процессорах Intel Cascade Lake обнаружена уязвимость класса Zombieload

Как и первый вариант Zombieload, новая уязвимость базируется на технологии Microarchitectural Data Sampling.
article-title

В Internet Explorer исправлена уязвимость нулевого дня

Ноябрьские патчи от Microsoft исправляют 74 уязвимости, в том числе уязвимость нулевого дня.
article-title

Уязвимость в iOS 13 приводит к утечке данных из «Связки ключей»

Учетные данные пользователей, включивших «Семейный доступ» в iCloud, синхронизировались с устройствами членов их семей.

article-title

Хакеры могут зарабывать на продаже уязвимостей столько же, сколько ИБ-эксперты на программах bug bounty

Доход от киберпреступности оценивается в $1,5 трлн.
article-title

В медицинском оборудовании Medtronic обнаружены опасные уязвимости

Их эксплуатация позволяет злоумышленникам перезаписывать файлы и удаленно выполнять код.
article-title

Уязвимость в AsusWRT ставит жилье под угрозу ограбления

Уязвимость в AsusWRT позволяет посторонним получать доступ к подключенным к сети устройствам.

article-title

В Libarchive исправлена критическая уязвимость

Проблема затрагивает множество ОС и программ, содержащих Libarchive.
article-title

В Able2Extract Professional обнаружены две критические уязвимости

В PDF-инструменте Able2Extract Professional от компании Investintech обнаружены две серьезные уязвимости.
article-title

Отключение макросов в Microsoft Office для Mac подвергает пользователей угрозе атак

Эксплуатация уязвимости позволяет злоумышленнику удаленно выполнить код на целевой системе.
article-title

В Chrome исправлены две уязвимости, в том числе 0-day

Google решила не раскрывать технические подробности об уязвимостях до тех пор, пока большинство пользователей не установят обновление.
article-title

В игре Untitled Goose Game обнаружена критическая уязвимость

Уязвимость позволяет внедрять в игру вредоносный код и запускать его без ведома пользователей.

article-title

В оборудовании Rittal Chiller обнаружены уязвимости

Их эксплуатация позволяет отключить охлаждение и изменить заданное значение температуры.
article-title

Контейнеризация и червь Graboid
article-title

На Pwn2Own впервые разрешат взломать промышленное оборудование

Призовой фонд конкурса составит более $250 тыс.
article-title

В промышленных коммутаторах Moxa обнаружены критические уязвимости

Эксплуатация самых опасных уязвимостей позволяет удаленно выполнить код и перехватить контроль над устройством.
article-title

Уязвимость в PHP7 подвергает сайты риску удаленного взлома

Проблема распространяется только на NGINX-серверы с включенным PHP-FPM.
article-title

Новый способ отравления кэша позволяет атаковать защищенные CDN сайты

Проблема затрагивает такие популярные сети доставки контента (CDN), как Amazon CloudFront, Cloudflare, Fastly, Akamai и CDN77.
article-title

Антивирус Trend Micro можно использовать для запуска вирусов

В Trend Micro Anti-Threat Toolkit обнаружена уязвимость, позволяющая запускать вредоносное ПО на Windows-ПК.

article-title

Недавно выпущенные смарт-четки были взломаны за 15 минут

Уязвимость в приложении смарт-четок Click to Pray eRosary позволяла получить доступ к чужой учетной записи, зная лишь электронный адрес.

article-title

Порядка 2 тыс. HTTP-серверов Nostromo рискуют стать жертвами кибератак

Все версии Nostromo уязвимы к обходу каталога и выполнению произвольного кода.

article-title

4-летняя уязвимость позволяет полностью скомпрометировать Linux-системы

Исправление доступно пока только в виде патча.
article-title

В точках доступа Cisco Aironet обнаружена критическая уязвимость

Эксплуатация уязвимости позволяет неавторизованному злоумышленнику удаленно получить доступ к устройству.
article-title

В продуктах компании Oracle исправлено 219 уязвимостей

Более 140 уязвимостей могут быть проэксплуатированы удаленно неавторизованным злоумышленником.
article-title

Опубликован PoC-эксплоит для критической уязвимости в Android

Qu1ckR00t позволяет обойти защиту ядра, получить права суперпользователя и захватить полный контроль над устройством.
article-title

Уязвимость в sudo позволяет запускать на Linux-машинах команды с правами суперпользователя

Проблема возникает только при нестандартных настройках конфигурации и не затрагивает большинство Linux-серверов.
article-title

Опубликован список стран, уязвимых к атаке Simjacker

Исследователи рассказали, где может использоваться уязвимость Simjacker, и где уже используется.

