Социальные сети Рунета
Понедельник, 17 июня 2019
4 мая 2018   17:39

В процессорах Intel обнаружено 8 новых уязвимостей Spectre следующего поколения

В процессорах Intel обнаружено сразу 8 новых уязвимостей Spectre. Четыре из них имеют высокий риск, оставшиеся четыре – средний риск. Эти новые уязвимости получили общее название Spectre Next Generation (NG). На текущий момент технические подробности об уязвимостях не сообща...

Подробности на сайте: itc.ua

Исправление уязвимости Intel ZombieLoad снижает производительность процессоров Новая обнаруженная уязвимость в процессорах Intel позволяет злоумышленникам получать доступ к конфиденциальной информации. Атака получила название ZombieLoad. Суть уязвимостиНовая уязвимость была обнаружена в процессорах Intel учеными из Технологического университета…

ZombieLoad — новая уязвимость в процессорах Intel Исследователи обнаружили новую уязвимость в системе безопасности процессоров Intel, которая может использоваться для кражи  конфиденциальной информации. Уязвимости подвержены не только персональные компьютеры, но и облачные серверы, благодаря чему злоумышленники могут получ...

Intel пыталась купить молчание исследователей, обнаруживших новые уязвимости в ее процессорах Одна из самых резонансных новостей прошлых суток — новый класс уязвимостей процессоров Intel с собирательным названием MDS (microarchitectural data sampling). Примечательно, что и в этот раз владельцы устройств на конкурирующих процессорах AMD, оказались вне зоны риска; прои...

Microsoft устранила 0-day-уязвимость в Internet Explorer Microsoft выпустила исправление для уязвимости нулевого дня в браузере Internet Explorer (CVE-2018-8653). Как отмечается, эта брешь уже используется хакерами для целевых атак. И хотя в компании не назвали масштабов бедствия, очевидно, они достаточно серьёзны. Саму у...

Новый стандарт защиты Wi-Fi взломали ещё до выхода первых роутеров В 2017 году Мэти Ванхоф (Mathy Vanhoef) и Эйал Ронен (Eyal Ronen) раскрыли ряд критических уязвимостей протокола WPA2, который используется практически во всех современных защищенных сетях Wi-Fi. Уязвимости получили общее название KRACK (Key Reinstallation Attacks).

В процессорах Intel обнаружена очередная уязвимость — PortSmash В процессорах Intel, и без того славящихся уязвимостями на уровне архитектуры, обнаружено очередное слабое место. Исследователи обнаружили лазейку, которая может позволить злоумышленникам получить доступ к зашифрованным данным. Уязвимость, названная PortSmash, точно ест...

Компания AMD заявила, что её продукты не подвержены уязвимостям RIDL и Fallout Компания Intel, как мы сегодня уже сообщали, признала наличие ещё одной уязвимости в своих CPU, которая затрагивает большинство процессоров компании. На самом деле новых уязвимостей несколько, но компания объединила их под общим именем Microarchitectural Data Sampling (...

Во всех процессорах Intel, начиная с первого поколения Core, обнаружена неустранимая уязвимость, получившая название Spoiler Специалистами Вустерского политехнического института и Любекского университета обнаружена уязвимость, которая есть во всех процессорах Intel, выпущенных с момента появления архитектуры Core. Как и ранее выявленная уязвимость Spectre, она связана с особенностью механизмо...

Intel нашла уязвимость в своих процессорах Компания Intel заявляет об уязвимости, которую обнаружили почти во всех фирменных процессорах, выпущенных с 2011 года. Проблему обнаружили ученые из Технологического университета Граца. Это новый класс уязвимостей Microarchitectural Data Sampling (MDS), основанный на техн...

В ОС Windows обнаружена опасная уязвимость «нулевого дня». Хакеры уже взяли ее на вооружение Словацкая компания ESET, занимающаяся разработкой антивирусов и защитой информации, сообщила, что группа хакеров PowerPool активно использует для своих атак новую уязвимость «нулевого дня» в семействе ОС Windows, которую Microsoft пока не закрыла. По данным ESET, атаки нацел...

[Перевод] Google раскрыла zero-day уязвимость в Windows 7, которая используется вместе с эксплойтом Chrome Project Zero от Google хорошо известен тем, что обнаруживает уязвимости и эксплойты в операционной системе Microsoft, а также своими противоречивыми политиками раскрытия информации. На этой неделе исследовательский отдел компании в области кибербезопасности вновь обнаружил э...

ZombieLoad — новая уязвимость, позволяющая похищать данные, которая затрагивает почти все процессоры Intel с 2011 года В процессорах Intel обнаружена новая уязвимость, позволяющая злоумышленникам похищать любые данные, к которым процессор недавно обращался. Это касается даже облачных серверов, которые могут позволить злоумышленнику украсть информацию с других виртуальных машин, работающих на...

Android: как Google следит за тобой, новая атака Man-in-the-Disk и реверс вирусов Для подписчиковВ этом выпуске: Google следит за тобой, новый вектор атак на мобильные устройства, реверс зашифрованных вирусов, анализ исходного кода Android на уязвимости и 47 уязвимостей в Android-устройствах. А также: лучшие онлайн-инструменты разработчика Android, скрыты...

Во всех процессорах Intel, начиная с первого поколения Core, обнаружена неустранимая уязвимость, получившая название Spoiler Специалистами Вустерского политехнического института и Любекского университета обнаружена уязвимость, которая есть во всех процессорах Intel, выпущенных с момента появления архитектуры Core. Как и ранее выявленная уязвимость Spectre, она связана с особенностью механизмо...

Эксперты насчитали более 100 эксплоитов для уязвимости в WinRAR Обнаруженная в феврале уязвимость в WinRAR 19-летней давности уже активно используется преступниками. ИБ-специалисты насчитали более 100 уникальных эксплоитов.

Официально: процессоры AMD не подвержены уязвимостям RIDL и Fallout AMD официально подтвердила, что недавно обнаруженные уязвимости Fallout и RILD обошли стороной процессоры американской компании. Подробнее об этом читайте на THG.ru.

Security Week 21: дыра в Whatsapp, новая уязвимость в процессорах Intel, Zero-Day в Windows На прошлой неделе произошло сразу три интересных события в сфере информационной безопасности: была закрыта эксплуатируемая уязвимость в Whatsapp, для критической уязвимости в Windows выпустили патчи даже для неподдерживаемых версий ОС, а в процессорах Intel нашли еще одну Sp...

Устранение последних уязвимостей в CPU сокращает разрыв в производительности процессоров Intel и AMD Уязвимости в процессорах начали появляться, как грибы после дождя. В дополнение к прошлогодним Spectre и Meltdown, исследователи обнаружили ещё несколько новых уязвимостей: Zombieload, RIDL & Fallout, Store-to-Leak Forwarding. Они достаточно серьёзные, и требуют, чтобы в...

Обнаружена новая RCE-уязвимость в браузере Edge ИБ-специалист рассказал в Twitter о 0-day уязвимости в Microsoft Edge и продемонстрировал работу PoC-эксплоита.

Хакеры PowerPool используют в целевых атаках уязвимость нулевого дня ESET предупредила о целевых атаках с использованием новой, пока не закрытой производителем уязвимости в Microsoft Windows. По данным телеметрии, атаки нацелены на пользователей в России, Украине, Польше, Германии, Великобритании, США, Индии, Чили и на Филиппинах.

В протоколе LTE нашли 36 новых уязвимостей Группа южнокорейских специалистов обнаружила 51 уязвимость в протоколе LTE, и 36 из них оказались новыми.

Компания Coinbase выплатила баунти на $30 000 за обнаруженную критическую уязвимость Ведущая криптовалютная компания США Coinbase выплатила крупнейшее за все время своей работы вознаграждение за обнаруженную в ее системах критическую уязвимость, пишет The Next Web. Запись об уязвимости было опубликована 12 февраля на HackerOne, и как подтвердил представитель...

В процессорах Intel поколений Skylake и Kaby Lake обнаружили новую уязвимость

Кибергруппа PowerPool использует в целевых атаках уязвимость в Microsoft Windows ESET предупредила о целевых атаках с использованием новой, пока не закрытой производителем уязвимости в Microsoft …

Личные данные пользователей подвергались опасности из-за серьёзных уязвимостей в браузере Chrome на Android и в сервисе Google Photos В декабре прошлого года специалисты компании Positive Technologies обнаружили критическую уязвимость в браузере Chromium, которая позволяла получить доступ к личным данным пользователей, и сообщили об этом компании Google. Через несколько недель поисковый гигант исправил про...

Серьезные уязвимости исправлены в составе Libssh2 и PuTTY Сразу два популярных инструмента получили важные обновления: 9 уязвимостей устранено в библиотеке Libssh2; 8 проблем пропатчили в Putty.

В ThingsPro Suite — IIoT-шлюзе и менеджере устройств Moxa обнаружены уязвимости «Лаборатория Касперского» обнаружила семь уязвимостей в ThingsPro Suite — IIoT-шлюзе и менеджере устройств компании …

Обнаружены семь новых вариаций атак на Meltdown и Spectre Специалисты, нашедшие оригинальные уязвимости Meltdown и Spectre, рассказали о семи новых атаках на процессоры AMD, ARM и Intel.

Новая уязвимость Spoiler затрагивает все поколения процессоров Intel Core Исследователи из Вустерского политехнического института в Массачусетсе и университета в Любеке (Германия) опубликовали документ, в котором рассказали о новой уязвимости процессоров Intel. Уязвимость получила имя «Spoiler» и она не относится к уязвимостям Spectre и Meltdown, ...

Cisco закрыла еще почти 50 уязвимостей своего ПО Разработчики Cisco решили серию серьезных проблем в нескольких своих продуктах, устранив угрозы исполнения кода и DoS-атак. Пакет из 47 обновлений включил заплатки к одному критическому багу и нескольким особо опасным ошибкам. Самые серьезные уязвимости были обнаружены в реш...

Критическая уязвимость в ОС Windows грозит новой волной массовых вирусных заражений Стало известно о новой критичной уязвимости, которая грозит новой волной массовых вирусных заражений. Уязвимости …

Для 0-day уязвимости в OpenOffice появился неофициальный патч Для обнаруженной в начале февраля RCE-уязвимости в составе Apache OpenOffice появился патч от сторонних экспертов.

Обнаружена опасная уязвимость в Windows, пока не закрытая Microsoft Антивирусная компания ESET сообщила, что группа хакеров PowerPool активно использует для своих атак новую уязвимость нулевого дня в Windows, пока ещё не закрытую Microsoft.  По статистике ESET, атаки нацелены на пользователей в России, Украине, Польше, Германии, В...

«Игра престолов»: разработчики Trezor ответили на заявление Ledger об уязвимостях Разработчики популярных аппаратных кошельков Trezor прокомментировали заявление компании-конкурента Ledger о ряде уязвимостей в своих продуктах. In response to Ledger’s presentation at #MITBitcoinExpo, here is how we mitigated the mentioned vulnerabilities. Read our official...

Новые уязвимости в 4G и 5G позволяют шпионить за абонентами Группа исследователей в области безопасности обнаружила уязвимости в сотовых сетях, которые позволяют злоумышленникам перехватывать звонки и отслеживать местоположение владельцев телефонов. Более того, проблемы затрагивают не только используемый повсеместно стандарт связи 4G...

Мнимая безопасность. Только за последние две недели хакеры нашли в блокчейн-платформах два десятка уязвимостей Специалисты по компьютерной безопасности, так называемые белые хакеры, продолжают находить уязвимости в блокчейн-платформах. За последние две недели ими было обнаружено 20 ошибок в семи криптовалютных проектах, за раскрытие которых они получили в общей сложности $7 400 в кач...

В ОС Windows обнаружена критическая RCE-уязвимость уровня EternalBlue Стало известно о критичной RCE-уязвимости в Службах Удаленных рабочих столов RDS (на более ранних ОС – Служба Терминалов TS ) в ОС Windows (CVE-2019-0708), которая при успешной эксплуатации позволяет злоумышленнику, не прошедшему проверку подлинности, осуществить удаленное в...

Уязвимость в runC угрожает безопасности Docker, Kubernetes и не только Обнаруженная в runC уязвимость может использоваться для атаки на хост-систему и получения root-доступа.

Security Week 22: статистика угроз, банковские трояны и популярные эксплойты На прошлой неделе «Лаборатория Касперского» опубликовала отчет об эволюции киберугроз в первом квартале 2019 года. Краткий обзор можно прочитать в этой новости, а в посте мы подробнее рассмотрим две темы: банковские трояны для Android и Windows, а также наиболее часто эксплу...

Intel пыталась подкупить исследователей, обнаруживших уязвимость RIDL Специалисты в области кибербезопасности из Амстердамского свободного университета (Vrije Universiteit Amsterdam) утверждают, что Intel пыталась подкупить их, дабы они не спешили с обнародованием процессорной уязвимости RIDL (Rogue In-Flight Data Load), о которой стало...

Новогодние патчи для Adobe Acrobat Reader Праздник праздником, а работа над ошибками не должна прекращаться, решили в Adobe. Третьего января разработчики Acrobat и Reader выпустили патчи для двух критических уязвимостей. К счастью, с обновлением можно повременить. Новым заплаткам присвоен приоритет 2. Согласно приня...

Cisco исправила критическую RCE-уязвимость в роутерах RV110W, RV130W и RV215W Инженеры Cisco исправили критическую уязвимость в веб-интерфейсах своих продуктов. Баг набрал 9,8 баллов из 10 возможных по шкале оценки уязвимостей CVSS V3.

В Android исправлены две критические RCE-уязвимости Инженеры Google представили апрельский набор патчей для Android. Сразу несколько уязвимостей получили статус критических и две из них позволяют выполнить произвольный код.

В архитектуре процессоров Intel обнаружены новые уязвимости Специалисты компании Intel сообщили о новом классе атак по сторонним каналам, затрагивающем все современные процессоры производителя. По информации вендора, спекулятивное выполнение кода может привести к утечке конфиденциальных данных из памяти чипа. Группа проблем связана с...

Виталик Бутерин не видит опасности в новой уязвимости Ethereum Сооснователь Ethereum Виталик Бутерин, как и несколько других ведущих разработчиков платформы не видят серьезной угрозы безопасности в баге, который был выявлен в коде предстоящего апгрейда системы Constantinople. Ранее сообщалось, что обнаруженная уязвимость затрагивает нек...

