Уязвимость – недостаток в компьютерной системе, использование которого, приводить к нарушению целостности системы и некорректной работе. Уязвимость появляются в результате ошибок программирования, недостатков, которые допускались при проектировании системы, ненадежных паролей, вредоносных программ, скриптовых и SQL-инъекций.
Уязвимость позволяет атакующему нарушить корректную работу приложения, к примеру, с помощью внедрения данных незапланированным способом; выполнения команды на системе, на которой выполняется данное приложение; или, используя упущение, которое позволяет получить доступ к памяти для выполнения кода на уровне привилегий программы. Запись данных в буфер, без проверки его границ, приводит к переполнению буфера и как результат происходит выполнение произвольного кода. Это также является уязвимостью. В результате недостаточной проверки данных, вводимых пользователем, возникает уязвимость, которая позволяет напрямую выполнить SQL (SQL-инъекции).
Уязвимости были обнаружены во всех основных операционных системах, включая Microsoft Windows, Mac OS, UNIX и OpenVMS.
5 Марта, 2021
Для уязвимости SIGRed опубликован первый PoC-эксплоит для удаленного выполнения кода
PoC-эксплоиты для SIGRed публиковались и ранее, но они позволяли только вызывать отказ в обслуживании.
4 Марта, 2021
Власти США обязали федеральные управления исправить уязвимость в Microsoft Exchange
Как минимум одна уязвимость в Microsoft Exchange активно эсплуатируется несколькими кибершпионскими группировками.
4 Марта, 2021
Уязвимость за $50 тыс. позволяла взломать любую учетную запись Microsoft
Уязвимость позволяла с помощью брутфорса подобрать код , отправляемый пользователю в процессе смены пароля.
3 Марта, 2021
Microsoft выпустила экстренные патчи для четырех уязвимостей 0-day в Exchange
Уязвимости уже активно эксплуатируются китайской APT-группировкой Hafnium
2 Марта, 2021
На VirusTotal обнаружены рабочие Linux- и Windows-эксплоиты для уязвимости Spectre
Эксплоиты позволяют непривилегированным пользователям извлекать из памяти ядра хеши LM/NT и файл /etc/shadow.
26 Февраля, 2021
Получите практические навыки реверс-инжиниринга
"Otus онлайн образование" в марте подготовил серию бесплатных вебинаров.
25 Февраля, 2021
Для высокоопасной уязвимости в VMware vCenter опубликован PoC-эксплоит
Исследователь опубликовал PoC-эксплоит сразу же после выхода исправления, не дав компаниям времени на его развертывание.
25 Февраля, 2021
Уязвимость в Twitter позволяет маркировать произвольные твиты как утечки
Проблема воспроизводится как в iOS- и Android-приложениях Twitter, так и в web-версии.
24 Февраля, 2021
Эксперты установили, кто стоит за атаками на пользователей Accellion FTA
Атаки на ПО для обмена файлами начались в декабре 2020 года и привели к компрометации данных, принадлежащих клиентам Accellion.
20 Февраля, 2021
Браузер Brave оставляет следы onion-адресов в DNS-трафике
В режиме Tor браузер Brave отправляет запросы доменов .onion не на узлы Tor, а на публичные DNS-резолверы.
18 Февраля, 2021
В QNAP Surveillance Station исправлена критическая уязвимость
Уязвимость позволяет удаленно выполнить вредоносный код на сетевом хранилище с уязвимой версией приложения.
15 Февраля, 2021
На смартфоны Samsung можно устанавливать стороннее ПО с правами администратора
Исследователь безопасности обнаружил в смартфонах Samsung две уязвимости.
14 Февраля, 2021
Протокол Сream Finance взломан хакерами, украдено $37,5 млн.
Известно, что хакер воспользовался уязвимостью технологии моментальных или флеш-кредитов, однако подробности взлома уточняются.
12 Февраля, 2021
Accellion объявила о прекращении поддержки ПО, использовавшегося в кибератаках
В декабре прошлого года хакеры атаковали компании по всему миру через уязвимость нулевого дня в Accellion FTA.
10 Февраля, 2021
Microsoft исправила более полусотни уязвимостей, в том числе уязвимость нулевого дня
Уязвимость 0-day позволяет злоумышленникам или вредоносному ПО повышать свои привилегии до уровня администратора.
7 Февраля, 2021
Google запустила программу отслеживания уязвимостей в открытом ПО
Компания Google запустила новый сервис OSV (Open Source Vulnerabilities), предлагающий доступ к базе данных с информацией об уязвимостях в открытом ПО.
5 Февраля, 2021
В Google Chrome исправлена уязвимость нулевого дня
Уязвимость, вероятнее всего, эксплуатировалась северокорейскими хакерами в атаках на ИБ-экспертов.
5 Февраля, 2021
В Wi-Fi-модулях Realtek исправлены опасные уязвимости
Модули подвержены уязвимостям переполнения буфера и чтения за границами выделенной области памяти.