article-title

Уязвимости в NTLM могут привести к полной компрометации домена

Уязвимости можно проэксплуатировать для релейной атаки, способной привести к компрометации сети и пользователей Active Directory.
article-title

Исправленная полтора года назад уязвимость Drupalgeddon2 используется в атаках

Злоумышленники по-прежнему активно эксплуатируют уязвимость для атак на крупные web-сайты.
article-title

В ПО Foxit PDF Reader исправлено 8 критических уязвимостей

Эксплуатация уязвимостей позволяет злоумышленнику удаленно выполнять произвольный код на целевых системах.
article-title

Уязвимость в WhatsApp позволяет получить доступ к устройству с помощью «гифки»

Все что нужно для атаки – создать вредоносный GIF-файл, отправить его жертве и дождаться, пока она его откроет в WhatsApp.
article-title

В VoIP-компонентах Android обнаружены опасные уязвимости

Исследователи впервые протестировали безопасность VoIP-компонентов Android.

article-title

В решениях для промышленной автоматизации Yokogawa исправлена опасная уязвимость

Эксплуатация уязвимости позволяет злоумышленнику локально выполнить вредоносный файл.
article-title

Уязвимость в OnApp позволяет захватить контроль над всеми серверами облачных провайдеров

Уязвимость в платформе OnApp позволяет злоумышленникам, получившим доступ лишь к одному серверу, захватить контроль над всеми.
article-title

Опубликован «неисправляемый» джейлбрейк для iOS-устройств

Инструмент Checkm8 эксплуатирует аппаратную уязвимость в Apple Bootrom (SecureROM).
article-title

Маршрутизаторы Cisco промышленного класса уязвимы к кибератакам

В ПО Cisco IOS и IOS XE обнаружено более десятка уязвимостей, в том числе одна с оценкой 9,9 балла из 10.

article-title

Adobe внепланово исправила критические уязвимости в ColdFusion

Эксплуатация уязвимостей позволяет выполнить произвольный код или обойти управление доступом на уязвимых системах.
article-title

Уязвимость в iOS 13 позволяет сторонним клавиатурам получать «полный доступ»

Полный доступ позволяет разработчикам клавиатуры получать данные о том, что пользователь на ней набирает.
article-title

Эксплойт для уязвимости в ПО vBulletin опубликован в открытом доступе

Ее эксплуатация позволяет злоумышленникам вводить команды и удаленно выполнять код на системе.
article-title

Microsoft в срочном порядке исправила уязвимость нулевого дня в IE

Компания выпустила экстренные патчи для уязвимостей в Internet Explorer и Microsoft Defender.

article-title

Опубликован эксплоит для уязвимости в phpAdmin

Уязвимость затрагивает все версии приложения phpMyAdmin.
article-title

Топ 25 самых опасных уязвимостей 2019 года

Их эксплуатация позволяет полностью взять под контроль выполнение ПО, украсть данные или помешать работе программного обеспечения.

article-title

Уязвимость в LastPass раскрывает пароли от ранее посещенных сайтов

Проблема исправлена в версии LastPass 4.33.0.

article-title

Уязвимость в iOS 13 позволяет просматривать контакты на заблокированном iPhone

Получить доступ к контактам на заблокированном устройстве можно с помощью нескольких простых действий.
article-title

Google предупредила об уязвимости во «встроенном ключе безопасности» Chrome OS

Эксплуатация уязвимости позволяет удаленно подделать ключ безопасности пользователя.
article-title

Siemens предупредила о наличии уязвимостей DejaBlue и SACK Panic в своих продуктах

Эксплуатация уязвимостей позволяет распространять вредоносное ПО и вызвать отказ в обслуживании системы.
article-title

Intel исправила уязвимости в Easy Streaming Wizard и ЦП серверного класса

Уязвимости позволяют повысить привилегии на системе и похитить информацию.
article-title

Adobe исправила в Flash Player опасные уязвимости

Проэксплуатировав обе уязвимости, злоумышленник может выполнить произвольный код в контексте текущего пользователя.
article-title

ЦП Intel серверного класса уязвимы к атакам NetCAT

Специалисты разработали новую атаку, позволяющую перехватывать нажатия клавиш во время сеанса SSH.
article-title

Уязвимость в Telegram позволяла просматривать удаленные изображения

Уязвимость затрагивает не только удаление файлов из отдельных диалогов, но и при отправке вложений в супергруппу Telegram.
article-title