Новая уязвимость ставит все компьютеры на Windows под угрозу Специалисты из программы «Инициатива нулевого дня» (Zero Day Initiative) от компании TrendMicro, отчитались о новой найденной уязвимости нулевого дня в операционной системы Windows. Специалисты отвели Microsoft на исправление 120 дней, однако брешь не была залат...

Intel подкупом пыталась утаить найденные уязвимости в процессорах На днях прогремела новость о том, что в микрокоде чипа Intel обнаружена уязвимость, позволяющая хакерам совершить атаку с целью кражи пользовательских данных. Теперь выясняется, что крупная компания пыталась купить молчание исследователей, обнаруживших новые уязвимости в её ...

Zerodium предлагает до 500 000 долларов за уязвимости и эксплоиты для Hyper-V и vSphere Известный брокер уязвимостей, компания Zerodium, сообщил о временном повышении цен на эксплоиты для уязвимостей в Hyper-V и vSphere.

0-day в Chrome использовали вместе с уязвимостью в Windows 7 Специалисты Google сообщили, что злоумышленниками комбинировали уязвимость нулевого дня в Chrome, о которой стало известно на прошлой неделе, с уязвимостью нулевого дня в Windows 7.

Раскрыты подробности уязвимости, позволявшей опустошать горячие кошельки бирж за счет сжигания Ethereum-газа Поставщик dApp-решений Level K раскрыл подробности уязвимости в сети Ethereum, о которой сообщил еще 9 ноября. The disclosure is now public: https://t.co/xVwsG9EBET We appreciate the patience while affected parties were notified. — Level K (@levelk_io) 21 ноября 2018 г. Разр...

«Умный» дом с точки зрения уязвимости: разбираемся с векторами и механиками атак Пока визионеры разного масштаба, авторы сценариев антиутопических фильмов и хайтек-сериалов и прочие выдумщики и алармисты рисуют разной степени убедительности картины о восстании «умных» устройств или применении смарт-дома как орудия убийства или терроризма, специалисты по...

Разработчики Zcash сообщили об устранении критической уязвимости в 2018 году Zcash Company, стоящая за разработкой криптовалюты Zcash, раскрыла детали уязвимости, которая позволяла злоумышленникам создавать в неограниченном количестве несуществующие монеты ZEC. Согласно отчету в блоге компании, 1 марта 2018 года назад криптограф Zcash Ариэль Габизон ...

Цепная реакция. Разбираем уязвимость от забытого комментария до полной компрометации Для подписчиковВ этой статье нам предстоит преодолеть длинную цепочку препятствий на пути к заветному руту. По дороге мы в разных вариантах обнаружим уязвимости типа LFI, RCE и эскалации привилегий. А упражняться будем на виртуальной машине ch4inrulz: 1.0.1, полученной с Vul...

«Зомби» не страшны. AMD заявила, что её продукты не подвержены и уязвимости ZombieLoad тоже Несколько дней назад AMD заявила, что её продукты не подвержены уязвимостям RIDL и Fallout. Напомним, это две из трёх уязвимостей, входящих в группу Microarchitectural Data Sampling (MDS). Теперь же AMD обновила своё заявление, добавив в него и третью уязвимость —...

Исследователи MIT предлагают новый способ борьбы с уязвимостями Spectre и Meltdown, который «умеренно» влияет на производительность Обнаруженные в процессорах уязвимости Meltdown и Spectre оказали заметное влияние почти на всю компьютерную отрасль. Производителям процессоров теперь нужно вносить изменения в архитектуру своих чипов для устранения проблем, а рядовые пользователи вынуждены мириться со сниже...

Злая картинка. Разбираем уязвимость в GhostScript, чтобы эксплуатировать Pillow и ImageMagick Для подписчиковСпециалисты из Google Project Zero нашли несколько опасных уязвимостей в Ghostscript — популярной реализации PostScript. Правильно сформированный файл может позволить исполнять произвольный код в целевой системе. Уязвимости подвержена и библиотека Pillow, кото...

У Microsoft Edge выявили новую уязвимость На сайте GitHub появился эксплойт для уязвимости CVE-2018-8629, который нашли ребята с Phoenhex. Эксплойт был обнаружен в движке Chakra браузера Edge. Эта уязвимость позволяет выполнить удаленно код с правами администратора за счет выхода рамок выделенной памяти. Те, кто уст...

Google закроет Google+ на четыре месяца раньше из-за еще одной найденной уязвимости В Google+ произошла очередная утечка данных, в результате чего компания решила закрыть социальную сеть на четыре месяца раньше, чем планировалось изначально. Сервис Google+ будет недоступен пользователям с апреля 2019 года, а в течение следующих 90 дней поисковый гигант закр...

Иск против Apple, поданный в связи уязвимостями Meltdown и Spectre, отклонен Примерно год назад против Apple был подан коллективный иск из-за уязвимостей Meltdown и Spectre, обнаруженных в процессорах мобильных устройств компании. Как известно, эти процессоры разработаны Apple на основе архитектуры ARM, чем и обусловлено наличие уязвимостей. Иск...

Как изучение критической уязвимости DHCP в Windows 10 привело к обнаружению еще двух ошибок безопасности Изображение: Unsplash Как было описано в предыдущей статье про CVE-2019-0726, иногда поиск деталей об уже известной уязвимости приводит к обнаружению новой уязвимости. А в некоторых случаях таких новых уязвимостей оказывается больше одной. Читать дальше →

В сетях 5G уже найдены уязвимости Развертывание сетей 5G только начинается, а исследователи в области безопасности уже пытаются найти в них слабые места. По сообщению источника, недавно им удалось обнаружить три уязвимости в сетях 4G и 5G, которые можно использовать для перехвата телефонных звонков и от...

Исследователи провели серию успешных атак на аппаратные кошельки Trezor и Ledger Киберспециалисты из Wallet.fail обнаружили ряд уязвимостей в аппаратных криптовалютных кошельках Trezor и Ledger. В результате им удалось провести серию успешных атак на кошельки во время Chaos Communication Congress в Лейпциге. Our #35c3 talk is now online. You can watch it...

Иск против Apple, поданный в связи уязвимостями Meltdown и Spectre, отклонен Примерно год назад против Apple был подан коллективный иск из-за уязвимостей Meltdown и Spectre, обнаруженных в процессорах мобильных устройств компании. Как известно, эти процессоры разработаны Apple на основе архитектуры ARM, чем и обусловлено наличие уязвимостей. Иск...

Уязвимость роутеров MicroTik оказалась серьезной и позволяет повышать права до рута Еще предыдущая версия уязвимости использовалась для превращения роутеров в устройства для майнинга, и незапатченных девайсов еще десятки тысяч.

[Перевод] Уязвимость в Bluetooth открывают возможности для атаки на беспроводные точки доступа Специалисты по безопасности нашли серьезные уязвимости в популярных точках доступах, которые, если они будут использованы, позволят злоумышленникам скомпрометировать кооперативные сети. Читать дальше →

В банкоматах Diebold Nixdorf обнаружена RCE-уязвимость Один из крупнейших в мире производителей банкоматов предупреждает своих клиентов об уязвимости в банкоматах марки Opteva. Баг позволяет удаленно выполнить произвольный код.

В банкоматах Diebold Nixdorf обнаружена RCE-уязвимость Один из крупнейших в мире производителей банкоматов предупреждает своих клиентов об уязвимости в банкоматах марки Opteva. Баг позволяет удаленно выполнить произвольный код.

Компания Zerodium опубликовала эксплоит для уязвимости Tor Browser в своем Twitter Известный «брокер уязвимостей», компания Zerodium, обнародовала информацию о проблеме в Tor Browser прямо в своем официальном Twitter, после того как браузер обновился, и уязвимость стала менее критичной.

В процессорах Intel нашли очередную уязвимость Исследователи из Университета технологий в Тампере и Гаванского технологического университета обнаружили новую уязвимость в процессорах Intel Core. Она может позволить злоумышленникам получить доступ к зашифрованным данным и точно есть во всех чипах поколений Skylake и Kaby...

В стандарте связи LTE обнаружено 36 уязвимостей Южнокорейские эксперты по вопросам информационной безопасности обнаружили 36 уязвимостей в стандарте связи LTE, которые позволяют реализовать широкий спектр атак. Некоторые из них могут быть достаточно пагубными. Выявленные уязвимости могут создавать небольшие временные труд...

Зафиксированы атаки на свежую уязвимость в WinRAR Эксперты обнаружили вредоносный спам, эксплуатирующий новую уязвимость во всех версиях WinRAR.

Adobe устранила критическую уязвимость в Acrobat и Reader Компания Adobe выпустила внеочередные патчи для Acrobat и Acrobat Reader, работающих на платформах Windows и macOS. Совокупно разработчик закрыл семь уязвимостей; одна из них признана критической. По словам разработчика, брешь CVE-2018-12848 возникла из-за вероятности ошибки...

Почти половина компаний плохо защищена от внешних злоумышленников В 73% случаев для преодоления сетевого периметра использовались уязвимости в веб-приложениях. Другой распространённый способ проникновения - различные атаки через общедоступные интерфейсы управления веб-приложениями, сетевым и серверным оборудованием (онлайн-атаки подбора па...

Нагнуть Nagios. Разбираем хитрую цепочку уязвимостей в популярной системе мониторинга Для подписчиковNagios — это одно из популярнейших решений для мониторинга, которое используется во многих крупных компаниях. Обнаруженные в нем уязвимости приводят к полной компрометации системы и выполнению произвольного кода с правами суперпользователя, а для их эксплуатац...

IoT-устройства страдают от уязвимостей Согласно отчету компании Check Point, кибератаки на уязвимости IoT-устройств и сетевых маршрутизаторов летом текущего года увеличились вдвое по сравнению с весенними показателями.

«Заплатка» от Spectre V2 блокирует разгон процессоров Broadwell-E Разработчики ПО продолжают активно бороться с аппаратными уязвимостями центральных процессоров, вследствие чего периодически возникают проблемы у рядовых пользователей. На этот раз отличилась компания Microsoft, выпустившая вторую ревизию обновления KB4100347 для оп...

Пентест Dropbox помог обнаружить три уязвимости нулевого дня в продуктах Apple Представители Dropbox сообщили, что проведение пентеста сервиса с привлечением сторонних специалистов закончилось обнаружением трех 0-day уязвимостей в продуктах Apple.

Microsoft четвёртый месяц подряд исправляет 0-day-уязвимости Похоже, у компании Microsoft становится традицией закрывать уязвимости нулевого дня, которые уже используют хакеры. Компания делает это четвёртый месяц подряд. В декабре 2018 года разработчики закрыли ряд багов, в том числе 5 критических ошибок в движке обработки Ja...

Все компьютеры Mac без чипа T2 подвержены новой уязвимости Исследовательская компания F-Secure обнаружила новую уязвимость, которая ставит под угрозу все компьютеры Mac, которые не оснащены сопроцессорами T2. По словам экспертов, хакеры могут похитить данные с компьютера, даже если используется шифрование FileVault. Как сообщает ...

Facebook заявил о затронувшей 50 млн аккаунтов атаке Уязвимость была обнаружена в функции View As, которая позволяет пользователям Facebook посмотреть, как их профиль видят другие люди. Удалось ли хакерам в результате атаки получить доступ к учетным записям, в соцсети не установили.

Биткоины владельцев ASIC-майнеров от Bitmain оказались под угрозой из-за уязвимости Разработчик Bitcoin Core Джеймс Гиллард обнаружил уязвимость в ПО для устройств Antminer S15, которая в теории позволяет злоумышленникам полностью взять под контроль ASIC. Одновременно с этим разработчик убежден, что это не единственная версия ПО от Bitmain, подверженная уяз...

[Перевод] Уязвимость Exchange: как обнаружить повышение привилегий до администратора домена Обнаруженная в этом году уязвимость в Exchange позволяет любому пользователю домена получить права администратора домена и скомпрометировать Active Directory (AD) и другие подключенные хосты. Сегодня мы расскажем, как работает эта атака и как ее обнаружить. Читать дальше ...

Samsung поделилась подробностями о декабрьском обновлении системы безопасности Android Компания Samsung рассказала о декабрьской заплате системы безопасности Android для своих смартфонов. Первым обновление получил прошлогодний защищенный смартфон Samsung Galaxy Xcover 4. Данное обновление содержит патчи самой компании Google для операционной системы Andro...

Что известно о новой крупной уязвимости в процессорах Intel и как защититься от ZombieLoad и других атак Проблема касается всех CPU, выпущенных после 2011 года, а инженеры Google и Apple считают, что для полной защиты от атак нужно отключить технологию многопоточности Hyper-Threading, что снизит производительность до 40%. ...

Facebook обнаружила уязвимость угрожающую кражей страниц 90 млн пользователей соцсети Как сообщили в компании, специалисты по безопасности обнаружили, что некто воспользовался уязвимостью соцсети и похитил токены, позволяющие войти примерно в 50 млн учетных записей. В Facebook сбросили авторизацию этих страниц и еще примерно 40 млн аккаунтов, которые также на...

Об одной уязвимости, которой нет В конце марта 2019 года американская компания Trustwave, занимающаяся кибербезопасностью и сервисами по защите от угроз, опубликовала сообщение об уязвимости в СУБД PostgreSQL, которая присутствует во всех версиях, начиная с версии PostgreSQL 9.3 по версию 11.2. Эта уязвимо...

Опасный PHAR. Эксплуатируем проблемы десериализации в PHP на примере уязвимости в WordPress Для подписчиковВ этой статье мы поговорим об особенностях уязвимостей десериализации данных в PHP, причем не простых, а реализуемых при помощи файлов архивов PHP — PHAR. Эта техника атаки может использовать безобидные, казалось бы, функции как опасные орудия эксплуатации. И ...

Дырявая логика. Эксплуатируем новые уязвимости в Oracle WebLogic Для подписчиковВ этой статье мы поговорим сразу о нескольких уязвимостях в сервере приложений Oracle WebLogic, написанном на Java. Этот продукт безумно популярен в энтерпрайз-среде и попадается постоянно на периметрах разных компаний от мала до велика. Уязвимости носят крити...

Очередные уязвимости нашли в процессорах Intel и контроллерах Thunderbolt 3 Ну что, вот и очередная порция уязвимостей подъехала. Как-то последнее время их слишком много стали […]

Хакеры PowerPool используют в целевых атаках уязвимость нулевого дня Уязвимость представляет собой локальное повышение привилегий (Local Privilege Escalation), которое позволит выполнять вредоносный код с максимальными правами. Баг связан с работой Планировщика задач Windows и затрагивает версии операционной системы Microsoft Windows с 7 по 1...

