Security Lab

Уязвимость

Уязвимость – недостаток в компьютерной системе, использование которого, приводить к нарушению целостности системы и некорректной работе. Уязвимость появляются в результате ошибок программирования, недостатков, которые допускались при проектировании системы, ненадежных паролей, вредоносных программ, скриптовых и SQL-инъекций.

Уязвимость позволяет атакующему нарушить корректную работу приложения, к примеру, с помощью внедрения данных незапланированным способом; выполнения команды на системе, на которой выполняется данное приложение; или, используя упущение, которое позволяет получить доступ к памяти для выполнения кода на уровне привилегий программы. Запись данных в буфер, без проверки его границ, приводит к переполнению буфера и как результат происходит выполнение произвольного кода. Это также является уязвимостью. В результате недостаточной проверки данных, вводимых пользователем, возникает уязвимость, которая позволяет напрямую выполнить SQL (SQL-инъекции).

Уязвимости были обнаружены во всех основных операционных системах, включая Microsoft Windows, Mac OS, UNIX и OpenVMS.

article-title

Cкребём Github: поиск "секретов" разработки
article-title

В Apache Guacamole исправлены опасные уязвимости

Уязвимость позволяет злоумышленникам получить полный контроль над сервером Guacamole.

article-title

Уязвимости в macOS позволяют обойти систему защиты конфиденциальности

Уязвимости затрагивают систему защиты конфиденциальности TCC (Transparency, Consent, and Control).
article-title

Как управлять патчами и уязвимостями ПО на домашнем компьютере
article-title

Уязвимые Wi-Fi ретрансляторы открывают удаленный доступ к домашним сетям

В ретрансляторах Wi-Fi сигнала Tenda PA6 Wi-Fi Powerline обнаружены три уязвимости.

article-title

В PAN-OS исправлена чрезвычайно опасная уязвимость

Уязвимость позволяет удаленно отключать межсетевые экраны Palo Alto Networks.
article-title

В Bitdefender Total Security 2020 исправлена критическая уязвимость

Уязвимость позволяет внешним web-страницам запускать удаленные команды в процессе Safepay Utility.
article-title

В AMD APU обнаружены три опасные уязвимости

Уязвимости позволяют получить контроль над прошивкой UEFI и выполнить код на уровне SMM.
article-title

В драйвере шины от FabulaTech найдена опасная уязвимость

Уязвимость позволяет атакующему повысить свои привилегии на системе путем добавления поддельных устройств.
article-title

Уязвимости Ripple20 затрагивают миллиарды устройств по всему миру

Проблемы были обнаружены в TCP/IP-библиотеке Treck, и с их помощью можно удаленно получить контроль над устройством.

article-title

Управление патчами – насущная необходимость
article-title

Вымогательское ПО Black Kingdom атакует предприятия через Pulse Secure VPN

Вымогатель шифрует файлы на компьютере жертв, добавляя к ним расширение .DEMON, и требует $10 тыс.

article-title

Атака SGAxe позволяет похищать защищенные данные из анклавов Intel SGX

Уязвимость в процессорах Intel позволяет авторизованному локальному злоумышленнику раскрыть информацию.

article-title

«Странное поведение» cmd.exe позволяет выполнение произвольных команд

По уверению Microsoft, обнаруженная исследователем особенность является предусмотренным функционалом.
article-title

Intel исправила очередную MDS-уязвимость в своих процессорах

Подобно Meltdown и Spectre, уязвимость CrossTalk базируется на спекулятивном исполнении команд.
article-title

Июньский «вторник исправлений» стал крупнейшим за всю историю Microsoft

В нынешнем месяце Microsoft исправила за один раз рекордное количество уязвимостей.

article-title

Обнаружена масштабная вредоносная кампания против WordPress-сайтов

Злоумышленники эксплуатируют старые XSS-уязвимости в необновленных плагинах и темах.

article-title

Выпущенные за последние 7 лет смартфоны LG уязвимы к атаке «холодной перезагрузки»

В загрузчике ОС, используемом в смартфонах LG, начиная с серии Nexus 5, исправлена опасная уязвимость.

article-title

Популярный «клон» TikTok оказалось легко взломать

Взломать любую учетную запись в приложении Mitron можно в считанные секунды.

article-title

АНБ США предупредило о новой волне кибератак на почтовые серверы

Киберпреступная группа Sandworm атакует серверы с уязвимым агентом пересылки сообщений Exim.
article-title

Уязвимость StrandHogg 2.0 позволяет захватить контроль над любым Android-приложением

StrandHogg 2.0 получила свое название из-за сходства с обнаруженной ранее уязвимостью StrandHogg.
article-title