3 Февраля, 2021
Старая уязвимость в Sudo также затрагивает последнюю версию macOS
Эксплуатация уязвимости позволяет злоумышленникам с доступом к локальной системе получить права суперпользователя.
2 Февраля, 2021
Опасная уязвимость в Libgcrypt затрагивает многие дистрибутивы Linux
Уязвимость позволяет атакующему удаленно выполнить код на системе.
2 Февраля, 2021
Хакеры могут взломать компьютеры пользователей через Cyberpunk 2077
Модификации популярной игры Cyberpunk 2077 позволяют хакерам получить доступ к персональному компьютеру пользователя через дополнительные файлы
1 Февраля, 2021
Новый червь атакует серверы Apache, Oracle, Redis с целью майнинга криптовалют
Группировка Rocke продолжает атаковать необновленные серверы через старые известные уязвимости.
1 Февраля, 2021
Машинное обучение прокладывает новый путь для поиска SQLi-уязвимостей
Эксперты использовали обучение с подкреплением для автоматизации процесса эксплуатации SQLi-уязвимостей.
27 Января, 2021
10-летний баг в Sudo позволяет пользователям Linux получить права суперпользователя
С его помощью пользователь с низкими привилегиями может получить права суперпользователя, даже если его учетной записи нет в /etc/sudoers.
27 Января, 2021
Apple исправила три уязвимости нулевого дня в iOS, iPadOS и tvOS
Хакеры могут эксплуатировать эти уязвимости в связке для осуществления атак watering hole.
26 Января, 2021
Новая уязвимость TikTok позволяет собирать личные данные пользователей
Уязвимость позволит злоумышленникам получать доступ к личным данным в профилях пользователей, в том числе к номеру телефона.
26 Января, 2021
Экс-участник LulzSec опубликовал эксплоит для уязвимости в SonicWall VPN
Уязвимость эксплуатировалась хакером Phineas Fisher для взлома Hacking Team.
25 Января, 2021
Исследователь запустил сайт для публикации уязвимостей в вредоносном ПО
На сайте представлены названия вредоносов, подробные технические описания уязвимостей и PoC-эксплоиты.
24 Января, 2021
Хакеры атаковали производителя SonicWall через 0-day уязвимость в его же VPN-продуктах
Злоумышленники проэксплуатировали уязвимость в VPN-устройстве Secure Mobile Access и VPN-клиенте NetExtender.
22 Января, 2021
Три уязвимости в SolarWinds Orion позволяют удаленное выполнение кода
Одна из уязвимостей (CVE-2020-14005) использовалась в недавней атаке SUNBURST на компанию SolarWinds.
22 Января, 2021
В открытом доступе опубликован эксплоит для получения прав суперпользователя в SAP
Эксплоит является полнофункциональным и предназначен для уязвимости в SAP SolMan (CVE-2020-6207).
20 Января, 2021
Уязвимости в популярных мессенджерах позволяли шпионить за пользователями
Баги в Signal, Google Duo и Facebook Messenger позволяли устройству вызываемого абонента передавать аудио до того, как он ответит на звонок.
20 Января, 2021
Уязвимости в Dnsmasq позволяют осуществлять атаку «отравление кеша DNS»
В общей сложности исследователи выявили в ПО Dnsmasq семь уязвимостей, объединенных под названием DNSpooq.
19 Января, 2021
Баг в Windows 10 вызывает синий экран смерти, если открыть определенный путь
При введении пути в адресную строку браузера незамедлительно происходит аварийное завершение работы Windows 10.
18 Января, 2021
Принудительное развертывание патча для уязвимости Zerologon начнется в феврале
С помощью Zerologon хакеры могут повысить привилегии до администратора домена и захватить контроль над доменом.
18 Января, 2021
Олимпиаду первого уровня можно взломать всего за секунду
Уязвимости на сайте одной из самых популярных олимпиад первого уровня позволяют подделать результаты.
15 Января, 2021
TikTok собирал MAC-адреса через уязвимость в Android
С помощью техники, замаскированной с использованием дополнительного слоя шифрования, TikTok обходил механизмы безопасности в Android.
13 Января, 2021
Раскрыта сложная вредоносная кампания против пользователей Android и Windows
В ходе кампании злоумышленники эксплуатировали как известные уязвимости, так и уязвимости нулевого дня.
13 Января, 2021
Microsoft исправила уязвимость нулевого дня в Microsoft Defender
В рамках первого в нынешнем году «вторника исправлений» Microsoft исправила 83 уязвимости в своих продуктах.
7 Января, 2021
Обнаружена серьезная уязвимость в Samsung Galaxy Note 20
Из-за «ненормального поведения» сканера отпечатков пальцев в смартфонах серии Galaxy Note20, смартфон мог разблокировать любой посторонний человек, просто отсканировав свой палец.