Новая уязвимость угрожает всем версиям Docker, и патча пока нет Состояние гонки, которому подвержены все версии Docker, позволяет атакующему получить доступ на чтение и запись для любого файла на хосте. PoC-эксплоит для свежей уязвимости уже опубликован.

Эксперты обнаружили очередную RDP-уязвимость в Windows Эксперты Центра реагирования на киберугрозы Университета Карнеги —Меллона предупредили об уязвимости в протоколе удаленного рабочего стола (RDP) Windows. Дыра позволяет обойти экран блокировки сеанса и получить доступ к целевому устройству с правами текущего пользователя. Ба...

В процессорах Intel найдена уязвимость Spoiler В начале прошлого года компьютерное сообщество было потрясено открытием аппаратных уязвимостей Meltdown и Spectre, которые присутствуют в большинстве современных процессоров. Если коротко, то Meltdown позволяла вредоносному коду внедряться в ядро операционной системы, а...

Мошенники эксплуатируют 0-day в популярном WordPress-плагине ИБ-исследователи из компании Wordfence обнаружили уязвимость нулевого дня в WordPress-плагине Social Warfare. Преступники используют брешь для внедрения вредоносного кода на сайты жертв посредством XSS-атак. Под угрозой оказались более 70 тыс. веб-ресурсов, на которых устано...

Positive Technologies обнаружила новые уязвимости в промышленных коммутаторах Phoenix Contact Эксперты Positive Technologies Евгений Дружинин, Илья Карпов и Георгий Зайцев выявили уязвимости высокого уровня риска в промышленных коммутаторах Phoenix Contact. Устройства используются для построения сетей в энергетике, в нефтегазовой, морской и других отраслях.

Безопасность смарт-контрактов. Топ-10 уязвимостей децентрализованных приложений на примере спецификации DASP Для подписчиковКоличество смарт-контрактов в блокчейне Ethereum только за первую половину 2018 года выросло в два раза по сравнению с 2017-м. Соответственно, растет и множество уязвимостей, векторов атак на децентрализованные приложения. В этой статье мы попробуем упорядочит...

Новая уязвимость ставит все компьютеры на Windows под угрозу Специалисты из программы «Инициатива нулевого дня» (Zero Day Initiative) от компании TrendMicro, отчитались о новой найденной уязвимости нулевого дня в операционной системы Windows.

Релиз iOS 12.1.4 исправил 0-day уязвимости и баг, допускавший «подслушивание» через FaceTime Пользователям устройств Apple пора устанавливать обновления. Разработчики исправили нашумевшую проблему в FaceTime, а также стало известно о двух уязвимостях нулевого дня, которые эксплуатируют хакеры.

Что нужно знать о последнем патче Cisco для маршрутизаторов Не так давно IT-гигант объявил о критической уязвимости в системе ASR 9000. Под катом рассказываем, в чем суть бага и как его «залатать». Фото — ulleo — PD Уязвимость обнаружили в маршрутизаторах серии ASR 9000, работающих под управлением 64-битной IOS XR. Это — аппаратур...

Проверяем закрытую уязвимость и получаем четыре новые CVE Меня попросили продолжить цикл статей про закрытие уязвимостей и про то, как их закрывают (нашу первую статью прочитать можно здесь). В прошлый раз мы выяснили, что даже если производитель рапортует о закрытии уязвимости, то на деле все может быть и не так. Читать дальше →

Уязвимость BlueBorne по-прежнему угрожает 2 млрд устройств Спустя год после обнаружения угроза BlueBorne остается актуальной для миллиардов устройств. По словам экспертов, значительная часть промышленного оборудования и устаревшей потребительской техники может так и не получить обновление безопасности. Пакет из девяти уязвимостей по...

Пользоваться ES File Explorer теперь опасно. В приложении найдены уязвимости Французский исследователь безопасности, известный под псевдонимом Эллиот Алдерсон (Elliot Alderson) обнаружил уязвимость в популярном файлменеджере ES File Explorer, которая позволяет получить доступ к данным других пользователей, подключенных к той же Wi-Fi сети. Всё, что д...

Уязвимость в смарт-контракте EOS-приложения позволила хакеру получить $200 000 Игрок воспользовался уязвимостью в смарт-контракте гемблингового EOS-приложения EOSBet, похитив в общей сложности 44 427 EOS (около $200 000) из банкролла, сообщает TheNextWeb. Баг позволил хакеру делать ставки без внесения средств на свой счет. При проигрыше он не терял ден...

Использующиеся патрульной полицией планшеты уязвимы к атакам, позволяющим манипулировать вызовами и получать доступ к реестрам На днях представитель группы «Украинский Киберальянс» обратил внимание на уязвимость в программе LIS-M, которая установлена на планшетах патрульной полиции. Согласно озвученной информации, при помощи этой уязвимости мошенники могут манипулировать вызовами полицейских и получ...

Уязвимости DragonBlood затрагивают стандарт WPA3 и позволяют узнать пароли Wi-Fi Исследователи, ранее обнаружившие комплекс проблем в WPA2, получивший название KRACK, представили новую атаку, DragonBlood, перед которой уязвим уже новый WPA3.

В плагине WP GDPR Compliance обнаружена серьёзная уязвимость В популярном плагине WP GDPR Compliance была обнаружена серьёзная уязвимость. Чтобы обезопасить сайт, нужно обновить дополнение до версии 1.4.3 или выше. В настоящее время хакеры активно атакуют WP-сайты с этим плагином. Риску подвержены все ресурсы, на которых установлена б...

Еврокомиссия заплатит за уязвимости в Filezilla, VLC Media Player, 7-zip и еще в 12 бесплатных программах В январе будущего года в рамках проекта Free and Open Source Software Audit (FOSSA) стартует программа поиска уязвимостей в бесплатных программах, спонсируемая Европейской комиссией. Список программ, которые используют в своей деятельности институты Евросоюза, включают...

Дыра в безопасности macOS позволяет злоумышленникам обойти встроенную защиту при установке приложения не из App Store Apple, вероятно, столкнулась с очередной уязвимостью технологии Gatekeeper, которая обеспечивает запуск только доверенного программного обеспечения на компьютере Mac. Исследователь безопасности Филиппо Кавалларин (Filippo Cavallarin) обнаружил и подробно описал новую уязвимо...

DoS-уязвимость в Linux затронула более 80 продуктов Cisco Cisco Systems обновила бюллетень, посвященный багу отказа в обслуживании в ядре Linux, дополнив список уязвимых устройств и сервисов. На настоящий момент присутствие удаленно эксплуатируемой бреши, известной под именем FragmentSmack, подтверждено для 80+ продуктов компании. ...

Еврокомиссия заплатит за уязвимости в Filezilla, VLC Media Player, 7-zip и еще в 12 бесплатных программах В январе будущего года в рамках проекта Free and Open Source Software Audit (FOSSA) стартует программа поиска уязвимостей в бесплатных программах, спонсируемая Европейской комиссией. Список программ, которые используют в своей деятельности институты Евросоюза, в...

В результате фишинговой атаки на LocalBitcoins похищено почти 8 BTC Популярная платформа по физической покупке и продаже биткоинов LocalBitcoins подтвердила, что подверглась фишинговой атаке, в результате которой как минимум шесть ее пользователей лишились средств. В общей сложности у них было похищено 7.95205862 BTC (около $28 000). В сообщ...

В сети появились сообщения об уязвимости в виртуальной машине Ethereum 9 ноября в Twitter-аккаунте Netta Lab появилось заявление о том, что эта организация обнаружила уязвимость в виртуальной машине Ethereum, которая позволяет бесконечно исполнять смарт-контракты, не оплачивая газ в сети. Также исследователи якобы обратились к оператору америка...

Security Week 45: кое-что об уязвимостях в Bluetooth Пришло время исправить трехнедельную ошибку в нумерации дайджестов, заложенную в самом начале этого года. Поэтому сегодняшний выпуск — немного високосный, и посвящен он уязвимостям, затрагивающим интерфейс беспроводной связи Bluetooth. За последний год отмечено три значимых ...

Ученые обнаружили уязвимость AKA-протокола мобильной связи Команда европейских исследователей обнаружила брешь в протоколе аутентификации и согласования ключа (Authentication and Key Agreement, AKA). Проблема ставит под угрозу пользователей нового поколения мобильной связи 5G и распространяется на сети 3G и 4G. По словам специалисто...

В Windows, начиная с Windows 7, активно используется уязвимость нулевого дня Команда хакеров, которая называет себя PowerPool, обнаружила новую уязвимость нулевого дня в Windows. ***

Эксперты Check Point предупредили об уязвимостях в RDP-клиентах Специалисты выявили 25 уязвимостей в популярных RDP-клиентах для Windows и Linux.

На официальном сайте WordPress закрыли две XSS-уязвимости Эксперты RIPS Technologies рассказали о двух XSS-уязвимостях на сайте WordPress.org. Один из багов обладал потенциалом червя.

Эксперт Positive Technologies обнаружил возможность раскрытия ключей шифрования в Intel ME Изображение: Unsplash Intel устранила серьезную уязвимость в прошивке Intel ME. Эксперт Positive Technologies Дмитрий Скляров обнаружил ошибку в работе механизмов обеспечения безопасности MFS — файловой системы, которую ME использует для хранения данных. В результате эксп...

Безопасность DHCP в Windows 10: разбираем критическую уязвимость CVE-2019-0726 Изображение: Pexels С выходом январских обновлений для Windows новость о критически опасной уязвимости CVE-2019-0547 в DHCP-клиентах всколыхнула общественность. Подогревали интерес высокий рейтинг CVSS и тот факт, что Microsoft не сразу опубликовал оценку эксплуатабельнос...

Уязвимость BearLPE в Windows получила микропатч Команда 0patch из компании ACROS Security выпустила свою заплатку для уязвимости в планировщике задач Windows 10, не дожидаясь выхода официального патча. Эксперты также раскрыли некоторые технические детали проблемы. Брешь нулевого дня, получившая название BearLPE, выявила и...

Еще одну 0-day уязвимость в Windows раскрыли через Twitter ИБ-спецалист SandboxEscaper уже во второй раз опубликовал в Twitter информацию о 0-day уязвимости в Windows, приложив ссылку на PoC.

Intel устранила 19 уязвимостей в графических драйверах для Windows Разработчики Intel опубликовали исправления для 19 багов в графических драйверах для Windows. Уязвимости чреваты эскалацией привилегий, DoS и раскрытием информации.

Google выпустила первое обновление Android в этом году Компания Google представила январское обновление безопасности, распространение которого уже началось среди владельцев смартфонов линейки Google Pixel, а значит, в скором времени оно станет доступно для установки на аппараты сторонних производителей. Апдейт, ставший первым в...

В Drupal 7 и 8 устранены опасные баги В ядре CMS-системы Drupal пропатчены пять уязвимостей; две из них позволяют удаленно выполнить произвольный код. Заплатки включены в состав выпусков 7.60, 8.6.2 и 8.5.8. Одна из уязвимостей высокой степени опасности проявляется при отправке email-сообщений с использованием д...

SAP опубликовала апрельский набор заплаток Разработчики SAP выпустили очередной пакет обновлений, который устраняет несколько серьезных уязвимостей как собственных продуктов компании, так и их сторонних компонентов. Опубликованные патчи защищают пользователей от утечек информации и прочих вмешательств в работу корпор...

Уязвимости в популярных моделях SSD позволяют обойти шифрование SSD, поддерживающие аппаратное шифрование, оказались под угрозой из-за уязвимостей в спецификациях ATA Security и TCG Opal.

Вышло экстренное исправление для критической 0-day уязвимости в Internet Explorer Разработчики Microsoft устранили RCE-уязвимость в своем браузере. Баг был найден специалистами из Google Threat Analysis Group.

Найдены уязвимости в распространенных прошивках для Wi-Fi SoC Опубликованы детали уязвимостей в ThreadX, которые могут коснуться множества устройств, включая смартфоны, ноутбуки, игровые приставки, роутеры и так далее.

XSS-уязвимость в популярном плагине для WordPress используют для взлома сайтов Эксперты компании Defiant заметили, что злоумышленники эксплуатируют уязвимость в плагине Abandoned Cart Lite for WooCommerce, установленном на 20 000 сайтов.

Выявлена ещё одна уязвимость чипов Intel — PortSmash Кубинские и финские специалисты по вопросам безопасности в общем исследовании выявили новый вид атак по сторонним каналам, которая потенциально касается процессоров с поддержкой многопоточности (SMT). Уязвимость полностью подтверждена кодом для чипов семейства Intel...

Siemens пропатчил уязвимости в своих промышленных системах Специалисты Siemens сообщили о серьезных уязвимостях в линейке своих продуктов для автоматизации промышленных процессов. Бреши найдены в семействе логических контроллеров Simatic S7-400, пакете программ SIMATIC IT Production Suite и аппаратном брандмауэре SCALANCE S. Для все...

В коде хардфорка Constantinople вновь обнаружена уязвимость Разработчики Ethereum Foundation сообщили о новом баге в готовящемся к запуску обновлении сети Constantinople. Как сообщает Trustnodes, обнаруженная уязвимость затрагивает некоторые смарт-контракты с возможностью самоуничтожения. Так, функция под названием Create2 может заме...

Обнаружена новая уязвимость процессоров Intel Система защиты процессоров Intel может быть использована против себя же

Опубликован эксплоит для RCE-уязвимости в браузере Edge ИБ-специалисты обнародовали proof-of-concept эксплоит для свежей уязвимости в браузере Microsoft Edge, патч для которой вошел в состав декабрьского «вторника обновлений».

Уязвимость «ВКонтакте». В профилях и группах появлялись фейковые посты Примерно в 19:30 по московскому времени во многих группах и профилях «ВКонтакте» начали появляться одинаковые посты, сообщающие о скором появлении рекламы в сообщениях в социальной сети. Если пользователь переходил по приложенной ссылке, то аналогичные записи начинали появл...

Исследование: непропатченные клиенты Ethereum несут угрозу атаки 51% Клиенты Ethereum, не совершившие апгрейды для устранения известных уязвимостей несут угрозу всей сети. Об этом говорится в новом исследовании базирующейся в Берлине Security Research Labs. Blockchain technology assumes that participants take rational actions. Leaving yoursel...