Хакеры пытались установить вымогательское ПО через уязвимость в Sophos XG

После исправления уязвимости киберпреступники были вынуждены изменить свою тактику.

article-title

Найден способ эксплуатации уязвимости в Qmail 15-летней давности

Уязвимость CVE-2005-1513 была раскрыта в 2005 году, но до сих пор остается неисправленной.

article-title

Уязвимость в DNS-серверах позволяет в тысячу раз усилить мощность DDoS-атаки

Уязвимость NXNSAttack затрагивает рекурсивные DNS-серверы и процесс делегирования.
article-title

В Bluetooth обнаружена опасная уязвимость BIAS

Проблема затрагивает классическую версию протокола Basic Rate/Enhanced Data Rate.
article-title

В межсетевых экранах Cyberoam обнаружены уязвимости

Уязвимости могут предоставить хакерам доступ к устройствам Cyberoam.
article-title

Microsoft «недоисправила» уязвимость в RDP

Прошлогодний патч для уязвимости CVE-2019-0887 оказался недостаточно эффективным.

article-title

Уязвимость PrintDemon затрагивает все версии Windows, выпущенные с 1996 года

Уязвимость присутствует в отвечающем за печать компоненте Windows Print Spooler.
article-title

Huawei отрицает свою причастность к созданию уязвимого патча для Linux

Помимо нескольких улучшенных опций безопасности патч добавляет в ядро Linux простую в эксплуатации уязвимость.
article-title

Опубликован топ-10 самых популярных уязвимостей в ПО

Власти США опубликовали список уязвимостей в ПО, чаще всего эксплуатировавшихся в 2016-2019 годах.

article-title

В vBulletin исправлена опасная уязвимость

Злоумышленники могут осуществить реверс-инжиниринг патча и разработать эксплоит.
article-title

Киберпреступники атаковали 1 млн сайтов под управлением WordPress

Эксперты зафиксировали масштабную вредоносную кампанию, нацеленную на WordPress-сайты.

article-title

В SaltStack Salt обнаружены критические уязвимости

Уязвимости исправлены в версии фреймворка 3000.2.
article-title

Операторы Usenet ушли в offline из-за беспрецедентной утечки данных

Проблема могла быть вызвана вредоносным программным инструментом для доступа к Usenet.

article-title

Миллионы устройств Apple уязвимы для хакеров
article-title

Уязвимости в РСУ ABB могут привести к сбоям в промышленной среде

Уязвимости позволяют удаленно выполнить код, вызвать отказ в обслуживании и повысить привилегии.
article-title

Взломать учетную запись Microsoft Teams можно было с помощью GIF

Microsoft исправила опасную уязвимость, позволявшую получать доступ к чужим учетным записям Microsoft Teams.
article-title

Обзор уязвимостей за неделю: 24 апреля 2020 года

Было обнаружено множество уязвимостей удаленного выполнения кода в различных программах.
article-title

Apple не нашла следов эксплуатации «0day-уязвимостей» в iOS в реальных атаках

Компания не отрицает наличия в iOS уязвимостей, но сомневается в том, что их уже эксплуатируют киберпреступники.

article-title

АНБ опубликовало инструменты для выявления web-оболочек на серверах

Спецслужбы США и Австралии привлекли внимание компаний к обычно упускаемому из виду вектору атак через web-оболочки.

article-title

Microsoft выпустила внеплановые обновления для уязвимостей в Office и Paint 3D

Уязвимости были обнаружены в 3D-библиотеке Autodesk для файлов FBX.
article-title

Представлен способ превращения антивирусов в инструмент для самоуничтожения

Сделать антивирусное ПО бесполезным можно с помощью символических ссылок.

article-title

Для четырех неисправленных уязвимостей в IBM IDRM опубликованы PoC-эксплоиты

Исследователь решил раскрыть уязвимости после того, как IBM не приняла его отчет, поданный по всем правилам через CERT/CC.
article-title

Хакеры заражают больницы вымогательским ПО с помощью учетных данных AD

Заполучив учетные данные, злоумышленники проникают в сетевую среду организации через уязвимые установки Pulse Secure VPN.
article-title

Обзор уязвимостей за неделю: 17 апреля 2020 г.