6 Января, 2021
Уязвимость в Telegram позволяет определить местонахождение пользователя
Популярный мессенджер Telegram содержит уязвимость, благодаря которой можно определить точное местонахождение пользователя.
2 Января, 2021
Более 100 000 межсетевых экранов и VPN-шлюзов Zyxel содержат встроенный бэкдор
Уязвимости подвержено множество популярных продуктов Zyxel из линейки устройств бизнес-класса, обычно развертываемых в частных корпоративных и государственных сетях.
29 Декабря, 2020
Уязвимость в Документах Google позволяла просматривать чужие документы
Уязвимость позволяла похищать из сервиса Документы Google скриншоты документов, просто встроив их в вредоносный сайт.
24 Декабря, 2020
Недоисправленная 0-day уязвимость в Windows получила новый PoC-эксплоит
Уязвимость, для которой еще в июне был выпущен патч, по-прежнему может эксплуатироваться в атаках.
23 Декабря, 2020
Более 7 млн устройств открыты к атакам с использованием похищенных инструментов FireEye
Инструменты FireEye эксплуатируют 16 уязвимостей в продуктах Pulse Secure, Microsoft, Fortinet, Citrix и Adobe.
23 Декабря, 2020
Опасные уязвимости в стеке Treck TCP/IP затрагивают миллионы IoT-устройств
С помощью уязвимостей злоумышленники могут запускать произвольные команды и вызывать отказ в обслуживании.
23 Декабря, 2020
Китай использовал похищенные данные для раскрытия агентурной сети ЦРУ
Десять лет назад между Пекином и Вашингтоном началась борьба за глобальный контроль над данными.
18 Декабря, 2020
В 2020 году US-CERT задокументировала рекордные 17 447 уязвимостей
Четвертый год подряд US-CERT фиксирует рекордное количество уязвимостей.
16 Декабря, 2020
За год пандемии существенно возросло число отчетов об уязвимостях
Активизация хакеров в период пандемии COVID-19 заставила компании увеличить вознаграждение за сообщения об уязвимостях.
16 Декабря, 2020
Миллионы уязвимых OT- и IoT-устройств представляют угрозу для критической инфраструктуры
Львиная доля использующихся на предприятиях OT- и IoT-устройств все еще уязвима к URGENT/11 и CDPwn.
14 Декабря, 2020
Хакеры взламывают WordPress-сайты через уязвимость в плагине Easy WP SMTP
Версия Easy WP SMTP 1.4.2 и более ранние сохраняют в папке установки журнал отладки для всех отправленных сайтом электронных писем.
10 Декабря, 2020
D-Link исправила опасные уязвимости в своих VPN-маршрутизаторах
Исправления представлены в виде «горячих» патчей, а официальный релиз обновления для прошивки запланирован на середину декабря.
9 Декабря, 2020
Microsoft выпустила декабрьские плановые обновления безопасности
Декабрьский набор патчей исправляет 58 уязвимостей, 9 из которых обозначены как критические.
8 Декабря, 2020
Русские хакеры эксплуатируют недавно исправленную уязвимость в продуктах VMware
Злоумышленники эксплуатируют уязвимость в атаках на организации с целью похищения конфиденциальных данных.
8 Декабря, 2020
Опасные уязвимости в миллионах IoT-устройств никогда не будут исправлены
Уязвимости под общим названием Amnesia:33 затрагивают миллионы устройств от 150 производителей.
3 Декабря, 2020
Ботнет DarkIRC активно атакует серверы Oracle WebLogic
Многофункциональное вредоносное ПО DarkIRC доступно в даркнете всего за $75.
2 Декабря, 2020
В ближайшее время ожидается рост числа атак с использованием контейнеров Docker
Из 4 млн проанализированных образов в Docker Hub 51% содержит опасные уязвимости.
26 Ноября, 2020
Платформа 0patch выпустила временный патч для уязвимости в Windows 7 и Server 2008 R2
С помощью уязвимости локальный атакующий может повысить свои привилегии и в итоге выполнить код.
25 Ноября, 2020
Двухфакторную аутентификацию в cPanel можно обойти
В ПО cPanel исправлена опасная уязвимость, помогающая злоумышленникам взломать управляемые с его помощью сайты.
24 Ноября, 2020
Уязвимость в продуктах VMware позволяет скомпрометировать систему
Для критической уязвимости в продуктах VMware представлено временное исправление.
23 Ноября, 2020
Хакер опубликовал эксплоиты для 50 тыс. уязвимых VPN-устройств Fortinet
Все устройства подвержены известной и уже исправленной уязвимости обхода каталога в Fortinet FortiOS SSL VPN (CVE-2018-13379).
20 Ноября, 2020
Эксперты прогнозируют увеличение числа атак на пользователей Chrome
Большая часть пользователей работает с устаревшими версиями Chrome, содержащими недавно раскрытие уязвимости нулевого дня.
20 Ноября, 2020
Android-мессенджер со 100 млн загрузок раскрывает пересылаемые медиафайлы
Обнаружившие уязвимость исследователи неоднократно пытались связаться с разработчиком, но безуспешно.