Падение производительности на 40%. Apple рассказала, как активировать в macOS режим полной безопасности от новых уязвимостей в CPU Intel В связи с обнаружением очередного набора уязвимостей в процессорах Intel компания Apple опубликовала инструкцию, как владельцам ПК Mac вручную активировать полную защиту. Apple уточняет, что большинству пользователей делать этого не требуется, так как, во-первых, это пр...

Способ обойти экран блокировки Windows на сеансах RDP На днях исследователь безопасности раскрыл детали новой уязвимости в протоколе удаленного рабочего стола Microsoft Windows (RDP). Уязвимость CVE-2019-9510 позволяет злоумышленникам на стороне клиента обойти экран блокировки в сеансах удаленного рабочего стола. Читать даль...

Баг в WordPress и уязвимость в плагине WooCommerce приводят к полной компрометации сайта Недочет в системе управления привилегиями плагинов, в сочетании с уязвимостью в WooCommerce представляют опасность для сайтов.

Разработчиков Microsoft не тревожит публикация PoC-эксплоитов для уязвимостей в IE и Edge Представители Microsoft не считают опасными уязвимости в браузерах IE и Edge, для которых на прошлой неделе были опубликованы эксплоиты.

Раскрыта новая уязвимость нулевого дня, затрагивающая все версии Windows Исследователи безопасности сообщили в Twitter об обнаружении новой уязвимости нулевого дня во всех последних версиях Windows вплоть до Windows 10, а пользователь под псевдонимом SandboxEscaper обнародовал на GitHub наглядное доказательство её существования.Суть проблемы…

В процессорах Intel нашли новую side-channel уязвимость PortSmash ИБ-специалисты обнаружили в процессорах Intel новый баг, связанный с работой технологии одновременной многопоточности (Simultaneous Multithreading, SMT). Уже доступен PoC-эксплоит. Хуже того, процессоры AMD, вероятно, тоже уязвимы.

Уязвимость нулевого дня в Windows эксплуатировали в странах Ближнего Востока Обнаружена серия целевых атак на Ближнем Востоке. Злоумышленники применяли новый эксплоит, который использовал уязвимость нулевого дня в Microsoft Windows.

Экстренный патч для Flash Player устранил критическую 0-day уязвимость, уже использующуюся для атак Разработчики Adobe устранили очередные критические уязвимости во Flash Player. По данным экспертов Qihoo 360, проблемы уже использовались для атаки на Поликлинику №2 Управления делами Президента Российской Федерации.

Google собирает материалы об эксплуатации 0-day уязвимостей Эксперты Google Project Zero, команды специалистов по уязвимостям нулевого дня, опубликовали собственную базу актуальных 0-day и призвали сообщество к совместной работе. Материалы собраны при расследовании атак таких сильных группировок, как APT3 (также известна как Buckeye)...

В России обнаружено почти 3 млн вредоносных программ в 2018 году Ландшафт киберугроз 2018 года представлял собой микс из возобновивших активность старых угроз (фишинг, вирусы-вымогатели) и новых ¬(скрытый майнинг, атаки на уязвимости IoT-устройств, аппаратные уязвимости процессоров).

Падение производительности на 40%. Apple рассказала, как активировать в macOS режим полной безопасности от новых уязвимостей в CPU Intel В связи с обнаружением очередного набора уязвимостей в процессорах Intel компания Apple опубликовала инструкцию, как владельцам ПК Mac вручную активировать полную защиту. Apple уточняет, что большинству пользователей делать этого не требуется, так как, во-первых, это п...

IoT Security Week 38: уязвимости в роутерах MikroTik, D-Link и TP-Link Кажется, пора переименовывать дайджест. За прошедшую неделю вышло сразу три исследования про новые дыры в трех разных роутерах, еще одно — про уязвимость в умных телевизорах Sony, и еще — про безопасность роутеров в целом, в межгалактическом мировом масштабе. К счастью, есть...

Мобильные сети 4G и 5G позволяют следить за пользователями Одна из тенденций в мире мобильной индустрии в текущем году, о которой мы последнее время нередко говорим, – сети нового поколения 5G. Любая технология, а особенно если она нова, подвержена рискам извне. Не избежали этой участи новые чипсеты для работы с 5G. Исследователи в...

Intel устранила опасные баги в своем ПО Компания Intel выпустила патчи для пяти уязвимостей в программных продуктах. Три из этих брешей допускают повышение привилегий при наличии локального доступа; степень их опасности оценена как высокая. Самым серьезным признан баг CVE-2018-12177, присутствующий в утилите подкл...

Google уже заплатила энтузиастам более 3 млн долларов за найденные уязвимости в Android Программа Android Security Rewards Program была запущена компанией Google в 2015 году. Поисковый гигант решил платить энтузиастам за обнаружение уязвимостей и ошибок в операционной системе Android и приложениях, опубликованных в Google Play. В зависимости от размера баг...

Эксперты взломали пароли WiFI-сетей на основе WPA3 Независимые ИБ-исследователи Мати Ванхойф (Mathy Vanhoef) и Эйал Ронен (Eyal Ronen) обнаружили серию уязвимостей в стандарте беспроводных подключений WPA3. Ошибки системы рукопожатий между точкой доступа и сетевым устройством позволяют злоумышленнику взламывать пароли WiFi-с...

Уже год, как в домашних сетевых хранилищах My Cloud от WD зияет дыра Комикс xkcd В популярных домашних сетевых хранилищах My Cloud от компании Western Digital обнаружена уязвимость (CVE-2018-17153), она позволяет атакующему обойти механизм аутентификации и создать административную сессию, привязанную к его IP-адресу. Ремко Вермелен, иссле...

Специалисты MIT нашли новый способ защиты от атак Meltdown и Spectre С Intel требуют взыскать 5 млрд долларов за уязвимости Meltdown и Spectre В начале года стало известно о наличии во многих процессорах уязвимостей Meltdown и Spectre. Их важной особенностью является тот факт, что они не вызваны ошибками в программном обеспечении или ре...

Новости недели: Центр управления автономным Рунетом, биткоин на отметке $8000, уязвимость в процессорах Intel В этом дайджесте читайте: правила работы Центра мониторинга и управления автономным Рунетом; российские госструктуры 9 лет работали под наблюдением китайцев; биткоин подорожал с $5000 до $8000; за год число атак на сайты увеличилось на 60%; в процессорах Intel обнаружил...

Cisco пропатчила 16 уязвимостей в своих продуктах На этой неделе компания Cisco выпустила 16 обновлений безопасности, которые закрывают множество брешей в разных продуктах. Четыре уязвимости являются критическими, еще одной присвоен высокий уровень опасности, а 11 остальным— средний. Помимо этого, вендор признал, что во вре...

В Telegram обнаружили утечку данных Telegram имеет репутацию безопасного и конфиденциального мессенджера, хотя в последнее время эта репутация весьма сомнительная. Эксперт по безопасности Дхирадж Мишра (Dhiraj Mishra) обнаружил уязвимость в десктопном приложении Telegram, которая позволяла раскрыть IP-адреса п...

Уязвимость в ThinkPHP используется для увеличения ботнетов Hakai и Yowai Обнаруженная в декабре 2018 года уязвимость в ThinkPHP активно используется злоумышленниками.

Октябрьские обновления от Oracle закрыли 301 брешь Компания Oracle выпустила очередной набор патчей, устраняющих более 300 уязвимостей в разных продуктах. Степень опасности 45 брешей оценена в 9,8 балла по шкале CVSS 3.0, одна получила оценку 10 из десяти возможных. Уязвимости затрагивают широкий спектр продуктов, в том числ...

В процессорах Intel найдена новая уязвимость PortSmash В очередной раз компания Intel может оказаться в центре скандала из-за обнаруженной в ее чипах новой уязвимости. ***

Баг в WP Live Chat Support позволяет манипулировать чатами ИБ-исследователи из Alert Logic обнаружили уязвимость в WordPress-плагине WP Live Chat Support. Баг позволяет неавторизованным злоумышленникам получать историю переписки с клиентами и управлять текущими сессиями чатов. Под угрозой оказались более 50 тыс. веб-сайтов, на котор...

Microsoft рассказала об Xbox нового поколения Новая высокотехнологичная игровая консоль от компании Microsoft получила кодовое название Project Scarlett. По словам компании, устройство создается на базе процессора AMD Zen 2 и графической архитектуры Radeon RDNA, и будет в четыре раза более мощным, чем Xbox One X. В Proj...

Microsoft устранила баг 0-day, уже используемый в атаках Февральский набор обновлений для продуктов Microsoft устраняет два десятка критических уязвимостей. Четыре закрываемых бреши, степень опасности которых признана высокой, уже стали достоянием общественности. Пропатчена также уязвимость нулевого дня в Internet Explorer, уже вз...

Уязвимость в реестре Роскомнадзора позволил атаковать «Яндекс» Технические специалисты компании отражали данную атаку в течение нескольких суток.

Adobe исправила патч для опасной дыры в Acrobat Reader Прошло лишь девять дней после выхода плановых патчей для Acrobat и Reader, а компания Adobe вновь призывает обновить продукт. Оказалось, что патч, спешно созданный для бреши 0-day, можно обойти. Уязвимость нулевого дня, о которой идет речь, разработчик закрыл в рамках феврал...

В роутерах TP-Link TL-R600VPN устранено четыре уязвимости Специалисты Cisco Talos обнаружили ряд серьезных проблем в маршрутизаторах TP-Link, включая две RCE-уязвимости.

Шифровальщик JNEC.a распространяется с помощью уязвимости в WinRAR Эксперты предупредили, что свежую уязвимость в WinRAR начали использовать для распространения вымогателя JNEC.a. Хуже того, даже заплатив выкуп шантажистам, спасти данные не удастся.

Уязвимость Thunderclap делает компьютеры уязвимыми для атак через порт Thunderbolt, последние версии macOS и Windows 10 уже защищены Группа исследователей обнаружила новую уязвимость безопасности в спецификации передачи данных Thunderbolt, которая получила название Thunderclap. Данная уязвимость может сделать компьютеры открытыми для серьезных атак со стороны другого оборудования с интерфейсами USB-C или ...

Security Week 36: Telnet должен быть закрыт Telnet — это очень старый протокол. Википедия сообщает, что он был разработан в 1969 году, много лет активно использовался для удаленного доступа к компьютерам и серверам, причем как под управлением Unix/Linux, так и для систем под Windows (telnet можно было включить в Windo...

Баг в Twitter позволял узнать страну проживания пользователя Социальная сеть Twitter сообщила, что обнаружила ошибку в одной из форм обратной связи. Баг позволял злоумышленникам увидеть код страны, к которой относится телефонный номер пользователя, а также узнать, была ли учетная запись заблокирована администрацией соцсети. Уязвимость...

В архиваторе WinRAR нашли уязвимость возрастом в 19 лет История с уязвимостями в процессорах показала, что дыры в безопасности могут существовать годами до того момента, как их найдут. И хотя такое случается нечасто, это произошло снова. Как стало известно, в архиваторе WinRAR, который вряд ли нуждается в отдельном представл...

Уязвимость CSS приводит к перезагрузкам iPhone, а также зависанию Microsoft Edge, Safari и IE Сегодня стало известно об обнаруженной уязвимости CSS, которая приводит к перезагрузке iPhone и зависанию веб-браузеров, таких как Microsoft Edge, Safari и Internet Explorer, при попытке отобразить веб-страницу, содержащую определённый формат CSS-кода. По словам исследовате...

Десктопный клиент Telegram хранит чаты в незашифрованном виде ИБ-специалист, недавно нашедший уязвимость в мессенджере Signal, решил исследовать Telegram и обнаружил похожую проблему и в нем.

В утилитах для материнских плат ASUS и Gigabyte найдены серьёзные уязвимости Программное обеспечение, поставляемое производителями материнских плат вместе со своими продуктами, включая утилиты для разгона, управления вентиляторами и RGB-подсветкой, несёт с собой потенциальную опасность. Независимый аудит показал, что большинство таких утилит отличают...

В утилитах для материнских плат ASUS и Gigabyte найдены серьёзные уязвимости Программное обеспечение, поставляемое производителями материнских плат вместе со своими продуктами, включая утилиты для разгона, управления вентиляторами и RGB-подсветкой, несёт с собой потенциальную опасность. Независимый аудит показал, что большинство таких утилит...

В промышленных коммутаторах Phoenix Contact обнаружены новые уязвимости Эксперты Positive Technologies Евгений Дружинин, Илья Карпов и Георгий Зайцев выявили уязвимости высокого уровня риска …

Security Week 12: клавиатурные атаки Когда мы писали про уязвимости в драйверах NVIDIA, стоило упомянуть, что чаще всего дополнительный вектор атаки в вашу систему добавляют не видеокарты, а беспроводные клавиатуры и мыши. Недавно исследователи из немецкой команды SySS обнаружили проблему в комплекте Fujitsu LX...

Обнаружена новая атака группировки BlackTech Схема атаки выглядит следующим образом: облачное хранилище ASUS направляет запрос на легитимный сервер для получения бинарного файла с последней версией обновления системы. На этом этапе злоумышленники подставляют собственный URL-адрес, ведущий на вредоносный файл.Загрузка ф...

Мобильные приложения для детей содержат критические уязвимости Компания «Ростелеком-Solar» ко Дню защиты детей провела исследование уязвимостей популярных мобильных игровых приложений для детей. Анализ 14-ти игровых приложений показал, что обнаруженные в приложениях уязвимости могут привести к полной ...

Meltdown, эпизод 2? В процессорах Intel обнаружены новые уязвимости Исследователям удалось на виртуальной машине воссоздать содержимое файла с хэшами паролей, находившегося на другой виртуальной машине на том же процессорном ядре.

Хакеры обнаружили самый быстрый способ для взлома Android Новая форма атаки на старые Android-смартфоны стала известна экспертам в области кибербезопасности из VUSec. Соответствующее заявление появилось в блоге организации. Технология взлома получила название Glitch. Специалисты добавили, что для ее работы используется уже устаре...

Wi-Fi-контроллер D-Link получил важное обновление Компания D-Link устранила несколько серьезных уязвимостей в своих продуктах, позволявших запускать сторонний код и проводить XSS-атаки (cross-site scripting, выполнение межсайтовых скриптов). Проблема содержалась в программе Central WifiManager. Эта система применяется для ц...