За последнюю неделю был обнаружен ряд уязвимостей в различных программах, включая продукты Microsoft, Adobe и Oracle.
article-title

Две ранее неизвестные уязвимости в Zoom выставлены на продажу

Уязвимости позволяют подглядывать за чужими видеозвонками.

article-title

Уязвимость в OnePlus 7 Pro позволяет похитить отпечатки пальцев

Хотя уязвимость сложно проэксплуатировать, она проливает свет на более серьезную проблему.
article-title

Уязвимость в TikTok позволяет подменять видео на чужих страницах

В ходе демонстрации уязвимости эксперты загрузили на страницу ВОЗ фейковое видео на тему коронавируса.

article-title

Уязвимость в VMware открывает хакерам доступ к корпоративной информации

По системе оценивания опасности CVSS v.3 уязвимость CVE-2020-3952 получила максимальные 10 баллов.
article-title

Hoaxcalls атакует устройства Grandstream UCM6200 через исправленную уязвимость

Атакующие включают уязвимые устройства в ботнет для осуществления DDoS-атак.
article-title

Обзор уязвимостей за неделю: 10 апреля 2020 г.

За последнюю неделю был обнаружен ряд уязвимостей в различных программах, включая Firefox, Chrome, glibc и пр.
article-title

Boeing исправит очередные две проблемы с ПО самолетов 737 MAX

Одна из проблем может привести к потере управления, а вторая – к отключению автопилота во время захода на посадку.

article-title

82,5% серверов Microsoft Exchange по-прежнему уязвимы к CVE-2020-0688

Исправленная в феврале уязвимость CVE-2020-0688 позволяет захватить контроль над сервером.
article-title

Уязвимости в HP Support Assistant подвергают опасности Windows-ПК

В HP Support Assistant обнаружены десять уязвимостей, и три из них по-прежнему остаются неисправленными.

article-title

В Firefox исправлены две уязвимости нулевого дня

Уязвимости позволяют удаленно выполнить код и получить контроль над системой.

article-title

Обзор уязвимостей за неделю: 3 апреля 2020 г.

За последнюю неделю был обнаружен ряд уязвимостей в различных программах, включая Chrome, браузер To и пр.
article-title

Уязвимости в Safari позволяли взломать камеру на iPhone и MacBook

Просто открыв сайт на iPhone или MacBook, пользователи могут предоставить злоумышленникам доступ к камере и микрофону.

article-title

Twitter сохранял личные сообщения пользователей в кэше браузера

Сервис хранил личные файлы пользователей Firefox в кэше браузера даже после выхода или закрытия сайта.

article-title

В ядре Linux исправлена серьезная уязвимость

Уязвимость позволяет атакующему повысить свои привилегии и выполнить код в контексте ядра.
article-title

Microsoft исправит целый класс уязвимостей в Windows

25 уязвимостей затрагивают компонент Win32k и, по сути, представляют собой различные варианты одной и той же проблемы.

article-title

В Zoom обнаружен ряд проблем с безопасностью

«Сквозное» шифрование в Zoom оказалось не таким уж «сквозным»; кроме того, приложение раскрывает данные пользователей.

article-title

Обзор уязвимостей за неделю: 27 марта 2020 года

На прошлой неделе были обнаружены уязвимости в Windows, Apple Safari, OpenWrt, Jenkins и пр.
article-title

Microsoft обнаружила две новых уязвимости для выполнения удаленного кода
article-title

В OpenWrt исправлена критическая уязвимость

Уязвимость CVE-2020-7982 существует в менеджере пакетов OPKG в OpenWrt.
article-title

WhatsApp хранит коды для 2FA в открытом виде

Коды видны на устройствах, чьи владельцы имеют на них права суперпользователя.
article-title

В memcached исправлена уязвимость переполнения буфера

Обнаруживший уязвимость исследователь сообщил о ней широкой общественности, не уведомив разработчиков.

article-title

Microsoft предупредила об уязвимости нулевого дня в Windows

Проблема затрагивает все версии Windows и Windows Server, в том числе более неподдерживаемую Windows 7.
article-title

Опубликованы PoC-эксплоиты для уязвимости KrØØk

Эксплоит позволяет перехватывать некоторые данные с уязвимых устройств.

article-title

Обзор уязвимостей за неделю: 20 марта 2020 года

Были обнаружены уязвимости в Google Chrome, продуктах Adobe, решении Cisco SD-WAN, Trend Micro и Drupal.
article-title

Исправление для уязвимости в VMware Fusion для Mac оказалось неполным

Уязвимость существует из-за некорректного использования флагов setuid и позволяет повысить привилегии.
article-title

Adobe выпустила внеплановые исправления для 41 уязвимости

29 из 41 уязвимостей отмечена как критические, а остальные 11 являются опасными.
article-title

Cамыми уязвимыми фреймворками оказались WordPress и Apache Struts

На Apache Struts и WordPress приходится 57% уязвимостей, для которых существует PoC-код.
article-title