19 Ноября, 2020
Хакеры массово сканируют интернет в поисках WordPress-сайтов с уязвимыми темами
Хакеры могут проэксплуатировать связку недавно исправленных уязвимостей в Epsilon Framework, удаленно выполнить код и получить контроль над сайтом.
19 Ноября, 2020
Microsoft исправила опасную уязвимость в более неподдерживаемой Windows 10 1809
Накопительное обновление KB4594442 исправляет проблему с аутентификацией Kerberos и продлением мандатов.
18 Ноября, 2020
Эксперты предупредили о рисках подключения Tesla Backup Gateway к интернету
По словам исследователей, открытые подключения могут использоваться злоумышленниками для нарушения конфиденциальности пользователей.
13 Ноября, 2020
Уязвимости в смарт-контрактах Ethereum могут привести к потере миллионов долларов
Уязвимости позволяют манипулировать кодом и похитить максимально возможные суммы за короткий период времени.
12 Ноября, 2020
Google исправила еще две уязвимости нулевого дня в Chrome
Это уже четвертая и пятая уязвимости нулевого дня в Chrome, исправленные Google за последние несколько недель.
11 Ноября, 2020
Ноябрьские обновления безопасности Microsoft исправляют 0-day в Windows
Уязвимость существует в ядре Windows и затрагивает все поддерживаемые версии ОС.
6 Ноября, 2020
Apple исправила три уязвимости нулевого дня в iOS и macOS
Эксплуатация уязвимостей в атаках аналогична недавно раскрытым уязвимостям нулевого дня в Windows и Chrome.
5 Ноября, 2020
Cisco сообщила об опасной уязвимости в AnyConnect Secure Mobility Client
Для уязвимости уже доступен PoC-эксплоит, но Cisco еще только работает над ее исправлением.
3 Ноября, 2020
Хакеры UNC1945 взламывали сети компаний через 0-day в Oracle Solaris
По мнению специалистов, группировка приобрела эксплоит для уязвимости CVE-2020-14871 на черном рынке.
3 Ноября, 2020
Oracle выпустила внеплановое обновление для WebLogic Server
Внеплановое обновление исправляет критическую уязвимость, уже эксплуатирующуюся киберпреступниками.
3 Ноября, 2020
Google исправила вторую за две недели уязвимость нулевого дня в Chrome
Согласно журналу изменений, проблема затрагивает V8 – компонент для обработки JavaScript-кода.
2 Ноября, 2020
CERT запустил Twitter-бот, который будет давать уязвимостям случайные названия
Специалисты пытаются уменьшить количество сенсационных названий уязвимостей, пугающих пользователей.
29 Октября, 2020
Экспертам удалось извлечь ключ шифрования для микрокода в ЦП Intel
Имея расшифрованное обновление, хакеры могут осуществить его реверс-инжиниринг и выяснить, как можно проэксплуатировать уязвимость.
29 Октября, 2020
Более 100 тыс. систем все еще уязвимы к SMBGhost
Многие уязвимые системы (22%) находятся на Тайване, а также в Японии (20%), России (11%) и США (9%).
27 Октября, 2020
Google работает над исправлением уязвимости в DRM-технологии Widevine
PoC-эксплоит для уязвимости в виде расширения для Google Chrome на Microsoft Windows доступен на Github.
27 Октября, 2020
Эксперты вычислили автора популярных эксплоитов по почерку
В общей сложности специалисты выявили пять эксплоитов авторства PlayBit, имеющие общие черты.
26 Октября, 2020
Великобритания тайно атаковала российских лидеров
По словам бывшего члена британского Кабмина, у Москвы тоже есть уязвимости, которые можно проэксплуатировать.
22 Октября, 2020
Операторы бэкдора SLUB шпионят за пользователями через взломанные сайты
Обнаружена новая вредоносная кампания watering hole под названием Operation Earth Kitsune.
22 Октября, 2020
Команда WordPress пошла на крайние меры для исправления уязвимости в плагине
Уязвимости в плагине Loginizer позволяют осуществить SQL-инъекцию и захватить управление сайтом.
22 Октября, 2020
Хакеры активно атакуют корпоративные MDM-серверы MobileIron
Киберпреступники всех мастей эксплуатируют опасную уязвимость в MDM-решениях MobileIron, исправленную еще в июле.
21 Октября, 2020
7 мобильных браузеров уязвимы к спуфингу адресной строки
Уязвимости позволяют злоумышленникам подделать URL в адресной строке браузера и заманить жертву на вредоносный сайт.
21 Октября, 2020
АНБ США представило топ-25 эксплуатируемых китайскими хакерами уязвимостей
Большинство уязвимостей позволяют получить первоначальный доступ к атакуемым корпоративным сетям.