Опубликован PoC-эксплоит для атак на Chrome

Промежуток между выходом патчей для открытых компонентов ПО и самого ПО дает злоумышленникам время на подготовку эксплоита.

article-title

Facebook исправила две опасные уязвимости в серверах HHVM

Эксплуатация позволяет удаленно получать конфиденциальную информацию или вызывать отказ в обслуживании сервера.
article-title

Apple поставила под сомнение выводы экспертов об уязвимости iPhone

Атаки на web-сайты осуществлялись только в течение короткого периода (примерно двух месяцев), а не «двух лет».
article-title

В Exim обнаружена вторая за два месяца критическая уязвимость

Уязвимость позволяет удаленно выполнить код и получить доступ к системе с правами суперпользователя.
article-title

В программном обеспечении от EZAutomation обнаружены критические уязвимости

Эксплуатация позволяет злоумышленнику выполнить удаленный код.
article-title

Twitter отключила функцию Tweet via SMS из-за взломов учетных записей

Злоумышленники осуществили спуфинг номера телефона гендиректора Twitter и делали публикации в соцсети от его имени.

article-title

Уязвимость в Samba исправлена спустя год после обнаружения

Ее эксплуатация позволяет обходить разрешения на общий доступ к файлам и выходить за пределы корневого каталога общего доступа.
article-title

Недавние патчи от Google не исправляют опасную уязвимость в Android

Уязвимость позволяет злоумышленникам повысить свои привилегии на взломанном устройстве до уровня ядра.

article-title

Устройства Zyxel могут быть взломаны с помощью DNS-запросов

Уязвимости затрагивают устройства сетевой безопасности серий USG, UAG, ATP, VPN и NXC, а также точки доступа Wi-Fi серий NWA, NAP и WAC.
article-title

Zerodium предлагает до $2,5 млн за эксплоиты для уязвимостей в Android

Сумма предлагается за полную цепочку эксплуатации, обеспечивающую персистентность и не требующую взаимодействия с пользователем.
article-title

Уязвимости в BMC-контроллере позволяют удаленно атаковать серверы Supermicro

Исследователи обнаружили в Сети более 47 тыс. уязвимых серверов, расположенных в 90 странах.
article-title

В решениях от компании Change Healthcare исправлена уязвимость

Уязвимость позволяет злоумышленнику с локальным доступом к системе выполнить на ней произвольный код.

article-title

Уязвимость в Parity позволяет вызвать сбой в работе узлов Ethereum

Для эксплуатации уязвимости на узле должен быть открыт порт RPC и активирован модуль для отслеживания истории транзакций.
article-title

В Google Chrome исправлена опасная уязвимость

Проблема затрагивает открытый движок Blink в составе Chrome и позволяет злоумышленнику выполнить произвольный код в контексте браузера.
article-title

В защитном ПО Check Point исправлена уязвимость повышения привилегий

Эксплуатация позволяла злоумышленникам повысить привилегии и выполнить код с правами SYSTEM.
article-title

Почти 25% выявленных в 2019 году уязвимостей пришлось на долю 5 крупных вендоров

В общей сложности в первой половине 2019 года было обнаружено 11 092 уязвимости.

article-title

Уязвимость в предустановленном ПО позволяет взломать ноутбуки Lenovo за 10 минут

Компания не намерена устранять проблему в связи с окончанием срока поддержки утилиты Lenovo Solution Centre.
article-title

Тысячи необновленных серверов Squid уязвимы к DoS-атакам

Из почти 3 млн доступных в Сети серверов Squid более 30 тыс. по-прежнему работают с уязвимой версией 4.7.
article-title

Преступники пытаются эксплуатировать уязвимости в продуктах Fortinet и Pulse Secure

Первые попытки эксплуатации уязвимостей в продуктах Fortinet были обнаружены 21 августа, а в Pulse Secure — 22 августа.

article-title

Уязвимость в Steam может затронуть 96 млн пользователей Windows

Злоумышленники могут отключить межсетевой экран и антивирусное ПО, установить руткит и украсть личные данные пользователей.

article-title

Бесплатный антивирус Bitdefender позволял получить привилегии системы

Уязвимость была исправлена в понедельник, 21 августа.

article-title

Утечка данных с сайта для взрослых раскрыла более 1 млн аккаунтов

Жертвами утечки стали пользователи из Франции, Германии, России и Польши.
article-title

Уязвимости в Kubernetes позволяют осуществить DoS-атаки

Уязвимости обнаружены в библиотеке net/http языка Go и затрагивают все версии и компоненты Kubernetes.
article-title