Обнаружена новая уязвимость, позволяющая похищать данные процессоров Intel

Как уверяют в Intel, новую уязвимость Snoop можно закрыть с помощью патча для уязвимости Foreshadow.

article-title

В браузере Tor исправлена уязвимость, позволявшая запускаться JavaScript-кодам

Уязвимость позволяла запускаться JavaScript-кодам, даже если Tor работал в самом безопасном режиме.

article-title

За последний год число уязвимостей в открытом ПО выросло на 50%

В 2019 году было выявленных более 6 тыс. уязвимостей в продуктах с открытым исходным кодом.
article-title

Microsoft выпустила исправление для критической уязвимости в SMBv3

В настоящее время исправление для уязвимости (KB4551762) доступно на сайте Microsoft.
article-title

Avast отключила главный компонент своих антивирусов из-за уязвимости

Уязвимость в JavaScript-движке антивирусов Avast позволяет удаленно выполнить код на атакуемой системе.

article-title

В Сеть утекли данные о новой червеобразной уязвимости в SMB (Обновлено)

В рамках «вторника исправлений» Microsoft исправила рекордные 115 уязвимостей, но уязвимость в SMB осталась неисправленной.

article-title

Обнаружены две новые атаки на процессоры AMD

В совокупности с выявленными ранее атаками наподобие Spectre они позволяют получать информацию с атакуемого устройства.
article-title

ОС Android стала самой уязвимой платформой в 2019 году

В общей сложности в ОС Android в 2019 году было обнаружено 414 уязвимостей.
article-title

Google годами не исправляет опасную уязвимость в Google Authenticator

Обнаружено первое в истории вредоносное ПО для похищения кодов двухфакторной аутентификации Google Authenticator.

article-title

В нескольких плагинах WordPress исправлены уязвимости нулевого дня

Уязвимости позволяют получить контроль над сайтами и уже эксплуатируются в рамах вредоносной кампании.

article-title

Исправлена критическая уязвимость в Android-устройствах с процессорами MediaTek

CVE-2020-0069 позволяет получить права суперпользователя на устройствах Nokia, Amazon, BLU, Sony, ZTE и пр.
article-title

Хакеры могут следить за пользователями через «умные» пылесосы

Злоумышленники могут получить удаленный доступ к камерам пылесосов и следить за происходящим в доме жертвы.

article-title

В сетевых хранилищах Zyxel исправлена опасная уязвимость

По шкале оценивания опасности CVSS уязвимость получила максимальные 10 баллов.
article-title

Злоумышленники обчищают кошельки PayPal через неизвестную уязвимость

Киберпреступники эксплуатируют уязвимость в интеграции PayPal с Google Pay.
article-title

Уязвимость в OpenSMTPD затрагивает BSD- и Linux-серверы

Уязвимость позволяет атакующему получить полный контроль над почтовыми серверами.

article-title

В устройствах Moxa AWK-3131A обнаружено 12 уязвимостей

Проблемы затрагивают устройства AWK-3131A с версией прошивки 1.13 и ниже.
article-title

Для критической уязвимости в Windows 10 доступен временный микропатч

Микропатч от 0Patch исправляет уязвимость в IE, которую должно было исправить провальное обновление KB4532693.

article-title

2020: конец Windows 7
article-title

Уязвимость в systemd позволяет выполнить код с повышенными правами

Проблема возникает при асинхронном выполнении запросов к Polkit-библиотеке во время обработки DBus-сообщений.
article-title

В ПО Boeing 737 Max обнаружена очередная уязвимость

Самолеты смогут снова начать летать только после исправлений всех проблем с безопасностью.

article-title

В протоколе CDP обнаружены критические уязвимости

Совокупность уязвимостей в Cisco Discovery Protocol получила название CDPwn.
article-title

Уязвимости в WhatsApp позволяли скомпрометировать миллионы пользователей

Злоумышленники могли путем отправки специально сформированного сообщения похищать файлы с ПК жертв.
article-title

Новые опасные уязвимости в процессорах Intel
article-title

Хакеры эксплуатируют неисправленную уязвимости в СКУД Linear eMerge E3

Злоумышленники используют скомпрометированные устройства для осуществления атак на заданные цели.
article-title

Уязвимости в Microsoft Azure позволяли захватывать контроль над облачными серверами

Уязвимости были обнаружены исследователями Check Point и исправлены Microsoft в конце прошлого года.

article-title

В почтовом сервере OpenSMTPD обнаружена критическая уязвимость

Эксплуатация уязвимости позволяет удаленно выполнять shell-команды на сервере с правами суперпользователя.
article-title

Уязвимость в Zoom позволяла подключаться к чужим разговорам

Исследователям удалось подобрать идентификаторы встреч и подключиться к разговорам в Zoom.