Выявлена новая уязвимость на iOS, из-за которой устройство перегружается В Сети появилась информация о новой уязвимости программного обеспечения компании Apple. Как оказалось, браузеры на компьютере Mac, iPhone и iPad зависают при попытке обработать несколько строк CSS-кода. После этого мобильное устройство самопроизвольно перегружается....

Миллионы устройств с поддержкой BLE уязвимы перед удаленными атаками из-за проблемы Bleedingbit Эксперты обнаружили две критические уязвимости в BLE-чипах производства компании Texas Instruments. Баги представляют опасность для Wi-Fi оборудования Cisco, Meraki и Aruba Networks.

Новый штамм Mirai атакует сразу через 13 эксплойтов Специалисты в области информационной безопасности обнаружили в дикой природе ранее неизвестный вариант зловреда Mirai, который использует сразу 13 эксплойтов для атак на целевые устройства. IoT-бот оснащен компонентами для атаки на роутеры различных производителей, IP-камеры...

Архитектура AMD Zen 2 включает аппаратную защиту против Spectre V4 В мае этого года Microsoft и Google обнародовали информацию о четвёртой уязвимости класса Meltdown-Spectre — SBB (speculative store bypass, CVE-2018-3639 или Spectre V4). Вслед за этим AMD признала подверженность своих чипов этому виду атак и порекомендовала установить испра...

Уязвимости Киевстара: 1) разбор предыдущего поста про пароли + 2) инфо о покупках, проходящих через сервисы Киевстара Привет. Я тот, кто полгода назад получил логины и пароли Киевстара от таких важных сервисов, как: JIRA, Amazon Web Services, Apple Developer, Google Developer, Bitbucket и многих других, зарепортил их по Bug Bounty и получил 50 долларов различные комментарии к репостам моей ...

В Adobe Flash и ColdFusion закрыты опасные уязвимости Компания Adobe выпустила обновления для Flash Player и платформы ColdFusion, в которых объявились программные ошибки, грозящие исполнением произвольного кода. Совокупно разработчик устранил 11 уязвимостей в трех продуктах, включая маркетинговое решение Adobe Campaign. В итог...

О уязвимости нулевого дня в Windows написали в Twitter В августе этого года специалист по информационной безопасности SandboxEscaper опубликовал в Twitter информацию об уязвимости в Windows. Она использовала механизм Advanced Local Procedure Call (ALPC) в Windows Task Scheduler и позволяла повышать привилегии в целевой ...

0-day уязвимость в Chrоme позволяет собирать данные о пользователях через файлы PDF Эксперты компании EdgeSpot предупредили об активной уязвимости нулевого дня в браузере Chrome. Так как патча пока нет, специалисты рекомендуют не открывать файлы PDF прямо в браузере.

Опасная уязвимость 5 лет позволяла взламывать Android через браузер Уязвимость в «Google Фото», которая позволяла деанонимизировать практически любого из нас, оказалась не единственной сложностью для Google, стремящейся обеспечить безопасность своих пользователей. Еще один изъян, открывающий злоумышленникам доступ к конфиденциальной информа...

В инструменте проверки URL в Search Console обнаружена уязвимость В инструменте проверки URL в Google Search Console обнаружена проблема безопасности. Как оказалось, с его помощью можно тестировать те URL, к которым у пользователя нет доступа. Об этой лазейке сообщил консультант по техническому SEO Оливер Мейсон (Oliver Mason) в своём блог...

Специалисты MIT нашли новый способ защиты от атак Meltdown и Spectre С Intel требуют взыскать 5 млрд долларов за уязвимости Meltdown и Spectre В начале года стало известно о наличии во многих процессорах уязвимостей Meltdown и Spectre. Их важной особенностью является тот факт, что они не вызваны ошибками в программном обеспечении или ...

Facebook взломан: до 90 млн аккаунтов пользователей подверглось атаке из-за ошибки в коде, компания приносит извинения Если Вас разлогинило утром в пятницу в Facebook — Вы не одни. Facebook пострадал от атаки, которой подверглось до 90 млн личных аккаунтов пользователей, сообщила компания. Уязвимость в коде социальной сети позволила хакерам получить доступ к личной информации как миним...

Исследователи из Google: для защиты от Spectre требуется изменение архитектуры процессоров, программные патчи не помогут В январе 2018 года исследователи Google раскрыли в публичном доступе информацию о фундаментальной аппаратной уязвимости в большинстве современных процессоров, имеющих спекулятивное выполнение команд. Уязвимость Spectre (и смежная Meltdown) эксплуатирует механизм предсказания...

Google уже заплатила энтузиастам более 3 млн долларов за найденные уязвимости в Android Программа Android Security Rewards Program была запущена компанией Google в 2015 году. Поисковый гигант решил платить энтузиастам за обнаружение уязвимостей и ошибок в операционной системе Android и приложениях, опубликованных в Google Play.

В systemd нашли три уязвимости — разбираемся, в чем дело В начале месяца специалисты по ИБ из Qualys обнаружили сразу три уязвимости в systemd — подсистеме инициализации Linux — позволяющие злоумышленнику получить права суперпользователя. Рассказываем, в чем их суть и какие дистрибутивы им подвержены. Читать дальше →

В контроллерах Siemens Sinumerik закрыты 10 уязвимостей На прошлой неделе эксперты «Лаборатории Касперского» обнаружили серию опасных уязвимостей в промышленных контроллерах Siemens SINUMERIK 808D, 828D и 840D. Бреши позволяют взломщикам проводить DoS-атаки на индустриальные предприятия и выполнять сторонний код внутри ...

Исследователи, открывшие Spectre и Meltdown, выявили ещё 7 уязвимостей Группа исследователей, в которую входят специалисты, открывшие первые злополучные уязвимости современных CPU — Spectre и Meltdown, представили отчёт, который подытожил месяцы работы и выявил ещё 7 вариантов атак, связанных со спекулятивными вычислениями

Выпущен патч, исправляющий уязвимость в плагине AMP для WordPress Из-за уязвимости хакеры могли манипулировать настройками плагина

Уязвимости EOS Blockchain на ZeroNights 2018 В рамках данной статьи будут рассмотрены несколько реальных уязвимостей в EOS blockchain (одном из конкурентов Etherum) и то, как они были встроены в конкурс New-Generation Secure Slot Machine на ZeroNights 2018. Если вам интересно познакомиться с тем, как обстоят дела с б...

Adobe закрыла десятки брешей в Acrobat и Reader В рамках февральского «вторника патчей» компания Adobe устранила 75 уязвимостей. Из них 44 оценены как критические, в том числе брешь нулевого дня в Reader, для которой сторонние специалисты в понедельник предложили временное решение. Уязвимость 0-day зарегистриров...

Сайты российских вузов уязвимы для кибератак Эксперты Лаборатории практического анализа защищенности компании "Инфосистемы Джет" провели исследование, в рамках которого проанализировали веб-сайты 10 ведущих вузов России по версии рейтингового агентства "Эксперт РА" на предмет наличия уязвимостей. В ...

[Перевод] В Android и Google Photos обнаружены новые уязвимости, позволяющие украсть данные о пользователях Недавно исследователи обнаружили две несвязанные друг с другом уязвимости в продуктах Google. Imperva нашла способ провести атаку по сторонним каналам на Google Фото, которая позволяет злоумышленникам собирать информацию о местонахождении, времени и информации из личных учет...

В приложении Связка ключей для macOS нашли уязвимость Независимый ИБ-исследователь из Германии Линус Хенце (Linus Henze) сообщил о новом способе атаки на Связку ключей macOS. Проблема распространяется на все версии ОС, включая актуальную на момент публикации — 10.14.3 Mojave. Эксперт отказывается делиться с Apple информацией о ...

SAP выпустила июньский комплект патчей Специалисты Onapsis рассказали об июньских изменениях в ERP-программах SAP. Согласно отчету, компания-разработчик повысила оценку уровня опасности бага в платформе Solution Manager со среднего на высокий, а также внесла ряд исправлений безопасности в свои продукты. Проблемы ...

В Systemd обнаружены уязвимости, патчей для которых пока нет Специалисты Qualys обнаружили три уязвимости в Systemd, которые позволяют получить root-права в системе.

Apache Tomcat получил важное обновление защиты Разработчики Apache Software Foundation (ASF) обновили сервер приложений Tomcat, чтобы устранить обнаруженный ранее RCE-баг. Брешь CVE-2019-0232 позволяла взломщикам выполнять сторонний код в уязвимых системах и брать их под контроль. В начале марта о проблеме сообщили специ...

Уязвимости прошлых лет по-прежнему используются для атак и представляют большую опасность Эксперты компании Fidelis Cybersecurity изучили уязвимости, наиболее популярные у злоумышленников в первом квартале 2019 года.

Обновленная брешь POODLE угрожает тысячам веб-ресурсов Специалист компании Tripwire Крейг Янг (Craig Young) повысил вредоносный потенциал уязвимости POODLE. По словам исследователя, даже спустя пять лет после обнаружения угроза актуальна для множества организаций по всему миру, а предложенные им методы ускоряют атаку и повышают ...

В Xiaomi нашли опасную уязвимость Как сообщает «Коммерсант», Guard Provider позволяет устанавливать на смартфоны Xiaomi вредоносный код незаметно для владельца. Ирония в том, что это предустановленное приложение как раз должно защищать пользователя от кибератак. Приложение присутствует на всех новых мобильны...

В Windows нашли новую уязвимость Ее использует хакерская группировка PowerCool в целевых атаках в России и других странах.

Аналитики нашли более 100 эксплойтов для уязвимости в WinRAR Аналитики компании McAfee опубликовали отчет, согласно которому злоумышленники активно эксплуатируют брешь в архиваторе WinRAR. Первую вредоносную кампанию специалисты обнаружили уже через несколько дней после появления информации о баге. С тех пор исследователи насчитали бо...

Процессоры Intel могут стать на 40% медленнее из-за уязвимости Intel закрыла четыре новые уязвимости, но из-за заплатки CPU станут медленнее

Уязвимость движка WebKit вызывает перезагрузку iOS-устройств Специалист компании Wire Сабри Аддуш (Sabri Haddouche) обнаружил атаку на браузеры на устройствах компании Apple, способную привести к перезагрузке iPhone и зависанию компьютеров с macOS. Некорректная работа графического движка WebKit, который обеспечивает рендеринг интернет...

Уязвимость Thrangrycat позволяет заражать устройства Cisco бэкдорами Устройства Cisco уязвимы перед новой проблемой, получившей название Thrangrycat или

В Блокноте Windows найдена уязвимость повреждения памяти Аналитик проекта Google Project Zero Тавис Орманди (Tavis Ormandy) обнаружил уязвимость повреждения памяти в приложении «Блокнот» операционной системы Windows. Как утверждает специалист, баг дает возможность атакующему выполнить сторонний код и запустить в рамках п...

Google выплатила 3 миллиона долларов за найденные «дыры» в Android Google стала одной из тех компаний, которая внедрила у себя довольно действенный способ борьбы с уязвимостями в своей операционной системе. Не можешь победить — купи. В 2015 году поисковый гигант дал старт программе Android Security Rewards Program, в рамках которой ос...

В Сети идёт атака на сайты со старой версией WordPress Несколько дней назад была зафиксирована автоматизированная массовая атака, направленная на сайты на движке WordPress. Учитывая, что он применяется примерно на 30 % из десяти миллионов крупнейших сайтов, это можно считать серьёзной проблемой. Под угрозой оказались ре...

Уязвимость в macOS Mojave позволяет обойти новые механизмы защиты приватности Сразу после выхода новой версии macOS известный ИБ-специалист и сооснователь Digita Security Патрик Вордл (Patrick Wardle) сообщил об обнаружении 0-day уязвимости, которая позволяет обмануть улучшенные механизмы защиты приватности.

Adobe устранила серьезные баги в Connect и Digital Edition В рамках первого в новом году «вторника патчей» в Adobe Digital Edition и Adobe Connect закрыты две бреши; их степень опасности оценена как существенная. Согласно бюллетеню Adobe, уязвимость CVE-2018-12817 в программе для чтения электронных книг появилась из-за воз...

Любой смартфон на Аndroid можно взломать Как заявляют специалисты по кибербезопасности, найденная в «Андроиде» уязвимость позволяет получить довольно подробную информацию о мобильном устройстве, включая название сети Wi-Fi, к которой он подключен, пароль, идентификатор BSSID, IP-адрес, DNS-сервер и прочие параметры...

В приложении «Блокнот» обнаружена RCE-уязвимость Исследователь безопасности Тавис Орманди, который является частью команды Google Project Zero, уже находил раньше некоторые серьезные ошибки и угрозы. На этот раз он обнаружил новую уязвимость нулевого дня в приложении «Блокнот», которая затрагивает пользователей операционно...

Facebook признала хакерскую атаку, затронувшую 50 миллионов пользователей Компания Facebook рассказала об обнаруженной уязвимости в системе безопасности социальной сети, которая затрагивает почти 50 миллионов учётных записей пользователей.  Сейчас ведётся расследование ситуации. Специалистам Facebook уже стало ясно, что в хакерской атак...

Mirai и Gafgyt нацелились на Apache Struts и SonicWall Исследователи из Palo Alto Networks обнаружили новые варианты IoT-ботов Mirai и Gafgyt, вооруженные эксплойтами для известных уязвимостей во фреймворке Apache Struts и решении SonicWall Global Management System. Очередная итерация Mirai использует брешь в Apache Struts, из-з...

Финтех-дайджест: бесплатные переводы в системе СБП, уязвимость банков к атакам и другие новости Сегодня в дайджесте: Бесплатные переводы средств между банками, которые входят в систему СБП; Степень уязвимости банков к атакам злоумышленников; Финансовая грамотность населения растет; Криптовалюты остаются непопулярным средством платежа. Переводы без комиссии Почт...

Посмотрел на картинку — помог хакеру: Google обнаружила в Android новую серьёзную уязвимость Компания Google обнаружила в операционной системе Android серьёзную уязвимость, позволяющую при желании запустить на чужом смартфоне произвольный код. Для этого требуется всего лишь картинка. Конечно, не всё так просто. На самом деле нужен специальным образом сконфигури...

Эксперты насчитали более 100 эксплойтов для уязвимости WinRAR Несмотря на то, что в новом релизе проблему устранили, атаки по-прежнему продолжаются.