Опубликован джейлбрейк для iOS 12.4

Apple упростила задачу джейлбрейкерам, открыв ранее исправленную уязвимость.
article-title

Уязвимости в Nest Security Cam позволяют получить контроль над устройством

Уязвимости затрагивают версию Nest Cam IQ 4620002.
article-title

В Webmin исправлена критическая уязвимость

Впервые о проблеме стало известно 10 августа на конференции DEF CON, однако разработчики узнали о ней только спустя неделю.
article-title

В VLC Media Player обнаружено более десятка уязвимостей

Эксплуатация уязвимостей позволяет злоумышленнику получить контроль над системой с помощью вредоносного видеофайла.
article-title

Эксперты взломали изоляцию сети в современных маршрутизаторах

Закодировав данные в пакетах, ошибочно пересылаемых некоторыми протоколами в оба сегмента сети, можно обойти изоляцию.
article-title

Уязвимость в сервоприводах Alpha5 Smart Loader позволяет выполнить код

Во избежание эксплуатации уязвимости пользователям рекомендуется обновить Alpha5 Smart Loader до версии 4.2.
article-title

В Johnson Controls Metasys исправлены уязвимости

Уязвимости позволяют злоумышленнику расшифровать перехваченный сетевой трафик.

article-title

В браузере Firefox исправили уязвимость обхода мастер-пароля

Разработчики рекомендуют пользователям Firefox обновить браузер до версии 68.0.2 в целях безопасности.

article-title

Siemens исправила ряд уязвимостей в SINAMICS и SCALANCE

Уязвимости позволяют вызвать отказ в обслуживании и выполнить произвольные команды.
article-title

Новое обновление прошивки NUC исправляет опасную уязвимость

Уязвимость позволяет повышать привилегии, раскрывать информацию или вызывать отказ в обслуживании устройства.
article-title

Злоумышленники могут с помощью дронов взламывать Smart-TV

Злоумышленники могут заставить телевизоры показывать любое видео, отображать фишинговые сообщения, внедрять кейлоггеры и запускать ПО для криптомайнинга.
article-title

Стали известны подробности атак на Coinbase

Преступники начали кампанию с массовой рассылки электронных писем от имени работника Кембриджского университета.
article-title

В Siemens SCALANCE X обнаружена DoS-уязвимость

Проблема затрагивает все версии SCALANCE X-200, SCALANCE X-200IRT и SCALANCE X-200RNA.
article-title

В Google Cloud, AWS и Azure обнаружили 34 млн уязвимостей

Главными причинами возникновения уязвимостей являются устаревшие серверы Apache и уязвимые пакеты jQuery.
article-title

Уязвимость KNOB в Bluetooth позволяет манипулировать передаваемыми данными

С помощью уязвимости злоумышленник может уменьшить длину ключа шифрования, что позволит его легче взломать.
article-title

Взломать Windows можно через «Блокнот»

Исследователь продемонстрировал, как с помощью уязвимости в CTF можно повысить свои привилегии до уровня системы.

article-title

В Delta Industrial Automation DOPSoft исправлены критические уязвимости

Обе проблемы были исправлены в версии DOPSoft 4.00.06.47.
article-title

В реализациях HTTP/2 обнаружены опасные DoS-уязвимости

Уязвимости затрагивают продукты таких поставщиков, как Amazon, Apache, Apple, Facebook, Microsoft, nginx, Node.js и Ubuntu.
article-title

Новые червеобразные уязвимости затрагивают все версии Windows 10

Microsoft исправила четыре новые BlueKeep-подобные уязвимости в RDS.

article-title

Android-устройства могут поставляться со встроенным вредоносным ПО

Злоумышленники могут размещать вредоносный код на стадии разработки устройства и заражать таким образом цепь поставок.
article-title

В маршрутизаторах 4G обнаружены критические уязвимости

Уязвимости позволяют злоумышленникам получить доступ к конфиденциальной информации пользователей и выполнять команды.
article-title

Уязвимости в Canon EOS 80D позволяют заразить камеру вымогательским ПО

Атаковать устройство можно как по Wi-Fi, так и через USB-подключение к компьютеру.

article-title

Представлена система оценки вероятности использования уязвимостей в реальных атаках

Система EPSS позволит организациям определять, может ли уязвимость эксплуатироваться в атаках и нужно ли действительно ее исправлять.

article-title

Компрометация базы данных SQLite позволяет выполнить код

Атака эксплуатирует уязвимости в процессе, реализованном сторонними приложениями, для чтения баз данных SQLite.
article-title

Уязвимости в более 40 драйверах затрагивают все ПК под управлением Windows 10

В десятках драйверов от 20 производителей обнаружены опасные уязвимости.
article-title