article-title

Intel в третий раз выпустит патчи для уязвимостей Zombieload

Intel планирует выпустить обновления «в ближайшие недели».
article-title

В медицинском оборудовании GE Healthcare обнаружены критические уязвимости

Пять из шести уязвимостей получили максимальную оценку в 10 баллов по шкале CVSS v3.1.
article-title

В AMD ATI Radeon исправлены четыре уязвимости

Уязвимости позволяют удаленно выполнить код или вызвать отказ в обслуживании.
article-title

В Honeywell Maxpro VMS и NVR исправлены опасные уязвимости

Уязвимости позволяют получить полный контроль над системами видеонаблюдения.

article-title

Microsoft предупреждает о серьезном нарушении безопасности в Internet Explorer
article-title

В решении FortiSIEM обнаружен встроенный SSH-ключ

Эксплуатация уязвимости позволяет неавторизованным злоумышленникам вызвать отказ в обслуживании системы.
article-title

Netgear оставила на своих маршрутизаторах TLS-сертификаты с закрытыми ключами

Оставленные данные могут использоваться киберпреступниками для взлома маршрутизаторов.
article-title

Уязвимость в BlockFi сделала пользователя миллионером на один день

Воспользовавшись уязвимостью, Zombieslayer970 увеличил баланс в своем криптовалютном кошельке до 10 млн эфиров.

article-title

Microsoft уведомила об уязвимости нулевого дня в Internet Explorer

Уязвимость позволяет удаленно выполнить код на уязвимой системе.

article-title

Возможная глобальная хакерская атака на уязвимость в Citrix
article-title

Новая версия Chrome получила защиту от атак через уязвимость в crypt32.dll

В Chrome 79.0.3945.130 добавлен код для защиты от атак с эксплуатацией недавно исправленной уязвимости в Windows.
article-title

В популярных WordPress-плагинах исправлены опасные уязвимости

Сотни тысяч сайтов находятся под угрозой из-за уязвимостей в плагинах InfiniteWP Client и WP Time Capsule.

article-title

Представлена первая PoC-атака с эксплуатацией уязвимости в Windows

Эксперт проэксплуатировал недавно исправленную уязвимость в crypt32.dll для спуфинга сайтов Github и АНБ.

article-title

Intel исправила шесть уязвимостей в своих продуктах

Компания исправила высокоопасную уязвимость в VTune и баг в драйверах Intel Processor Graphics drivers для Windows и Linux.
article-title

Новая критическая уязвимость в Windows 10 имеет решение: ОБНОВИТЬ СЕЙЧАС
article-title

Microsoft исправила опасную уязвимость в Windows

В рамках «вторника исправлений» Microsoft исправила уязвимость, о которой ей стало известно от АНБ США.

article-title

Microsoft исправит чрезвычайно опасную уязвимость в Windows

Уязвимость затрагивает все версии Windows, выпущенные за последние двадцать лет.

article-title

Взломать iPhone можно с помощью лишь одной уязвимости

С помощью лишь Apple ID за несколько минут можно удаленно взломать iPhone, получить доступ к паролям и активировать камеру.
article-title

В приложении TikTok исправлены серьезные уязвимости

Уязвимости позволяли не только похищать данные пользователей, но и манипулировать их статусами в профиле и видео.
article-title

Сбой в ПО самолетов Boeing 737 глушит дисплеи в кабине пилота

При заходе на посадку в некоторых аэропортах в кабине пилота гаснут дисплеи.

article-title

В Firefox исправлена уязвимость нулевого дня

Уязвимость эксплуатируется в реальных атаках, однако подробностей о них Mozilla не раскрывает.
article-title

Google внесла изменения в политики Project Zero

Нововведения призваны защитить пользователей ПО от эксплуатации уязвимостей до их исправления.

article-title

Уязвимость в NVIDIA GFE позволяет вызвать отказ в обслуживании

Проблема затрагивает все версии NVIDIA GFE до 3.20.2.

article-title

Уязвимость в Dropbox позволяет повысить привилегии до уровня системы

В качестве временной меры пользователи могут установить микрокод для проблемной части ПО.
article-title

Уязвимость в WhatsApp позволяла выводить из строя мессенджеры участников групп

Любой участник группового чата мог вывести из строя мессенджер на устройствах остальных участников.
article-title

Уязвимость в Slack позволяет видеть изъятые из открытого доступа файлы

Если пользователь открыл доступ к файлу, он становится доступен для всех, даже если потом доступ был закрыт.
article-title