Security Week 10: уязвимости в драйверах NVIDIA Вот что мы еще ни разу не обсуждали в формате дайджеста, так это уязвимости в драйверах для видеокарт. Компания NVIDIA опубликовала 28 февраля информацию о восьми уязвимостях: практически все позволяют повышать привилегии или выполнять произвольный код. Одна брешь относится ...

Двое хакеров получили 50 тысяч долларов за обнаружение уязвимости iOS, позволяющей украсть с iPhone X удаленные фотографии Хакеры Ричард Чжу и Амат Кама получили премию на конкурсе Mobile Pwn2Own. Они продемонстрировали, что уязвимость в iOS 12.1 позволяет злоумышленникам получить доступ к папке с недавно удаленными файлами. Компания Apple была уведомлена о проблеме.

Microsoft устранила более 60 уязвимостей Ноябрьский набор обновлений от Microsoft закрывает 62 бреши в разных продуктах; 12 уязвимостей оценены как критические. Из проблем, получивших оценку «существенная», примечателен баг повышения привилегий, выявленный экспертами «Лаборатории Касперского» пр...

Intel признает наличие еще одной уязвимости в своих процессорах, от которой не спасает даже отключение Hyper-Threading Совместно с исследователями в области безопасности, работающими в нескольких университетах в разных странах, а также со специалистами компаний Cyberus, BitDefender, Qihoo360 и Oracle компания Intel сообщила, что в ее процессорах обнаружена очередная уязвимость, свя...

Снижение производительности процессоров Intel Core i5 8-го и 9-го поколений при использовании «заплаток» от уязвимостей достигает 18% Тестирование проводилось в ОС Linux.

Вышел ряд важных патчей для Microsoft Edge Microsoft пропатчила в браузере Edge четыре критические уязвимости, позволяющие угнать целевой ПК, направив жертву на сайт с эксплойтом. Важные заплатки были выпущены 8 января в рамках первого в новом году «вторника патчей». Новые проблемы Edge грозят удаленным исп...

Незакрытая в течение 19 лет уязвимость WinRar позволяет разместить распакованный файл в произвольном месте Специалисты по кибербезопасности из компании Check Point обнаружили серьезную уязвимость в архиваторе WinRar. Затем они же показали, как при помощи этой уязвимости можно распаковать файл в произвольное место — совсем не то, которое указывает пользователь. Ну а поскольку п...

Сайты на WordPress атакованы через уязвимость в плагине Yuzo Related Posts Из-за XSS-уязвимости в составе плагина Yuzo Related Posts были атакованы использующие плагин сайты, включая популярный почтовый сервис Mailgun.

В роутерах Cisco ASR 9000 закрыта опасная уязвимость Компания Cisco Systems пропатчила критическую уязвимость в сервисных маршрутизаторах серии ASR 9000. Согласно бюллетеню, атака через эту лазейку позволяет получить доступ к устройству на уровне администратора, а также вызвать на нем состояние отказа в обслуживании. Уязвимост...

Бюджетный Qualcomm Snapdragon 735 будет поддерживать 5G Сразу после того, как Qualcomm представила премиальный Snapdragon 730 в своей линейке процессоров, в Интернете просочилась информация о предполагаемых технических характеристиках нового Snapdragon 735. Утечка информации о будущем процессоре не вызывает особых сюрпризов и...

Security Week 15: атака на роутеры с подменой DNS К теме уязвимости в сетевых роутерах мы обращаемся далеко не первый раз, но исследования группы Bad Packets и компании Ixia (новость, отчет Bad Packets, отчет Ixia) интересны тем, что представляют почти полную картину: как ломают роутеры, какие настройки меняют, и что потом ...

Биржа OKEx сообщила о снятии с торгов Bytecoin из-за «критической уязвимости» Вторая по объемам торгов биткоин-биржа OKEx объявила в пятницу, 12 октября, о делистинге криптовалюты Bytecoin (BCN). По словам представителей биржи, причиной такого решения стала критическая техническая уязвимость проекта, которая была обнаружена в процессе мониторинга этой...

Razer закрыла уязвимость в процессорах Intel Некоторое время назад на просторах интернета появилась информация об уязвимости процессоров компании Intel. Это случилось в 2018 году и тогда новость всколыхнула рынок, ведь эта уязвимость давала возможность следить за процессором и так далее. Вскоре крупные производители ре...

Владельцы старых Mac оказались под угрозой Не так давно мы публиковали материал, в котором рассказали про новую уязвимость в процессорах Intel. Выяснилось, что проблеме подвержены не только персональные компьютеры на Windows, но и Mac. К счастью, Apple среагировала оперативно и частично устранила уязвимость в macOS ...

Вышли февральские патчи для продуктов SAP На этой неделе компания SAP выпустила набор заплаток, закрывающий 14 брешей в разных ERP-продуктах. Разработчик также внес коррективы в три ранее выпущенных патча. Из новых уязвимостей одна признана критической, три — очень опасными. Февральский список самых серьезных пробле...

В беспроводном VPN-оборудовании Cisco обнаружена RCE-брешь Компания Cisco сообщила о проблеме в трех продуктах класса SOHO. Угроза выполнения стороннего кода обнаружилась в интернет-консоли, используемой для настройки VPN-роутеров Cisco RV130W Wireless-N Multifunction и RV215W Wireless-N, а также VPN-брандмауэра RV110W Wireless-N. У...

Уязвимость в Google Chrome может привести к максимальной загрузке процессора В браузере Google Chrome обнаружили опасную уязвимость, которая способна полностью загрузить процессор. ***

В Win32k закрыты еще две уязвимости, замеченные в атаках В рамках апрельского «вторника патчей» Microsoft устранила две уязвимости в Win32k, уже используемые в реальных атаках. Схожие проблемы, связанные с этим системным компонентом, разработчик уже решал, притом всего месяц назад. Текст бюллетеней, посвященных брешам CV...

Незакрытая брешь в NAS-устройствах Western Digital В сетевых устройствах хранения данных My Cloud производства Western Digital содержится уязвимость, позволяющая повысить права доступа до уровня администратора в обход аутентификации. Вендор узнал о существовании бреши полтора года назад, но заплатку так и не выпустил, поэтом...

Биткоин-кошелек Copay находится в зоне риска из-за уязвимости Node.js Используемый во многих веб-приложениях модуль Node.js под названием event-stream был скомпрометирован, сообщает CCN. Уязвимость ставит под удар, в частности, опенсорсный кошелек Copay от популярного биткоин-процессинга BitPay, использующий этот модуль. Согласно жалобе на Git...

Хакерам предложат взломать самую дешевую Tesla Дэвид Лау, начальник подразделения разработки программного обеспечения автомобилей: «Работа с сообществом исследователей кибербезопасности неоценима для нас. Мы с нетерпением ждем результатов Pwn2Own, чтобы наградить участников за отличную работу и улучшить продукт». Автомоб...

Майнинг-пулы реализовали «атаку 51%» в сети Bitcoin Cash Крупные майнинг-пулы BTC.com и BTC.top осуществили «атаку 51%» для отмены транзакции другого майнера, который попытался получить доступ к средствам, которые ему не принадлежали, сообщает CoinDesk. Так, в ходе последнего хардфорка, который состоялся 15 мая, неизвест...

В плагине WP Google Maps обнаружена серьёзная уязвимость В популярном WordPress-плагине WP Google Maps была обнаружена серьёзная уязвимость, позволяющая хакерам захватить контроль над сайтом. Об этом сообщается на странице WPScan Vulnerability Database. На данный момент эта уязвимость уже закрыта, в связи с чем пользователям плаги...

1 млн компьютеров страдают от новой уязвимости Windows Ранее в Microsoft объявили, что устройства под управлением старых ОС подвержены атакам вирусов-шифровальщиков наподобие WannaCry.

Security Week 51: баг в WordPress 5.0 и софте Logitech, фотоуязвимость Facebook Всего через неделю после выпуска большого релиза WordPress 5.0 разработчики самой популярной в мире CMS выпустили патч, закрывающий ряд серьезных уязвимостей (новость). Всего было закрыто семь брешей, самая серьезная в некоторых конфигурациях WordPress делает возможной индек...

Киберпреступники атакуют пользователей Windows через уязвимость «нулевого дня» Компания ESET предупреждает о том, что киберпреступная группировка PowerPool проводит атаки с использованием пока не закрытой «дыры» в операционных системах Microsoft Windows. Речь идёт об уязвимости «нулевого дня», информация о которой была ...

WPA3. Смотрим, что нового в следующем стандарте безопасности Wi-Fi и изучаем прошлые Для подписчиковВ прошлом году была найдена критическая уязвимость в WPA2 — протоколе безопасности, который использует примерно каждая первая точка доступа Wi-Fi. Взволновало это немногих — а зря! В этой статье я расскажу о новом протоколе WPA3, где атака KRACK больше не сраб...

Процессоры Intel девятого поколения будут защищены от Meltdown и Spectre Пока что не все уязвимости закроют на аппаратном уровне, но замедления работы не ожидается.

Появился новый способ взлома iPhone В iOS 12 обнаружена уязвимость обхода пароля, которая потенциально позволяет злоумышленнику получить доступ к фотографиям и контактным данным на заблокированном iPhone. ***

[Из песочницы] Повышение привилегий в Windows-среде Практика управления информационной безопасностью: pentest Повышение привилегий пользователя до уровня администратора домена Windows Введение Хорошая система управления информационной безопасностью (СУИБ) требует регулярной оценки своей эффективности. Существуют разные метод...

Web Security Testing Starter Kit Всем привет! Меня зовут Андрей. Уже 10 лет я занимаюсь поиском уязвимостей в различных веб-сервисах. и готов поделиться своими знаниями с вами. В мае прошлого года я выступал с докладом про это на конференции Heisenbug, а теперь готов поделиться своими знаниями еще и здесь,...

Новая уязвимость в процессорах Intel Уязвимость PortSmash

Эксперты обнародовали 0-day в роутере TP-Link Четыре уязвимости обнаружили специалисты исследовательской компании Tenable в домашнем роутере TP-Link TL-WR841N. Две из них при совместной эксплуатации позволяют полностью перехватить управление маршрутизатором и даже загрузить на него новую прошивку. Эксперты сообщили о св...

Электромобили Tesla можно угнать за несколько секунд Группа исследователей из Лёвенского католического университета нашли способ угнать за несколько секунд автомобиль Tesla Model S без необходимости иметь оригинальный ключ. Об этом рассказало издание The Wired. Для этого потребуется клонировать ключ. Оригинальный разблокирует...

В Windows обнаружена ранее неизвестная критическая уязвимость Бэкдоры - крайне опасный тип вредоносного ПО, который позволяет атакующим скрытно осуществлять удалённое управление устройством. При этом если бэкдор использует ранее неизвестную уязвимость (так называемую уязвимость нулевого дня), у него значительно больше шансов обойти ста...

Adobe закрыла брешь, для которой уже опубликован PoC-код Ноябрьский выпуск обновлений для продуктов Adobe содержит всего три заплатки, в том числе патч к уязвимости в Acrobat и Reader, принцип использования которой давно известен. Этот баг раскрытия информации, которому был присвоен идентификатор CVE-2018-15979, обнаружили в начал...

Старые версии Windows получают новый патч KB4500705, чтобы остановить атаки в стиле WannaCry Microsoft пытается предотвратить еще одну вспышку вредоносного ПО в стиле WannaCry до ее начала. Гигант программного обеспечения выпустил исправления KB4500705 для уязвимости Службы удаленных рабочих столов (также называемой службами терминалов), которая делает возможным рас...

Критическая уязвимость в продуктах компании Zemana и не только Ни для кого не является секретом, что установка антивирусного продукта может открыть дополнительные векторы атаки, однако меня очень удивил тот факт, что поиск и эксплуатация подобных уязвимостей в некоторых продуктах даже в 2018 году не является проблемой. Уупс Читать дал...

Cisco залатала IOS и исправляет патчи для роутеров На этой неделе Cisco Systems устранила 24 уязвимости в сетевом программном обеспечении IOS и IOS XE; уровень опасности 18 из них признан высоким, остальных — умеренным. Разработчик также сообщил, что январские патчи для роутеров RV320 и RV325 будут обновлены, так как они не ...

Баг Magellan в СУБД SQLite угрожает тысячам приложений ИБ-исследователи из группы Blade китайской компании Tencent обнаружили критическую уязвимость в системе управления популярной базой данных SQLite. Баг, позволяющий злоумышленникам удаленно выполнить код, вызвать утечку памяти или отказ в обслуживании, затрагивает не только б...

Исследователи вновь предупреждают о старых брешах IoT Операторы IoT-ботнетов все чаще используют давно известные уязвимости для расширения своих сетей. С декабря 2018 года по январь 2019-го аналитики Arbor Networks зафиксировали двукратный рост подобных атак. При этом брешь, которую преступники использовали чаще всего, описали ...

Facebook признала хакерскую атаку, затронувшую 50 миллионов пользователей Компания Facebook рассказала об обнаруженной уязвимости в системе безопасности социальной сети, которая затрагивает почти 50 миллионов учётных записей пользователей.  Сейчас ведётся расследование ситуации. Специалистам Facebook уже стало ясно, что в хакерск...

Уязвимость в фильтрах AdBlock и uBlock позволяет выполнять произвольный код на веб-страницах При соблюдении ряда условий, опция фильтра $rewrite, внедренная в AdBlock, AdBlock Plus и uBlock с обновлением 3.2 от 17 июля 2018 года, позволяет выполнять произвольный код на отображаемой пользователю веб-странице, сообщается в блоге armin.dev. Вот как описывается проблем...

Исследователи взломали шифрование зловреда Chainshot Специалисты команды Unit 42 сумели вскрыть алгоритм шифрования нового экземпляра Chainshot и проанализировали его исходный код. Эксперты выяснили, что загрузчик, получивший название Chainshot, эксплуатирует уязвимость нулевого дня Adobe Flash Player для доставки на целевое у...

«ВКонтакте» исправила баг с размещением видео в группах Один из пользователей «ВКонтакте» обнаружил в движке социальной сети ошибку, при помощи которой пользователь без прав администратора сообщества мог опубликовать на его странице видео. Баг оказался связан с функцией «Предложить новость». При выполнении опр...

Новая критическая уязвимость в ОС Windows может вызвать эпидемию масштаба WannaCry и Petya Cогласно информации, предоставленной компанией Microsoft, для успешной атаки злоумышленнику необходимо лишь иметь сетевой доступ к компьютеру или серверу с уязвимой версией операционной системы Windows. Для эксплуатации уязвимости злоумышленнику достаточно отправить специаль...