В балансировщике нагрузки BIG-IP обнаружены уязвимости

Эксплуатация уязвимости позволяет проникать в сеть и выполнять атаки против компаний или отдельных лиц.
article-title

Злоумышленники могут изменять чужие переписки в WhatsApp

Эксплуатация уязвимостей позволяет перехватывать и манипулировать сообщениями в личных и групповых чатах.
article-title

В Skype, WhatsApp и Slack можно легко внедрить бэкдор

Проблема кроется в уязвимом фреймворке Electron для разработки приложений.
article-title

Microsoft исправила непризнанную сначала уязвимость в RDP

Компания выпустила патч, когда стало известно, что уязвимость также затрагивает Hyper-V.

article-title

В утекшем коде Boeing обнаружены множественные уязвимости

Компания Boeing категорически отрицает возможность эксплуатации уязвимостей.
article-title

В Android исправлены критические уязвимости QualPwn

Уязвимости позволяли скомпрометировать модем и ядро Android через WLAN-интерфейсы систем на кристале от Qualcomm.
article-title

В коммутаторах Cisco Small Business серии 220 исправлены опасные уязвимости

Проблемы затрагивают устройства с версией прошивки до 1.1.4.4 и включенным web-интерфейсом управления.

article-title

Защищенные электронные замки можно взломать, измерив электропотребление

Путем измерения изменений в электропотреблении можно осуществить атаку по сторонним каналам на замки от DormaKaba Holding.

article-title

Уязвимость в KDE позволяет выполнять команды путем открытия папки

Уязвимость внедрения команд затрагивает класс KDesktopFile в версиях KDE 4 и 5.
article-title

Новая уязвимость в процессорах AMD и Intel позволяет обойти защиту от Spectre и Meltdown

SWAPGSAttack базируется на механизме спекулятивного обновления и позволяет получить данные из защищенных областей памяти.
article-title

В продуктах NVIDIA, VMware ESXi, Workstation и Fusion обнаружены множественные уязвимости

Эксплуатация уязвимостей позволяет вызвать отказ в обслуживании и выполнить код на системе.
article-title

Уязвимости в Snapdragon позволяют взломать Android по беспроводной сети

Любой не обновленный телефон с одной из двух систем на кристале уязвим для взлома.
article-title

В Сети выставлены на продажу данные клиентов Бинбанка

Причиной утечки является уязвимость, обнаруженная в апреле нынешнего года.

article-title

Обнаружены еще две уязвимости класса Dragonblood

Уязвимости позволяют осуществить атаку по сторонним каналам и получить пароль для авторизации в сети Wi-Fi.

article-title

В WebAccess HMI Designer исправлена критическая уязвимость

Уязвимость позволяет удаленно выполнить произвольный код.

article-title

В платформе управления доступом Prima FlexAir обнаружены критические уязвимости

Эксплуатация уязвимостей предоставляет злоумышленнику полный доступ системе управления.

article-title

Уязвимости в ПО Western Digital и SanDisk подвергают риску владельцев SSD

Эксплуатация одной из уязвимостей позволяет выполнить произвольный код на системе.
article-title

Telegram исправил уязвимость, позволявшую взламывать учетные записи через голосовую почту

Уязвимость эксплуатировалась злоумышленниками для взлома более тысячи учетных записей.
article-title

МВБ предупредило об уязвимостях в CAN-шина небольших самолетов

Уязвимости позволяют изменять данные телеметрии двигателя, компаса, положения, высоты, воздушной скорости и угла наклона самолета.
article-title

Шесть уязвимостей в iOS позволяют атаковать устройство без участия пользователя

Четыре из шести уязвимостей позволяют удаленно выполнить код путем отправки сообщения в iMessage.
article-title

Уязвимости Urgent11 затрагивают SCADA-системы и IoT-устройства

В ОСРВ VxWorks обнаружены 11 уязвимостей разной степени опасности.

article-title

Canonical исправила шесть уязвимостей в Ubuntu

Компания Canonical выпустила обновление безопасности версии Ubuntu 16.04 LTS (Xenial Xerus).
article-title

Патч для уязвимости в LibreOffice оказался неэффективным

Для выполнения кода на системе злоумышленнику достаточно вынудить жертву открыть вредоносный документ.
article-title

Уязвимость в Android позволяет получить доступ к устройству с помощью видео

Уязвимость позволяет удаленно выполнить код без дополнительных прав.
article-title