Уязвимость в TP-Link Archer позволяет захватить контроль над устройством

С помощью особо сконфигурированного запроса атакующий может обнулить пароль администратора устройства.

article-title

Apple выпустила новую версию iOS 12 для старых моделей iPhone и iPad

iOS 12.4.4 исправляет критическую уязвимость в сервисе видеозвонков FaceTime.

article-title

Замки KeyWe позволяют посторонним проникать в дом

Уязвимость в устройствах позволяет с помощью дешевого оборудования получить ключ для открытия двери.

article-title

Adobe выпустила обновления для Adobe Acrobat и Reader, Photoshop CC, ColdFusion и Brackets

17 из 25 исправленных уязвимостей обозначены как критические
article-title

Microsoft исправила уязвимость нулевого дня в Windows

Уязвимость позволяет повысить привилегии на системе и запускать произвольный код в режиме ядра.

article-title

Дешифратор Ryuk повреждает расшифровываемые файлы

В инструменте, предоставляемом операторами Ryuk своим жертвам после того, как они заплатили выкуп, содержится уязвимость.

article-title

NVIDIA исправила высокоопасные уязвимости в Tegra Linux Driver (L4T)

Уязвимые чипы используются в хромбуках HP и Acer, Android-планшетах, консолях Nintendo Switch и виртуальных ретинальных дисплеях Magic Leap One.
article-title

В OpenBSD обнаружены четыре опасные уязвимсоти

Эксплуатация уязвимостей позволяет повысить привилегии и обойти авторизацию в smtpd, ldapd и radiusd.
article-title

В Twitter была случайно раскрыта уязвимость в Atlassian Confluence Cloud

Уязвимость позволяет осуществить атаку «человек посередине» и переадресовать трафик приложения на вредоносный сайт.

article-title

Светосигнальное оборудование аэропортов доступно через интернет всем желающим

Управление спецоборудованием, доступ к которому должен быть лишь у ограниченного числа лиц, было доступно всем желающим.

article-title

Ошибка в Android подвергает риску камеру вашего устройства
article-title

Уязвимость в Android позволяет вредоносному ПО записывать видео

Уязвимость позволяет любому приложению без соответствующего разрешения управлять приложением «Камера».

article-title

То, как Bluetooth-устройства «общаются» с ПО, делает их уязвимыми к атакам

Проблема кроется в том, как устройства Bluetooth Low Energy обмениваются данными с контролирующими их приложениями.
article-title

В Android-смартфонах обнаружено 146 «встроенных» уязвимостей

В мобильных устройствах от 26 различных производителей обнаружены уязвимости в предустановленном ПО и прошивке.

article-title

В Windows и Linux появилась опция для защиты от Zombieload v2

В Windows и Linux реализована возможность отключения расширения TSX, делающего процессоры уязвимыми к атакам Zombieload v2.

article-title

В популярных VNC обнаружены многолетние уязвимости

Эксплуатация некоторых уязвимостей позволяла злоумышленникам удаленно выполнять код.
article-title

В BMC-контроллерах Intel исправлено 13 уязвимостей

Самая опасная уязвимость получила 9 из 10 баллов по шкале оценивания опасности.

article-title

В новых процессорах Intel Cascade Lake обнаружена уязвимость класса Zombieload

Как и первый вариант Zombieload, новая уязвимость базируется на технологии Microarchitectural Data Sampling.
article-title

В Internet Explorer исправлена уязвимость нулевого дня

Ноябрьские патчи от Microsoft исправляют 74 уязвимости, в том числе уязвимость нулевого дня.
article-title

Уязвимость в iOS 13 приводит к утечке данных из «Связки ключей»

Учетные данные пользователей, включивших «Семейный доступ» в iCloud, синхронизировались с устройствами членов их семей.

article-title

Хакеры могут зарабывать на продаже уязвимостей столько же, сколько ИБ-эксперты на программах bug bounty

Доход от киберпреступности оценивается в $1,5 трлн.
article-title

В медицинском оборудовании Medtronic обнаружены опасные уязвимости

Их эксплуатация позволяет злоумышленникам перезаписывать файлы и удаленно выполнять код.
article-title

Уязвимость в AsusWRT ставит жилье под угрозу ограбления

Уязвимость в AsusWRT позволяет посторонним получать доступ к подключенным к сети устройствам.

article-title

В Libarchive исправлена критическая уязвимость

Проблема затрагивает множество ОС и программ, содержащих Libarchive.
article-title

В Able2Extract Professional обнаружены две критические уязвимости

В PDF-инструменте Able2Extract Professional от компании Investintech обнаружены две серьезные уязвимости.
article-title

Отключение макросов в Microsoft Office для Mac подвергает пользователей угрозе атак