ZDI опубликовала детали просроченной бреши в Microsoft JET Эксперты Zero Day Initiative (ZDI) раскрыли подробности уязвимости в движке СУБД Microsoft JET, которая может привести к удаленному выполнению кода. По словам исследователей, производитель не смог выпустить патч за предоставленные ему 120 дней. Брешь относится к типу out-of-...

Обнаружена опасная многолетняя уязвимость в Android Эксперт Positive Technologies Сергей Тошин выявил критически опасную уязвимость в актуальных версиях операционной системы Google Android (7.0, 8.0, 9.0) и ее более ранних редакциях. Ошибка обнаружена в компоненте WebView. Она позволяет получать доступ к конфиденциальным данн...

AMD готовит новую видеокарту Radeon RX 560 XT с повышенными частотами Компания AMD, возможно, готовит новую версию своей бюджетной видеокарты Radeon RX 560. Известный источник утечек Tum Apisak обнаружил в базе данных теста производительности игры Ashes of Singularity запись о тестировании видеокарте Radeon RX 560 XT. На данный момент в ассорт...

В операционных системах Windows обнаружена уязвимость Она позволяет злоумышленникам получить контроль над компьютером жертвы

Червь BlackSquid несет на борту целый ворох эксплойтов Ранее неизвестный образец вредоносного ПО, получивший название BlackSquid, выявили специалисты по информационной безопасности. Зловред, обладающий свойствами сетевого червя, использует несколько известных эксплойтов, чтобы проникнуть на целевую машину и установить полезную н...

Уязвимость в iOS 12 позволяет обойти блокировку экрана Очередную уязвимость в iOS 12 обнаружил независимый исследователь Хосе Родригес (Jose Rodriguez). Баг позволяет злоумышленнику с физическим доступом к устройству обойти блокировку экрана, получить доступ к фотографиям и отправить сообщение с приложенными файлами на другой те...

Adobe исправила опасные ошибки в Acrobat и Flash Player Компания Adobe выпустила обновления для Flash Player и Acrobat / Reader, закрыв в числе прочих критические уязвимости, грозящие исполнением вредоносного кода. Совокупно новый набор плановых патчей компании устраняет 87 уязвимостей. Основная масса этих проблем (84) содержится...

В SOHO-роутерах Linksys закрыты опасные уязвимости Эксперт Cisco Talos обнаружил три схожих бага внедрения команд в маршрутизаторах серии E производства Linksys. Новые прошивки уже выпущены, их можно скачать со страницы загрузок на сайте вендора. «Эксплойт осуществляется отправкой авторизованного HTTP-запроса на изменен...

Intel попыталась подкупить нидерландский университет, чтобы скрыть информацию об уязвимости MDS Исследователи кибербезопасности из Амстердамского свободного университета (VU), являющегося одним из ведущих научно-исследовательских университетов страны и входящего в число ведущих университетов Европы, утверждают, что компания Intel пыталась подкупить их, чтобы скрыт...

Cisco устранила опасный баг в менеджере лицензий Компания Cisco Systems выпустила информационный бюллетень, посвященный критической уязвимости в Cisco Prime License Manager (PLM), которая позволяет удаленно и без аутентификации исполнять произвольные SQL-запросы. В случае успешного эксплойта злоумышленник сможет изменить и...

Фирменное ПО Asus помогло заразить вирусом сотни тысяч компьютеров Эксперты "Лаборатории Касперского" обнаружили массовую атаку на компьютеры Asus через уязвимость в фирменном программном обеспечении Asus Live Update. Подробнее об этом читайте на THG.ru.

В системе авторизации SCADA WebAccess нашли критические баги Три опасные уязвимости в программном продукте SCADA WebAccess компании Advantech обнаружили специалисты сингапурской компании Attila Cybertech. Баги позволяют киберпреступнику обойти систему авторизации приложения, а также осуществить внедрение стороннего кода в SQL-запрос. ...

Security Week 40: уязвимости в CMS Drupal и не только На прошлой неделе разработчики CMS Drupal закрыли (новость, подробнее у них на сайте) сразу две критические уязвимости. Обе проблемы затрагивают Drupal версий 7.x и 8.x. Наиболее серьезная уязвимость была обнаружена во встроенной системе отправки e-mail (DefaultMailSystem::m...

В сетях 5G уже найдены уязвимости Развертывание сетей 5G только начинается, а исследователи в области безопасности уже пытаются найти в них слабые места. По сообщению источника, недавно им удалось обнаружить три уязвимости в сетях 4G и 5G, которые можно использовать для перехвата телефонных звонков и от...

Хакерская атака на Facebook: взломано около 50 миллионов аккаунтов Хакеры воспользовались уязвимостью в системе безопасности и с помощью функции View As получили доступ к профилям миллионов пользователей.

Не все новые процессоры Intel получили аппаратную защиту от Spectre и Meltdown Компания Intel на днях представила девятое поколение настольных процессоров, и, как оказалось, это первое поколение настольных процессоров, у которых на аппаратном уровне имеется защита от уязвимостей Spectre и Meltdown. Однако исправления получили не все новые проц...

Флагманский процессор Snapdragon 8150 конструктивно повторяет китайский Huawei Kirin Роланд Квандт (Roland Quandt‏), редактор известного регулярными утечками немецкого ресурса WinFuture, через свой аккаунт в Twitter поделился новыми подробностями о флагманском процессоре Snapdragon 8150, который пока не был представлен Qualcomm официально. Отметим, ране...

Найдена еще одна уязвимость в Telegram О своем открытии Сачи сообщил порталу BleepingComputer, публикацию которого далее пересказывают самые разные СМИ. По словам Сачи, архив сообщений хранится мессенджером в незашифрованной базе данных SQLite, ключ к которой подобрать сложно, но в принципе возможно. Если написат...

Исследователь опубликовал код эксплойта для Chrome 73 Компания Exodus Intelligence опубликовала код эксплойта для уязвимости в стабильной версии Google Chrome. Рабочий прототип использует проблему безопасности в движке v8, которую разработчики браузера устранили 18 марта, но пока что не исправили в актуальной версии 73. ИБ-иссл...

Во всех имплементациях SCP за последние 36 лет содержались уязвимости Специалисты F-Secure обнаружили четыре уязвимости, представляющие угрозу для всех имплементаций SCP. Вредоносный SCP-сервер может вносить неавторизованные изменения на стороне клиента.

Уязвимость в WinRAR уже используется в атаках Исследователи обнаружили распространяемый через спам RAR-файл с вредоносным загрузчиком, который устанавливается на Windows посредством эксплуатации недавно опубликованной уязвимости в архиваторе WinRAR. Брешь проявляется при работе с ACE-файлами и позволяет распаковать их с...

В промышленных коммутаторах Phoenix Contact обнаружены новые уязвимости "Успешное использование этих недостатков может привести к нарушению технологического процесса, вплоть до его полной остановки. Злоумышленник может перехватить учетные данные пользователя, а затем, перенастроив коммутатор, отключить на нем порты, в результате чего может ...

Процессор Intel Core i5-9600K (Coffee Lake Refresh) и другие Core i5 для платформы LGA1151 Выход в свет процессоров «девятого» поколения Core в октябре этого года сопровождался массой материалов, посвященных старшим, восьмиядерным моделям этого семейства: Core i7-9700K и i9-9900K — именно из-за того, что они восьмиядерные. Третий же представленный осенью процессор...

Intel ME Manufacturing Mode — скрытая угроза, или что стоит за уязвимостью CVE-2018-4251 в MacBook Принцип «безопасность через неясность» не один год критикуется специалистами, но это не мешает крупным производителям электроники под предлогом защиты интеллектуальной собственности требовать подписания соглашений о неразглашении для получения технической документации. Сит...

Вышли новые патчи для продуктов Apple Компания Apple выпустила очередной набор заплат для macOS, iOS, Safari, iTunes, Windows-клиента iCloud, watchOS и tvOS. В macOS устранено более 70 уязвимостей, в том числе 13 багов удаленного исполнения кода (RCE) в ядре операционной системы и 11 таких же в Ruby. Из брешей в...

Intel попыталась подкупить нидерландский университет, чтобы скрыть информацию об уязвимости MDS Исследователи кибербезопасности из Амстердамского свободного университета (VU), являющегося одним из ведущих научно-исследовательских университетов страны и входящего в число ведущих университетов Европы, утверждают, что компания Intel пыталась подкупить их, чтобы скрыт...

Большинство Android-устройств останутся открытыми для уязвимости, позволяющей перехватывать данные о сети и отслеживать гаджеты Исследователи из компании Nightwatch Cybersecurity System выявили уязвимость в операционной системе Android, которая позволяет приложениям получать доступ к важной информации об устройстве пользователя, даже если им такая информация не требуется для работы. В результате, вос...

3D-карты AMD нового поколения уже на подходе: через неделю появится преемник Radeon RX 570, замена Radeon RX 580 выйдет в ноябре Источник опубликовал неожиданные, но довольно интересные подробности о видеокартах AMD Radeon нового поколения. Оказывается, преемник Radeon RX 570 должен появиться уже очень скоро — в середине текущего месяца (в промежутке с 12 по 15 число), ну а стоящая на ступе...

Число критически опасных уязвимостей веб-приложений в 2018 году выросло в три раза Доля приложений с критически опасными ошибками безопасности сегодня составляет 67%. Число критически опасных уязвимостей, которое в среднем приходится на одно веб-приложение, по сравнению с 2017 годом выросло в три раза. Среди них наиболее распространены уязвимости, связанны...

Как уязвимость в REG.RU позволяла получить данные регистрации любого домена Сегодня я хочу рассказать о том, как в далеком 2012 году я нашел уязвимость в системе регистрации доменов компании REG.RU. Очень часто я вижу истории, в которых авторы рассказывают об уязвимостях при этом упоминая, что компания не уделила найденному багу должного внимания в ...

IPSec под прицелом. MitM-атаки в «защищённых» тоннелях Для подписчиковIPSec широко используется для шифрования данных при передаче по незащищенным сетям. Однако администраторы часто используют настройки, которые не обеспечивают требуемого уровня безопасности. Мы рассмотрим уязвимости IPSec pre-shared key, типичные ошибки при вне...

«Лаборатория Касперского» помогла закрыть 0-day в Windows 7 В очередном пакете обновлений для Windows разработчики Microsoft закрыли уязвимость нулевого дня, которую ранее обнаружили эксперты «Лаборатории Касперского». По сообщению компании, преступники уже попытались использовать ее в реальных атаках. Проблема, которая акт...

Процессоры Intel с Hyper-Threading подвержены новым уязвимостям В процессорах Intel найден ряд уязвимостей, которым подвержены большинство процессоров с поддержкой технологии одновременной многопоточности Hyper-Threading, начиная с моделей Core i7 2008 года на архитектуре Nehalem. Отмечается, что часть относительно новых процессоров Core...

В промышленных шлюзах Kunbus закрыты опасные бреши В решении KUNBUS-GW Modbus TCP PR100088, предназначенном для использования в сетях промышленных предприятий, выявлены пять уязвимостей. Две из них оценены как критические, еще две — как высокой степени опасности. Все проблемы, перечисленные в бюллетене ICS-CERT, обнаружил эк...

Proof-of-Stake: взгляд изнутри В интернете ходит много обывательских статей и рассуждений, но достаточно мало информации по существу. В определённый момент автору стало понятно, что механика и множество связанных нюансов безопасности до конца не понятны даже многим разработчикам криптовалют. Это вскрылос...

Adobe исправила 47 критических ошибок в Acrobat и Reader Октябрьский набор обновлений для Adobe Acrobat и Reader на сей раз вышел раньше «вторника патчей». В этих продуктах совокупно закрыто 86 уязвимостей; больше половины из них позволяют выполнить произвольный код и оценены как критические. «Adobe выпустила обновл...

Обнаружена новая глобальная уязвимость в Android Исследовательская компания Nightwatch Cybersecurity обнаружила новую глобальную уязвимость в Android под кодовым именем CVE-2018-9489. Читать дальше →

Не открывайте порты в мир — вас поломают (риски) Снова и снова, после проведения аудита, на мои рекомендации спрятать порты за white-list'ом встречаюсь со стеной непонимания. Даже очень крутые админы/DevOps'ы спрашивают: "Зачем?!?" Предлагаю рассмотреть риски в порядке убывания вероятности наступления и ущерба. Ошибка ко...

Павел Дуров выступил с манифестом против Facebook В начале недели газета Financial Times (FT) сообщила, что израильская компания NSO Group разработала вредоносное программное обеспечение, которое использует уязвимость WhatsApp для сбора данных о его пользователях. Для его установки хакеры осуществляли голосовые звонки....

Популярность open source-продуктов увеличивает риски Компания Sonatype, разработчик платформы для автоматизации разработки ПО (DevOps), оценила безопасность продуктов с открытым кодом. По оценкам экспертов, за последний год применение open source-модулей с известными уязвимостями выросло на 120%, а время появления эксплойтов п...

Критический баг в SQLite угрожает тысячам приложений и Chromium-браузерам Новая уязвимость в SQLite получила название Magellan. Баг позволяет исполнять произвольный код, приводит к утечке памяти программ и «падениям» приложений.

Уязвимости в WPA3 позволяют раскрыть пароль от сети Wi-Fi Специалисты нашли в общей сложности пять «дыр» в новом протоколе.

Вредоносные расширения для Chrome Аудитория Одноклассников — 71 миллион в месяц. Так же, как и аудитория интернета в целом, наши пользователи подвержены распространенным угрозам безопасности: фишингу, вирусам, переиспользованию паролей. Экономическим двигателем атак на пользователей соцсети, как правило, я...

Атака на «Яндекс» была проведена через DNS Уязвимость реестра Роскомнадзора. Регулятору пофиг. Почему молчит судебная система?

Ссылки на новые iPad и iPod Touch 7-го поколения, найденные в iOS 12.2 Ранее в базе данных Евразийской экономической комиссии была обнаружена информация о регистрации семи новых моделей iPad, и теперь в iOS 12.2 обнаружены признаки появления новых iPad и iPod touch 7-го поколения. Разработчик Стивен Тротон-Смит обнаружил ссылки на четыре новые ...

Хакеры обошли защиту iOS 12.1 Довольно часто мы слышим смелые заявления о высокой надежности и защищенности iOS. Однако, как показывает практика, еще ни одна версия мобильной операционной системы Apple не оказалась неприступной перед хакерами. После релиза очередной сборки системы, специалистам по безоп...