В почтовом клиенте Exim устранена критическая уязвимость

Уязвимость позволяла удаленно выполнить код с правами суперпользователя при наличии в конфигурации определенных настроек.
article-title

Уязвимость в ProFTPD ставит под угрозу кибератак более миллиона серверов

В настоящее время уязвимость остается неисправленной.
article-title

Опубликован PoC-код для критической уязвимости в межсетевых экранах Palo Alto Networks

Эксплуатация уязвимости позволяла злоумышленникам удаленно выполнять произвольный код.
article-title

В VLC Media Player обнаружена опасная уязвимость

Эксплуатация уязвимости позволяет раскрыть пользовательские данные.
article-title

В Drupal исправлена критическая уязвимость, позволяющая перехватить управление сайтами

Проблема затрагивает только версию Drupal 8.7.4.

article-title

Уязвимость в Twitter позволяет отображать ложные ссылки

Злоумышленники могут использовать уязвимость не только для распространения дезинформации, но и для вредоносной деятельности.
article-title

Уязвимость предоставила доступ к тысячам устаревших хранилищ Lenovo

Обнаруженная уязвимость позволила злоумышленникам получить удаленный доступ к сетевым накопителям с миллионами файлов.
article-title

Опубликован PoC-код для критической уязвимости в Atlassian Crowd

С помощью уязвимости злоумышленник может установить вредоносные плагины на системах с уязвимыми версиями Crowd или Crowd Data Center.
article-title

Уязвимость в плагине для WordPress позволяла удаленно выполнять PHP-код

Уязвимость обнаружена в плагине Ad Inserter для Wordpress, установленном на более чем 200 000 сайтах.
article-title

Вслед за Zoom критическая уязвимость обнаружена в сервисах RingCentral и Zhumu

Эксплуатация уязвимости позволяет злоумышленникам получить доступ к камерам и микрофонам ноутбука.
article-title

Уязвимость в Instagram позволяла взломать любой аккаунт за 10 минут

Эксплуатация уязвимости позволяла сбросить пароль для любой учетной записи Instagram и получить полный контроль над ней.
article-title

Уязвимость в Walkie Talkie для Apple Watch позволяла подслушивать чужие разговоры

Apple деактивировала приложение до тех пор, пока уязвимость не будет исправлена.

article-title

Баг в анестезиологических станциях GE Aestiva и GE Aespire позволяет удаленно вмешаться в работу устройств

В General Electric заявили, что уязвимость не представляет непосредственную опасность для пациентов.
article-title

Беспроводные USB-донглы от Logitech уязвимы ко взлому

Эксплуатация уязвимостей позволяет злоумышленнику инициировать нажатия клавиш.

article-title

Microsoft исправила две уязвимости нулевого дня

Компания выпустила патчи для 77 уязвимостей в рамках «вторника исправлений».

article-title

Уязвимость в конференц-платформе Zoom поставила под угрозу более 4 млн владельцев Мас

С помощью бага злоумышленники могут получить доступ к камере компьютера.
article-title

В Tor будет исправлена многолетняя DoS-уязвимость

Уязвимость активно эксплуатируется в DDoS-атаках на .onion-сайты.
article-title

Группировки Magecart за 24 часа взломали порядка тысячи сайтов

На сайты интернет-магазинов был внедрен скрипт для похищения персональной и банковской информации покупателей.

article-title

Продемонстрирован способ хищения файлов через 17-летнюю уязвимость в Firefox

Атака эксплуатирует реализованный в Firefox механизм Same Origin Policy.

article-title

Сообщение в iMessage может превратить iPhone в кирпич

Уязвимость в iMessage позволяет полностью вывести из строя iPhone.

article-title

Уязвимости в Steam VR и VRChat могут привести к полной компрометации системы

Уязвимости в приложениях виртуальной реальности позволяют взламывать компьютеры через чат-румы.

article-title

Google исправила в Android четыре критические уязвимости

Патчи уровней 2019-07-01 и 2019-07-05 в общей сложности исправляют 33 уязвимости.
article-title

Microsoft Teams позволяет загружать и выполнять вредоносные файлы

Уязвимость будет исправлена в будущих релизах десктопного ПО Microsoft Teams.

article-title

Уязвимость в инсулиновых помпах Medtronic MiniMed ставит под угрозу здоровье пациентов

С помощью уязвимости злоумышленники могут контролировать введение инсулина пациенту.
article-title

Уязвимости в клиенте Electronic Arts позволяли угонять чужие учетные записи

Исследователи разработали PoC-атаку, базирующуюся на уязвимостях в клиенте игровой платформы Electronic Arts.
article-title