21 Октября, 2020
Google исправила уязвимость нулевого дня в Chrome
Уязвимость повреждения памяти в FreeType активно эксплуатируется хакерами в атаках на пользователей Chrome.
15 Октября, 2020
Для критической уязвимости в Windows 10 созданы PoC-эксплоиты
Киберкомандование США настоятельно рекомендует установить исправление для уязвимости Bad Neighbor.
14 Октября, 2020
В 2,2 тыс. виртуальных установок обнаружены 400 тыс. уязвимостей
Исследователи изучили продукты от 540 вендоров и присвоили им рейтинг безопасности.
14 Октября, 2020
Уязвимость в приставках Hindotech HK1 TV Box позволяет похищать пароли и переписку
Уязвимость существует из-за ненадлежащего контроля доступа к инструментам отладки.
14 Октября, 2020
Microsoft исправила ряд уязвимостей удаленного выполнения кода в своих продуктах
В рамках октябрьского «вторника исправлений» было исправлено 87 уязвимостей.
12 Октября, 2020
Российские хакеры вооружились уязвимостью Zerologon
Группировка TA505, она же Evil Corp, использует в своих атаках поддельные обновления для ПО.
9 Октября, 2020
Группа "белых хакеров" обнаружила в сервисах Apple 55 уязвимостей
Общая сумма вознаграждения за обнаруженные уязвимости составила 288000$.
8 Октября, 2020
Эксперты превратили пульт от телевизора в шпионское устройство
Исследователи модифицировали прошивку пульта XR11 таким образом, чтобы удаленно включать его микрофон.
7 Октября, 2020
Хакеры могут навсегда заблокировать подключенные к интернету пояса верности
Возможность вручную снять гаджет в случае его блокировки не предусмотрена.
6 Октября, 2020
Иранские хакеры активно эксплуатируют уязвимость ZeroLogon
Жертвами становятся крупные компании в странах Среднего Востока и Азии.
5 Октября, 2020
Ботнет Ttint эксплуатирует 0day-уязвимость в маршрутизаторах Tenda
Ttint на несколько порядков выше других ботнетов, обнаруженных в прошлом году.
5 Октября, 2020
Google набирает команду экспертов для аудита безопасности сторонних приложений
Новая команда займется поиском уязвимостей в сторонних критически важных приложениях из Google Play Store.
2 Октября, 2020
Дешевые смарт-розетки уязвимы ко взлому и могут самовозгореться
Специалисты изучили десять «умных» розеток от различных производителей и магазинов и нашли в них уязвимости.
28 Сентября, 2020
Twitter предупредила о потенциальной утечке ключей API
Портал developer.twitter.com давал браузерам инструкции создавать и сохранять в кэше копии ключей API и токенов доступа.
24 Сентября, 2020
Уязвимость Zerologon активно эксплуатируется в реальных атаках
Киберпреступники взяли на вооружение исправленную в прошлом месяце уязвимость в Windows Server.
23 Сентября, 2020
Обнаружен новый вектор эксплуатации опасной уязвимости в Citrix Workspace
Злоумышленники могут повышать привилегии на системе и удаленно выполнять произвольные команды с привилегиями SYSTEM.
23 Сентября, 2020
Уязвимость ZeroLogon затрагивает некоторые версии Samba
Уязвимость позволяет получить доступ к домену на уровне администратора.
16 Сентября, 2020
В решениях для управления мобильными устройствами от MobileIron исправлены уязвимости
Одна из уязвимостей позволяет удаленно выполнить произвольный код на сервере MobileIron.
14 Сентября, 2020
Исследователь два года молчал об уязвимости в Bitcoin в целях безопасности
Уязвимость в Bitcoin Core была обнаружена и исправлена в 2018 году, но широкая общественность узнала о ней только сейчас.
10 Сентября, 2020
Intel исправила высокоопасную уязвимость в AMT и ISM
Intel выпустила исправления для ряда уязвимостей в своих продуктах.
9 Сентября, 2020
Уязвимости в CodeMeter позволяют атаковать промышленные системы
Уязвимости могут эксплуатироваться удаленно без авторизации для осуществления DoS-атак или выполнения кода.
9 Сентября, 2020
Сентябрьский пакет обновлений исправляет более 120 уязвимостей в продуктах Microsoft
Компания устранила несколько десятков критических уязвимостей.
7 Сентября, 2020
На миллионы WordPress-сайтов обрушилась волна кибератак
Киберпреступники обнаружили уязвимость нулевого дня в популярном плагине File Manager.
5 Сентября, 2020
Власти США выпустили директиву защиты космических систем от хакерских атак
Разработчиков таких систем обяжут продумать механизмы защиты от глушения сигнала с помощью проверенных шифровальных систем и новейших передатчиков.
28 Августа, 2020
Выпуск огромного числа патчей в один день влечет риски и стресс для IT-команд
Команды безопасности вынуждены сортировать, тестировать и устанавливать патчи в короткое время.