Эксплуатация уязвимости позволяет злоумышленнику удаленно выполнить код на целевой системе.
article-title

В Chrome исправлены две уязвимости, в том числе 0-day

Google решила не раскрывать технические подробности об уязвимостях до тех пор, пока большинство пользователей не установят обновление.
article-title

В игре Untitled Goose Game обнаружена критическая уязвимость

Уязвимость позволяет внедрять в игру вредоносный код и запускать его без ведома пользователей.

article-title

В оборудовании Rittal Chiller обнаружены уязвимости

Их эксплуатация позволяет отключить охлаждение и изменить заданное значение температуры.
article-title

Контейнеризация и червь Graboid
article-title

На Pwn2Own впервые разрешат взломать промышленное оборудование

Призовой фонд конкурса составит более $250 тыс.
article-title

В промышленных коммутаторах Moxa обнаружены критические уязвимости

Эксплуатация самых опасных уязвимостей позволяет удаленно выполнить код и перехватить контроль над устройством.
article-title

Уязвимость в PHP7 подвергает сайты риску удаленного взлома

Проблема распространяется только на NGINX-серверы с включенным PHP-FPM.
article-title

Новый способ отравления кэша позволяет атаковать защищенные CDN сайты

Проблема затрагивает такие популярные сети доставки контента (CDN), как Amazon CloudFront, Cloudflare, Fastly, Akamai и CDN77.
article-title

Антивирус Trend Micro можно использовать для запуска вирусов

В Trend Micro Anti-Threat Toolkit обнаружена уязвимость, позволяющая запускать вредоносное ПО на Windows-ПК.

article-title

Недавно выпущенные смарт-четки были взломаны за 15 минут

Уязвимость в приложении смарт-четок Click to Pray eRosary позволяла получить доступ к чужой учетной записи, зная лишь электронный адрес.

article-title

Порядка 2 тыс. HTTP-серверов Nostromo рискуют стать жертвами кибератак

Все версии Nostromo уязвимы к обходу каталога и выполнению произвольного кода.

article-title

4-летняя уязвимость позволяет полностью скомпрометировать Linux-системы

Исправление доступно пока только в виде патча.
article-title

В точках доступа Cisco Aironet обнаружена критическая уязвимость

Эксплуатация уязвимости позволяет неавторизованному злоумышленнику удаленно получить доступ к устройству.
article-title

В продуктах компании Oracle исправлено 219 уязвимостей

Более 140 уязвимостей могут быть проэксплуатированы удаленно неавторизованным злоумышленником.
article-title

Опубликован PoC-эксплоит для критической уязвимости в Android

Qu1ckR00t позволяет обойти защиту ядра, получить права суперпользователя и захватить полный контроль над устройством.
article-title

Уязвимость в sudo позволяет запускать на Linux-машинах команды с правами суперпользователя

Проблема возникает только при нестандартных настройках конфигурации и не затрагивает большинство Linux-серверов.
article-title

Опубликован список стран, уязвимых к атаке Simjacker

Исследователи рассказали, где может использоваться уязвимость Simjacker, и где уже используется.

article-title

Уязвимости в NTLM могут привести к полной компрометации домена

Уязвимости можно проэксплуатировать для релейной атаки, способной привести к компрометации сети и пользователей Active Directory.
article-title

Исправленная полтора года назад уязвимость Drupalgeddon2 используется в атаках

Злоумышленники по-прежнему активно эксплуатируют уязвимость для атак на крупные web-сайты.
article-title

В ПО Foxit PDF Reader исправлено 8 критических уязвимостей

Эксплуатация уязвимостей позволяет злоумышленнику удаленно выполнять произвольный код на целевых системах.
article-title

Уязвимость в WhatsApp позволяет получить доступ к устройству с помощью «гифки»

Все что нужно для атаки – создать вредоносный GIF-файл, отправить его жертве и дождаться, пока она его откроет в WhatsApp.
article-title

В VoIP-компонентах Android обнаружены опасные уязвимости

Исследователи впервые протестировали безопасность VoIP-компонентов Android.

article-title

В решениях для промышленной автоматизации Yokogawa исправлена опасная уязвимость

Эксплуатация уязвимости позволяет злоумышленнику локально выполнить вредоносный файл.
article-title

Уязвимость в OnApp позволяет захватить контроль над всеми серверами облачных провайдеров

Уязвимость в платформе OnApp позволяет злоумышленникам, получившим доступ лишь к одному серверу, захватить контроль над всеми.
article-title

Опубликован «неисправляемый» джейлбрейк для iOS-устройств

Инструмент Checkm8 эксплуатирует аппаратную уязвимость в Apple Bootrom (SecureROM).
article-title