В AMD SEV исправлена опасная уязвимость

С помощью уязвимости злоумышленник может скомпрометировать данные, защищенные с применением AMD SEV.
article-title

В Automationworx Software Suite обнаружены уязвимости

Все три уязвимости позволяют злоумышленникам удаленно выполнить код.

article-title

В Firefox исправлена вторая за неделю уязвимость нулевого дня

О проблеме стало известно, когда ее начали использовать в атаках вместе с предыдущей исправленной уязвимостью.
article-title

В Cisco DNA Center исправлены опасные уязвимости

Уязвимости позволяют причинить ущерб внутренним критическим сервисам организации.
article-title

В Oracle WebLogic Server исправлена очередная уязвимость десериализации

Исправленная уязвимость CVE-2019-2725 снова вернулась в виде бага CVE-2019-2729.

article-title

Исследователи опубликовали подробности об уязвимостях в WordPress назло WordPress.org

Сервис Plugin Vulnerabilities отказывался следовать правилам форумов WordPress, и его учетные записи были заблокированы.

article-title

Приложения для секвенирования ДНК находятся под кибератакой

Зачем киберпреступникам понадобилось атаковать столь узкоспециализированные приложения, пока не известно.

article-title

В медоборудовании Becton, Dickinson and Company исправлены опасные уязвимости

Уязвимости в инфузионных насосах Alaris Gateway Workstation позволяют отключить устройство, заразить его вредоносным ПО и пр.
article-title

Уязвимость в Cisco IOS XE позволяет проникнуть в сети через вредоносную рекламу

Причиной проблемы является недостаточная защита web-интерфейса Cisco IOS XE от CSRF.
article-title

Уязвимость в криптографической библиотеке позволяет вывести из строя Windows-сервер

Исправление для уязвимости в SymCrypt будет выпущено не ранее июля.

article-title

Уязвимости в смартфонах Samsung позволяют получить полный контроль над устройством

Уязвимости позволяют получать доступ к данным в TrustZone и выполнять произвольный код.

article-title

В популярных аппаратных модулях безопасности обнаружены уязвимости

Уязвимости позволяют удаленному злоумышленнику получить полный контроль над устройством.

article-title

Более половины почтовых серверов подвержены критической уязвимости

В агенте пересылки почты Exim обнаружена уязвимость, позволяющая удаленно запускать команды на сервере.

article-title

Только 5,5% уязвимостей используются в реальных атаках

Из 76 тыс. багов, выявленных в период с 2009 по 2018 годы, только 4 183 эксплуатировались во вредоносных кампаниях.

article-title

Уязвимости в rkt позволяют обойти контейнер и получить на хосте права суперпользователя

Производитель не планирует выпускать исправления для уязвимостей.

article-title

В «Блокноте» Windows обнаружена критическая уязвимость

Уязвимость позволяет удаленно выполнить код.
article-title

В контроллерах Emerson Ovation выявлены опасные уязвимости

Проблемы затрагивают контроллеры Emerson Ovation OCR400 (версия 3.3.1 и ниже).
article-title

Уязвимость в Docker позволяет читать и записывать любой файл на хосте

Для уязвимости уже представлены PoC-эксплоиты.

article-title

Почти 1 млн компьютеров все еще уязвим к BlueKeep

Уязвимость может использоваться для атак наподобие WannaCry и NotPetya.
article-title

Siemens предупредила о наличии уязвимости BlueKeep в ее медицинском оборудовании

Возможность эксплуатации бага зависит от конфигурации и среды развертывания решений.

article-title

Злоумышленники активно ищут уязвимые к BlueKeep Windows-системы

Кроме патча от Microsoft, также доступен микропатч для серверов, которые постоянно находятся в рабочем состоянии.
article-title

Неисправленная уязвимость в macOS позволяет запускать вредоносный код

Опубликованы подробности об уязвимости, позволяющей обойти встроенный механизм безопасности Gatekeeper.
article-title

Intel исправила 34 уязвимости в своих продуктах

Одна из исправленных уязвимостей является критической, а еще семь – очень опасными.

article-title

Опубликована очередная порция эксплоитов для уязвимостей в Windows и IE

SandboxEscaper пообещала в ближайшем будущем опубликовать еще два эксплоита.
article-title

В Firefox 67 исправлена 21 уязвимость

Две уязвимости обозначены как критические и позволяют выполнить на атакуемой системе произвольный код.

article-title

Опубликован эксплоит для уязвимости повышения прав в Windows 10

Баг затрагивает планировщик заданий Windows.
article-title

Уязвимый скрипт открыл всем пользователям Salesforce Pardot доступ ко всем данным