25 Августа, 2020
Уязвимость в Safari позволяет украсть файлы со смартфонов и ПК
Apple раскритиковали за задержку выпуска патчей.
24 Августа, 2020
Уязвимость в системах мониторинга Xorux может привести ко взлому корпоративной сети
Уязвимость позволяет неавторизованным пользователям проводить удаленное исполнение команд ОС на сервере мониторинга при отправке запросов с главной веб-страницы решения, что может привести к компрометации сервера мониторинга.
21 Августа, 2020
Топ-25 самых опасных уязвимостей 2020 года
Первое место в списке заняла уязвимость типа межсайтовое выполнение сценариев.
20 Августа, 2020
Уязвимость в СУБД IBM Db2 может привести к утечке данных и отказу в обслуживании
Уязвимость возможно проэекслуатировать удаленно с помощью вредоносного ПО.
19 Августа, 2020
Десктопные почтовые клиенты позволяют похищать данные пользователей
Реализация технологии mailto в некоторых десктопных почтовых клиентах позволяет похищать файлы.
18 Августа, 2020
Уязвимость в серверах Jenkins может привести к утечке данных
Проблема содержится в web-сервере Jetty.
17 Августа, 2020
Команда Apache Struts предупредила о новых уязвимостях во фреймворке
Одна из уязвимостей может использоваться для удаленного выполнения кода.
14 Августа, 2020
Instagram больше года хранила удаленные фото и частные сообщения
Представители компании объяснили проблему багом в системе.
12 Августа, 2020
Уязвимость в Windows позволяет обходить Enterprise Authentication
Microsoft выпустила исправление для уязвимости, но оно оказалось неполным.
12 Августа, 2020
Intel предупредила об опасной уязвимости в материнских платах и серверных системах
Уязвимость CVE-2020-8708 позволяет неаутенифицированному атакующему удаленно повысить привилегии на системе.
12 Августа, 2020
Уязвимость в Chrome ставит под угрозу данные миллиардов пользователей
Проблема присутствует в Chrome, Opera и Edge на базе движка Chromium.
11 Августа, 2020
Уязвимости в службе «Найти телефон» позволяют взломать Samsung Galaxy
В компонентах службы обнаружены уязвимости, которые в связке позволяют производить целый ряд действий на взломанном телефоне.
9 Августа, 2020
Уязвимость в HDL позволяла захватить контроль над умным домом
В системе автоматизации для "умного дома" HDL исправлена опасная уязвимость.
4 Августа, 2020
Positive Technologies помогла устранить уязвимости в распределенной системе управления CENTUM компании Yokogawa
Уязвимости были найдены в компоненте CAMS for HIS, отвечающем за управление аварийными сообщениями и событиями в системе управления промышленного объекта.
1 Августа, 2020
Netgear не будет устранять критическую уязвимость в 45 моделях маршрутизаторов
Решение в компании объяснили тем, что у 49 устройств закончился период поддержки
30 Июля, 2020
Баг в Zoom позволял за считанные минуты взломать код доступа
Встречи в Zoom по умолчанию были защищены шестизначным кодом, а значит, что существовало 1 млн возможных комбинаций.
30 Июля, 2020
Уязвимость в GRUB2 позволяет прятать вредоносное по на Linux- и Windows-ПК
С помощью BootHole злоумышленник может скомпрометировать процесс загрузки ОС и внедрить буткит.
28 Июля, 2020
Dell EMC устранил уязвимость в серверном контроллере удаленного доступа iDRAC, выявленную Positive Technologies
Уязвимость позволяет злоумышленнику получить полный контроль над сервером.
22 Июля, 2020
Для критической уязвимости в .NET опубликован PoC-эксплоит
По мнению ИБ-экспертов, эксплуатация уязвимости в .NET куда более вероятна по сравнению с нашумевшей SigRed.
19 Июля, 2020
Trend Micro фиксирует взрывной рост атак на домашние роутеры
Устройство может продолжать работать, будучи зараженным и сразу несколькими вирусами, выполняя задачи разных группировок хакеров одновременно
16 Июля, 2020
Разработчики Rust исправили серьезные проблемы безопасности
По словам разработчиков, уязвимости чрезвычайно сложно проэксплуатировать в реальных атаках.
16 Июля, 2020
Для критической уязвимости в SAP опубликован PoC-эксплоит
Эксплоит предназначен для уязвимостей CVE-2020-6287 и CVE-2020-6286.
15 Июля, 2020
Microsoft исправила 123 уязвимости в 13 продуктах
22 исправленные уязвимости позволяют удаленное выполнение кода.
15 Июля, 2020
В Windows Server обнаружена крайне опасная уязвимость 17-летней давности
Критическая уязвимость SigRed позволяет захватить полный контроль над IT-инфраструктурой предприятия.
14 Июля, 2020
Meetecho исправила шесть опасных уязвимостей в Janus WebRTC
Уязвимости позволяют вызвать отказ в обслуживании или удаленно выполнить код.