Маршрутизаторы Cisco промышленного класса уязвимы к кибератакам

В ПО Cisco IOS и IOS XE обнаружено более десятка уязвимостей, в том числе одна с оценкой 9,9 балла из 10.

article-title

Adobe внепланово исправила критические уязвимости в ColdFusion

Эксплуатация уязвимостей позволяет выполнить произвольный код или обойти управление доступом на уязвимых системах.
article-title

Уязвимость в iOS 13 позволяет сторонним клавиатурам получать «полный доступ»

Полный доступ позволяет разработчикам клавиатуры получать данные о том, что пользователь на ней набирает.
article-title

Эксплойт для уязвимости в ПО vBulletin опубликован в открытом доступе

Ее эксплуатация позволяет злоумышленникам вводить команды и удаленно выполнять код на системе.
article-title

Microsoft в срочном порядке исправила уязвимость нулевого дня в IE

Компания выпустила экстренные патчи для уязвимостей в Internet Explorer и Microsoft Defender.

article-title

Опубликован эксплоит для уязвимости в phpAdmin

Уязвимость затрагивает все версии приложения phpMyAdmin.
article-title

Топ 25 самых опасных уязвимостей 2019 года

Их эксплуатация позволяет полностью взять под контроль выполнение ПО, украсть данные или помешать работе программного обеспечения.

article-title

Уязвимость в LastPass раскрывает пароли от ранее посещенных сайтов

Проблема исправлена в версии LastPass 4.33.0.

article-title

Уязвимость в iOS 13 позволяет просматривать контакты на заблокированном iPhone

Получить доступ к контактам на заблокированном устройстве можно с помощью нескольких простых действий.
article-title

Google предупредила об уязвимости во «встроенном ключе безопасности» Chrome OS

Эксплуатация уязвимости позволяет удаленно подделать ключ безопасности пользователя.
article-title

Siemens предупредила о наличии уязвимостей DejaBlue и SACK Panic в своих продуктах

Эксплуатация уязвимостей позволяет распространять вредоносное ПО и вызвать отказ в обслуживании системы.
article-title

Intel исправила уязвимости в Easy Streaming Wizard и ЦП серверного класса

Уязвимости позволяют повысить привилегии на системе и похитить информацию.
article-title

Adobe исправила в Flash Player опасные уязвимости

Проэксплуатировав обе уязвимости, злоумышленник может выполнить произвольный код в контексте текущего пользователя.
article-title

ЦП Intel серверного класса уязвимы к атакам NetCAT

Специалисты разработали новую атаку, позволяющую перехватывать нажатия клавиш во время сеанса SSH.
article-title

Уязвимость в Telegram позволяла просматривать удаленные изображения

Уязвимость затрагивает не только удаление файлов из отдельных диалогов, но и при отправке вложений в супергруппу Telegram.
article-title

Опубликован PoC-эксплоит для атак на Chrome

Промежуток между выходом патчей для открытых компонентов ПО и самого ПО дает злоумышленникам время на подготовку эксплоита.

article-title

Facebook исправила две опасные уязвимости в серверах HHVM

Эксплуатация позволяет удаленно получать конфиденциальную информацию или вызывать отказ в обслуживании сервера.
article-title

Apple поставила под сомнение выводы экспертов об уязвимости iPhone

Атаки на web-сайты осуществлялись только в течение короткого периода (примерно двух месяцев), а не «двух лет».
article-title

В Exim обнаружена вторая за два месяца критическая уязвимость

Уязвимость позволяет удаленно выполнить код и получить доступ к системе с правами суперпользователя.
article-title

В программном обеспечении от EZAutomation обнаружены критические уязвимости

Эксплуатация позволяет злоумышленнику выполнить удаленный код.
article-title

Twitter отключила функцию Tweet via SMS из-за взломов учетных записей

Злоумышленники осуществили спуфинг номера телефона гендиректора Twitter и делали публикации в соцсети от его имени.

article-title

Уязвимость в Samba исправлена спустя год после обнаружения

Ее эксплуатация позволяет обходить разрешения на общий доступ к файлам и выходить за пределы корневого каталога общего доступа.
article-title

Недавние патчи от Google не исправляют опасную уязвимость в Android

Уязвимость позволяет злоумышленникам повысить свои привилегии на взломанном устройстве до уровня ядра.

article-title

Устройства Zyxel могут быть взломаны с помощью DNS-запросов

Уязвимости затрагивают устройства сетевой безопасности серий USG, UAG, ATP, VPN и NXC, а также точки доступа Wi-Fi серий NWA, NAP и WAC.