С целью предотвратить возможные последствия компания Salesforce полностью заблокировала доступ к установкам Pardot.

article-title

20% популярных Docker-контейнеров содержат пустой пароль

194 из 1 тыс. наиболее популярных на Docker Hub Docker-контейнеров содержат пустой пароль.
article-title

Zombieload, RIDL, Fallout и Store-to-Leak Forwarding не затрагивают ЦП от AMD

После установки патчей для Zombieload, RIDL, Fallout и Store-to-Leak Forwarding производительность Intel-машин снижается.

article-title

Для «червеподобной» уязвимости в Windows разработаны эксплоиты

Уязвимость можно проэксплуатировать для удаленного выполнения кода.
article-title

Уязвимость в Slack может использоваться для внедрения вредоносного ПО

С помощью специально сформированной ссылки злоумышленник может модифицировать настройки клиента и изменить папку загрузки.
article-title

Исправлена критическая уязвимость в Cisco Prime Infrastructure

Производитель устранил 8 уязвимостей в популярном ПО для управления сетями.
article-title

Intel обвинили в попытке подкупить исследователей, обнаруживших уязвимость RIDL

Согласно условиям программы bug bounty, принимая деньги, исследователи обязуются никому не рассказывать о своей находке.

article-title

В Windows 10 функция Retpoline Spectre теперь включена по умолчанию

Для пользователей, установивших патчи для Spectre Variant 2, Retpoline теперь активирована по умолчанию.

article-title

Siemens исправила более десятка уязвимостей в своих продуктах

Проблемы позволяют осуществить DoS-атаки и удаленно выполнить код.
article-title

Microsoft выпустила патч для защиты от атак наподобие WannaCry

В рамках майского пакета обновлений компания также выпустила патч для 0Day-уязвимости в Windows.
article-title

Версии ядра Linux до 5.0.8 уязвимы к удаленному выполнению кода

Для эксплуатации уязвимости ни авторизация, ни участие пользователя не требуются.
article-title

Компания Twitter передавала данные о местоположении пользователей iOS третьей стороне

Соцсеть уведомила владельцев iOS-устройств об уязвимости, затрагивающей их приватность.
article-title

Обнаружен способ превратить любой смартфон Samsung в «кирпич»

В Samsung уязвимость посчитали не заслуживающей внимания.
article-title

Уязвимость Thrangrycat может использоваться для внедрения бэкдоров в оборудование Cisco

Thrangrycat может быть проэксплуатирована удаленно без необходимости физического доступа к устройствам.
article-title

Уязвимость в WhatsApp использовалась для установки шпионского ПО

С помощью уязвимости преступник может выполнить вредоносный код и получить доступ к зашифрованным чатам и прослушивать звонки.
article-title

В NVIDIA GPU Display Driver исправлены три уязвимости

Самая опасная уязвимость позволяет повысить привилегии, вызвать отказ в обслуживании или похищать данные.
article-title

Docker-образы Alpine Linux три года распространялись с пустым паролем

Уязвимости подвержены все Docker-образы Alpine Linux, начиная с версии 3.3
article-title

Уязвимость в PHP-компоненте ставит под угрозы сайты на Drupal, Joomla и Typo3

Уязвимость обхода каталога позволяет заменить легитимный phar-архив сайта вредоносным.
article-title

Серверы Microsoft SharePoint находятся под постоянными атаками

Уже более двух недель злоумышленники активно эксплуатируют известную уязвимость в SharePoint.
article-title

UC Browser и UC Browser Mini для Android-устройств уязвимы к URL-спуфингу

Уязвимость позволяет выдавать вредоносные домены за доверенные, однако разработчик отказывается ее исправлять.

article-title

В ПО GE Communicator обнаружены множественные уязвимости

С помощью вшитых учетных данных атакующий может перехватить контроль над базой данных приложения.

article-title

В PrinterLogic Print Management обнаружены опасные уязвимости

Уязвимости позволяют удаленно выполнить код с привилегиями системы.
article-title

Злоумышленники могут сделать охранные смарт-системы бесполезными

Уязвимости в охранных системах для «умного дома» позволяют отключать сигналы датчиков о несанкционированном вторжении.

article-title

DoS-атака вызвала перебои в работе электростанции

Злоумышленники проэксплуатировали известную уязвимость в оборудовании.
article-title

Уязвимости в камерах D-Link DCS-2132L открывают доступ к видеопотоку

Проблемы с безопасностью были обнаружены в прошлом году, но производитель так и не исправил их полностью.