14 Июля, 2020
Уязвимость в SAP позволяет похищать конфиденциальные данные компаний
RECON представляет собой тот редкий случай, когда по шкале оценивания опасности CVSSv3 уязвимость получила 10 баллов из 10.
10 Июля, 2020
Критическая уязвимость в Zoom ставит под угрозу ПК с устаревшими версиями Windows
С помощью уязвимости удаленный атакующий может выполнить код на Windows 7, Windows Server 2008 R2 и более ранних.
8 Июля, 2020
В Citrix ADC, Citrix Gateway и Citrix SD-WAN WANOP исправлен ряд уязвимостей
Уязвимости позволяют раскрывать информацию, внедрять код, вызывать отказ в обслуживании и пр.
7 Июля, 2020
Пользователи подали в суд на Apple и T-Mobile за уязвимость в iMessage и FaceTime
Сервисы Apple привязывались к номерам телефонов, что приводило к утечкам данных.
7 Июля, 2020
Уязвимость в .NET Core позволяет вредоносному ПО обходить обнаружение
С помощью уязвимости пользователь с низкими привилегиями может загружать вредоносные сборщики мусора (DLL).
2 Июля, 2020
В Apache Guacamole исправлены опасные уязвимости
Уязвимость позволяет злоумышленникам получить полный контроль над сервером Guacamole.
2 Июля, 2020
Уязвимости в macOS позволяют обойти систему защиты конфиденциальности
Уязвимости затрагивают систему защиты конфиденциальности TCC (Transparency, Consent, and Control).
30 Июня, 2020
Уязвимые Wi-Fi ретрансляторы открывают удаленный доступ к домашним сетям
В ретрансляторах Wi-Fi сигнала Tenda PA6 Wi-Fi Powerline обнаружены три уязвимости.
30 Июня, 2020
В PAN-OS исправлена чрезвычайно опасная уязвимость
Уязвимость позволяет удаленно отключать межсетевые экраны Palo Alto Networks.
23 Июня, 2020
В Bitdefender Total Security 2020 исправлена критическая уязвимость
Уязвимость позволяет внешним web-страницам запускать удаленные команды в процессе Safepay Utility.
23 Июня, 2020
В AMD APU обнаружены три опасные уязвимости
Уязвимости позволяют получить контроль над прошивкой UEFI и выполнить код на уровне SMM.
18 Июня, 2020
В драйвере шины от FabulaTech найдена опасная уязвимость
Уязвимость позволяет атакующему повысить свои привилегии на системе путем добавления поддельных устройств.
17 Июня, 2020
Уязвимости Ripple20 затрагивают миллиарды устройств по всему миру
Проблемы были обнаружены в TCP/IP-библиотеке Treck, и с их помощью можно удаленно получить контроль над устройством.
14 Июня, 2020
Вымогательское ПО Black Kingdom атакует предприятия через Pulse Secure VPN
Вымогатель шифрует файлы на компьютере жертв, добавляя к ним расширение .DEMON, и требует $10 тыс.
11 Июня, 2020
Атака SGAxe позволяет похищать защищенные данные из анклавов Intel SGX
Уязвимость в процессорах Intel позволяет авторизованному локальному злоумышленнику раскрыть информацию.
10 Июня, 2020
«Странное поведение» cmd.exe позволяет выполнение произвольных команд
По уверению Microsoft, обнаруженная исследователем особенность является предусмотренным функционалом.
10 Июня, 2020
Intel исправила очередную MDS-уязвимость в своих процессорах
Подобно Meltdown и Spectre, уязвимость CrossTalk базируется на спекулятивном исполнении команд.
10 Июня, 2020
Июньский «вторник исправлений» стал крупнейшим за всю историю Microsoft
В нынешнем месяце Microsoft исправила за один раз рекордное количество уязвимостей.
5 Июня, 2020
Обнаружена масштабная вредоносная кампания против WordPress-сайтов
Злоумышленники эксплуатируют старые XSS-уязвимости в необновленных плагинах и темах.
3 Июня, 2020
Выпущенные за последние 7 лет смартфоны LG уязвимы к атаке «холодной перезагрузки»
В загрузчике ОС, используемом в смартфонах LG, начиная с серии Nexus 5, исправлена опасная уязвимость.
1 Июня, 2020
Популярный «клон» TikTok оказалось легко взломать
Взломать любую учетную запись в приложении Mitron можно в считанные секунды.
29 Мая, 2020
АНБ США предупредило о новой волне кибератак на почтовые серверы
Киберпреступная группа Sandworm атакует серверы с уязвимым агентом пересылки сообщений Exim.
27 Мая, 2020
Уязвимость StrandHogg 2.0 позволяет захватить контроль над любым Android-приложением
StrandHogg 2.0 получила свое название из-за сходства с обнаруженной ранее уязвимостью StrandHogg.
22 Мая, 2020
Хакеры пытались установить вымогательское ПО через уязвимость в Sophos XG
После исправления уязвимости киберпреступники были вынуждены изменить свою тактику.
21 Мая, 2020
Найден способ эксплуатации уязвимости в Qmail 15-летней давности
Уязвимость CVE-2005-1513 была раскрыта в 2005 году, но до сих пор остается неисправленной.
20 Мая, 2020
Уязвимость в DNS-серверах позволяет в тысячу раз усилить мощность DDoS-атаки
Уязвимость NXNSAttack затрагивает рекурсивные DNS-серверы и процесс делегирования.
19 Мая, 2020
В Bluetooth обнаружена опасная уязвимость BIAS
Проблема затрагивает классическую версию протокола Basic Rate/Enhanced Data Rate.
15 Мая, 2020
В межсетевых экранах Cyberoam обнаружены уязвимости
Уязвимости могут предоставить хакерам доступ к устройствам Cyberoam.
15 Мая, 2020
Microsoft «недоисправила» уязвимость в RDP
Прошлогодний патч для уязвимости CVE-2019-0887 оказался недостаточно эффективным.
14 Мая, 2020
Уязвимость PrintDemon затрагивает все версии Windows, выпущенные с 1996 года
Уязвимость присутствует в отвечающем за печать компоненте Windows Print Spooler.
13 Мая, 2020
Huawei отрицает свою причастность к созданию уязвимого патча для Linux
Помимо нескольких улучшенных опций безопасности патч добавляет в ядро Linux простую в эксплуатации уязвимость.
13 Мая, 2020
Опубликован топ-10 самых популярных уязвимостей в ПО
Власти США опубликовали список уязвимостей в ПО, чаще всего эксплуатировавшихся в 2016-2019 годах.
12 Мая, 2020
В vBulletin исправлена опасная уязвимость
Злоумышленники могут осуществить реверс-инжиниринг патча и разработать эксплоит.
6 Мая, 2020
Киберпреступники атаковали 1 млн сайтов под управлением WordPress
Эксперты зафиксировали масштабную вредоносную кампанию, нацеленную на WordPress-сайты.
2 Мая, 2020
В SaltStack Salt обнаружены критические уязвимости
Уязвимости исправлены в версии фреймворка 3000.2.
29 Апреля, 2020
Операторы Usenet ушли в offline из-за беспрецедентной утечки данных
Проблема могла быть вызвана вредоносным программным инструментом для доступа к Usenet.
27 Апреля, 2020
Уязвимости в РСУ ABB могут привести к сбоям в промышленной среде
Уязвимости позволяют удаленно выполнить код, вызвать отказ в обслуживании и повысить привилегии.
27 Апреля, 2020
Взломать учетную запись Microsoft Teams можно было с помощью GIF
Microsoft исправила опасную уязвимость, позволявшую получать доступ к чужим учетным записям Microsoft Teams.
24 Апреля, 2020
Обзор уязвимостей за неделю: 24 апреля 2020 года
Было обнаружено множество уязвимостей удаленного выполнения кода в различных программах.
24 Апреля, 2020
Apple не нашла следов эксплуатации «0day-уязвимостей» в iOS в реальных атаках
Компания не отрицает наличия в iOS уязвимостей, но сомневается в том, что их уже эксплуатируют киберпреступники.
24 Апреля, 2020
АНБ опубликовало инструменты для выявления web-оболочек на серверах
Спецслужбы США и Австралии привлекли внимание компаний к обычно упускаемому из виду вектору атак через web-оболочки.
22 Апреля, 2020
Microsoft выпустила внеплановые обновления для уязвимостей в Office и Paint 3D
Уязвимости были обнаружены в 3D-библиотеке Autodesk для файлов FBX.
22 Апреля, 2020
Представлен способ превращения антивирусов в инструмент для самоуничтожения
Сделать антивирусное ПО бесполезным можно с помощью символических ссылок.
22 Апреля, 2020
Для четырех неисправленных уязвимостей в IBM IDRM опубликованы PoC-эксплоиты
Исследователь решил раскрыть уязвимости после того, как IBM не приняла его отчет, поданный по всем правилам через CERT/CC.
20 Апреля, 2020
Хакеры заражают больницы вымогательским ПО с помощью учетных данных AD
Заполучив учетные данные, злоумышленники проникают в сетевую среду организации через уязвимые установки Pulse Secure VPN.
17 Апреля, 2020
Обзор уязвимостей за неделю: 17 апреля 2020 г.
За последнюю неделю был обнаружен ряд уязвимостей в различных программах, включая продукты Microsoft, Adobe и Oracle.
16 Апреля, 2020
Две ранее неизвестные уязвимости в Zoom выставлены на продажу
Уязвимости позволяют подглядывать за чужими видеозвонками.
15 Апреля, 2020
Уязвимость в OnePlus 7 Pro позволяет похитить отпечатки пальцев
Хотя уязвимость сложно проэксплуатировать, она проливает свет на более серьезную проблему.