ЕС запустит программу поиска ошибок в открытом ПО Европейский союз объявил о серии программ по выявлению ошибок и уязвимостей в бесплатном программном обеспечении с открытым исходным кодом, включая такие популярные приложения, как VLC Media Player, Filezilla, PuTTY и 7-Zip. Финансовые вознаграждения будут предложен...

Уязвимость Internet Explorer грозит потерей файлов Специалист по кибербезопасности Джон Пейдж (John Page) опубликовал информацию об уязвимости Internet Explorer 11, позволяющей получить доступ к локальным файлам. Исследователь уведомил Microsoft о найденном баге, но компания отказалась выпускать внеплановый патч. Проблема св...

Intel представила процессоры Core девятого поколения Три представленных компаний процессора производятся по улучшенному 14-нм техпроцессу и позиционируются как идеальное решение для игр. Также они поддерживают память Optane и аппаратную защиту от уязвимостей Spectre и Meltdown.

Обнаружена критическая уязвимость более 50% почтовых серверов Qualys обнаружила уязвимость в агенте пересылки почты Exim, позволяющую удаленно запускать команды на сервере.

В Check Point обнаружили уязвимость в украинской стриминговой платформе Около года назад компания Check Point обнаружила в украинской стриминговой платформе Ministra критические уязвимости, которые могут привести к серьезным нарушениям со стороны операторов связи.

Ноутбуки Razer продолжают продаваться с давно известной «дырой» в безопасности С 2011 года компания Razer, ранее хорошо известная своей стильной компьютерной периферией, также начала продвигать производительные игровые ноутбуки. И если с мышками и клавиатурами особых хлопот в плане заботы о безопасности нет, то с ноутбуками всё очень непросто. Оказалос...

Обнаружена серьезная уязвимость Google Chrome и Windows 7 Исправление для Windows все еще нет

Эксперты подделали подписи в программах для просмотра PDF Исследователи из Рурского университета в Бохуме рассказали об уязвимости системы цифровой подписи, используемой в приложениях для просмотра PDF-файлов. Чтобы заранее оповестить разработчиков ПО о найденных брешах, с октября 2018 года ученые сотрудничали со специалистами Феде...

Spoiler: найден новый тип уязвимости в процессорах Intel Ещё одно благоприятное условие для реализации гиперпинка.

Новый тип уязвимости не угрожает процессорам Intel Coffee Lake Refresh степпинга R0 Они реализовали защиту на аппаратном уровне.

Уязвимость в Telegram позволяет обойти пароль local code любой длины Из прошлого В предыдущей своей работе Я продемонстрировал уязвимость секретных чатов Telegram, и выложил видео-мануал по восстановлению local code Telegram на GNU/Linux/Windows/Android (взлом СЧ Telegram). Недавно обнаружил «продолжение уязвимости»: Android-Telegram [обход ...

Данные 52 миллионов пользователей сервиса Google оказались в открытом доступе Сотрудники компании Google заявили, что личные данные 52,5 миллиона пользователей оказались под угрозой. Это произошло из-за неустраненной бреши в защите Google+. Об этом сообщается в блоге компании, передают Новости ИТ со ссылкой на lenta.ru. Уязвимость позволила третьим л...

Обновляем macOS, iOS, Safari Компания Apple выпустила первые в этом году патчи для своих ОС, веб-браузера и Windows-клиента iCloud. В macOS Mojave, High Sierra и Sierra совокупно закрыто 23 уязвимости. Около половины из них позволяют выполнить произвольный код — таковы, например, брешь CVE-2019-6200 в к...

Все версии Windows имеют дыру безопасности Специалисты компании TrendMicro Security смогли обнаружить не закрытую уязвимость нулевого дня во всех версиях Windows. ***

Ботнет Bashlite нацелился на умные устройства Belkin WeMo Создатели IoT-бота Bashlite расширили его возможности: теперь он умеет проводить несколько вариантов DDoS-атак, обладает функциями бэкдора, а также способен удалять клиенты конкурентов. Очередной вариант Bashlite нацелен на линейку оборудования WeMo компании Belkin и доставл...

В библиотеке jQuery устранена серьезная уязвимость В jQuery закрыта уязвимость, которая позволяет провести DoS-атаку или получить права администратора веб-приложения, использующего эту JavaScript-библиотеку на стороне клиента. Эксперт по кибербезопасности Лиран Тал (Liran Tal) из Snyk обнаружил брешь 26 марта; пропатченная в...

Уязвимости могут сделать процессоры AMD производительнее чипов конкурента Недавнее раскрытие информации об очередной уязвимости процессоров Intel, получившей название MDS (или Zombieload), послужило стимулом к очередному обострению споров о том, с каким падением производительности придётся мириться пользователям, которые захотят воспользоваться пр...

Исследователи обнаружили в электросамокатах Xiaomi уязвимость, позволяющую удаленно (до 100 м) захватить контроль над транспортным средством Специализирующаяся на вопросах компьютерной безопасности американская компания Zimperium выявила серьезную уязвимость в электрических самокатах Xiaomi. Как утверждается, ошибка, связанная с управлением транспортным средством посредством Bluetooth, может быть использована зло...

Исследователи Check Point Research обнаружили уязвимость в украинской стриминговой платформе Около года назад компания Check Point Software Technologies Ltd. (NASDAQ: CHKP), обнаружила в украинской стриминговой платформе Ministra критические уязвимости, которые могут привести к серьезным нарушениям со стороны операторов связи.

Вышли январские патчи для Android Компания Google выпустила новый набор патчей для Android, совокупно закрыв 27 уязвимостей. Тринадцать из них актуальны для всех мобильных устройств независимо от производителя. Самая серьезная брешь, CVE-2018-9583, присутствует в одном из системных компонентов Android. Она п...

Электросамокаты Xiaomi оказались небезопасными из-за найденной уязвимости Превращение многих обычных устройств в «умные» приводит не только к расширению возможностей этих продуктов, но и к новым рискам. Обычный телевизор или холодильник нельзя взломать, а вот умный — можно. Теперь вот дошла очередь и до самокатов. Компания ...

Украинец нашел в Steam уязвимость, открывающую доступ к ключам активации любой игры. В благодарность Valve выплатила ему $20 тыс. Компании достаточно часто выплачивают вознаграждения за обнаружение уязвимостей в их продуктах. И вот стало известно, что Valve выплатила вознаграждение в размере $20 тыс. украинскому исследователю безопасности Артему Московскому за обнаружение уязвимости в сервисе цифровой ...

Срочно обновите Chrome. Google просит пользователей обновить браузер из-за найденной уязвимости Компания Google обратилась к пользователям браузера Chrome с просьбой срочно обновить приложение. Chrome обновляет сам, не требуя при этом перезагрузки, но в данном случае она всё же нужна. Суть в том, что компания обнаружила серьёзную уязвимость, которую уже «акт...

В WhatsApp была обнаружена серьезная уязвимость Срочно обновите приложение!

Microsoft пропатчила атакуемую уязвимость 0-day Майский набор обновлений для продуктов Microsoft закрывает брешь повышения привилегий, уже используемую в атаках. Уязвимость CVE-2019-0863 связана с функциональностью, отвечающей за формирование и отправку на сервер отчетов об ошибках Windows. Согласно бюллетеню, эксплуатаци...

Honeywell закрыла уязвимость в мобильных терминалах Компания Honeywell залатала серьезную брешь в программном обеспечении своих мобильных компьютеров под управлением Android. Баг затрагивал более десятка устройств и позволял удаленному злоумышленнику расширить привилегии при помощи специально созданного приложения. Чтобы устр...

Новые процессоры Intel в разной степени защищены от уязвимостей Более дешёвым повезло больше.

Найдена новая уязвимость в процессорах Intel. Рекомендации, решения и пояснения Решаем проблему в процессорах Intel вместе

Эксперты составили черный список уязвимых плагинов Magento Независимый исследователь Уиллем де Грут (Willem de Groot) вместе с другими специалистами запустил репозиторий небезопасных расширений CMS Magento. На момент публикации в хранилище собрано более 60 плагинов. Инициатива призвана помочь веб-администраторам устранить уязвимости...

Массовый взлом ВКонтакте [XSS-червь]   В функционале социальной сети Вконтакте обнаружен и успешно эксплуатировался опасный баг — хранимая XSS с функционалом сетевого червя. В данный момент уязвимость устранена. Читать дальше →

Взломщики эксплуатируют уязвимости в WordPress-плагине Злоумышленники используют бреши в плагине YellowPencil, установленном на более чем 30 тыс. сайтов на базе WordPress. Создатель расширения просит владельцев веб-ресурсов срочно установить обновление. По словам исследователей, за атаками стоят те же преступники, которые в тече...

Safari и Edge позволяли подменять сайты при загрузке Исследователь в сфере информационной безопасности Рафэй Балух (Rafay Baloch) обнаружил уязвимость в браузерах компаний Microsoft и Apple. Брешь позволяла злоумышленникам незаметно подменять веб-страницы во время загрузки. Патч для Microsoft Edge уже вышел, но баг в Safari вс...

Дуров объяснил утечку пользовательских данных в Telegram На днях в сети появились сообщения об обнаруженной уязвимости в десктопном приложении Telegram. При использовании одноранговое P2P-соединение во время звонков, можно было получить IP-адреса пользователей. В мобильном приложении P2P-соединение можно отключить, а в десктопном ...

Никогда такого не было, и вот опять. Во всех компьютерах Apple MacBook, выпущенных за последние два года, есть уязвимость Thunderclap Исследователями, работающими в сфере компьютерной безопасности, обнаружена уязвимость, которой они дали название Thunderclap. Эта уязвимость серьезно подрывает безопасность компьютеров с портами Thunderbolt, выведенными на разъемы USB-C, то есть на компьютеры с интерфей...

Уязвимость в плагине WP Live Chat Support позволяет похищать логи и внедрять сообщения в чаты Плагин, установленный на 50 000 сайтов под управлением Wordpress, уязвим перед атаками злоумышленников.

PoC показал, что баг в MikroTik на самом деле хуже некуда Новая концепция атаки на роутеры MikroTik позволяет удаленно выполнить любой код на устройстве с незакрытой уязвимостью CVE-2018-14847. Патч для нее вендор выпустил еще в апреле. Новый PoC-эксплойт для известной бреши создан экспертами Tenable. В воскресенье они продемонстри...

Adobe закрыла 24 критические уязвимости в своих продуктах Апрельский набор патчей Adobe совокупно устраняет 43 бреши в восьми разных продуктах, в том числе Acrobat Reader, Flash Player и Shockwave. Оценку «критический» получили 24 бага, позволяющие удаленно выполнить любой код в системе. Наибольшее количество уязвимостей ...

«Киевстар» подтвердил закрытие программы Bug Bounty, но опроверг недавнее утверждение об уязвимости в платежных сервисах На прошлой неделе исследователь в области компьютерной безопасности Артем Бобок, известный под ником Gorodnya, обратил внимание общественности на то, что оператор мобильной связи «Киевстар» по-тихому закрыл программу выплаты денежных вознаграждений за обнаружение уязвимостей...

Новый вариант Spectre упрощает атаку на чипы Intel и AMD Ученые Северо-Восточного университета Бостона совместно с командой исследователей IBM Research рассказали о новом способе эксплуатации уязвимости Spectre, который облегчает злоумышленникам возможность проведения атаки. Аналитики доказали работоспособность своего метода на со...

Создатели CMS Magento исправили 37 брешей в своем ПО Разработчики Magento выпустили пакет обновлений, который устраняет 37 уязвимостей в открытой и коммерческой версиях CMS. Спектр нейтрализованных угроз включает SQL-инъекции, межсайтовый скриптинг, удаленное выполнение кода (RCE) и компрометацию важных данных. Четыре обнаруже...

Сервер, ты меня слышишь? BROP-атака на примере задания NeoQUEST-2019 Как найти уязвимость на сервере, не имея информации о нём? Чем BROP отличается от ROP? Можно ли скачать исполняемый файл с сервера через переполнение буфера? Добро пожаловать под кат, разберём ответы на эти вопросы на примере прохождения задания NeoQUEST-2019! Читать дальш...

Уязвимость в Thunderbolt позволяет взломать почти все Mac новее 2011 года Практически полное отсутствие вирусных программ для macOS компенсируют уязвимости, которые время от времени эксперты в области кибербезопасности в ней находят. Правда, на этот раз брешь нашли не в самой системе, а в интерфейсе Thunderbolt, который используется в компьютерах...

Начались атаки на новую брешь в Apache Struts Около недели назад Apache Software Foundation выпустила обновления для новой критической уязвимости в Apache Struts 2. Брешь получила идентификатор CVE‑2018‑11776. Она позволяет удаленно выполнять вредоносный код в приложениях, использующих Struts, а также перехв...

Никогда такого не было, и вот опять. Во всех компьютерах Apple MacBook, выпущенных за последние два года, есть уязвимость Thunderclap Исследователями, работающими в сфере компьютерной безопасности, обнаружена уязвимость, которой они дали название Thunderclap. Эта уязвимость серьезно подрывает безопасность компьютеров с портами Thunderbolt, выведенными на разъемы USB-C, то есть на компьютеры с интерфей...

Windows 10 19H1 решит вопрос снижения производительности после патча Meltdown/Spectre Уязвимости Spectre и Meltdown, обнаруженные в начале этого года, стали настоящим испытанием для индустрии, заставив компании начать совместную работу над исправлением столь фундаментальных проблем безопасности. Выпущенные исправления, как вы наверняка слышали, привели к сущ...

Уязвимость в Internet Explorer позволяет воровать файлы с ПК на Windows В браузере Internet Explorer обнаружена опасная уязвимость XXE, которая позволяет воровать файлы с компьютеров. ***

Intel представила процессоры Core 9-го поколения Компания Intel представила 9-е поколение процессоров Core, направленных на энтузиастов и геймеров. Девятое поколение Coffee Lake Refresh, как и восьмое, построено на базе 14-нм техпроцесса, но обещает больше возможностей для разгона (благодаря использованию припоя под крышк...

Исследователи рассказали об уязвимостях в 26 PoS-криптовалютах Эксперты из Иллинойского университета в Урбане-Шампейне рассказали об атаке Fake Stake, которая представляет угрозу для 26 proof-of-stake криптовалют.

Фишинг стал главной угрозой 2018 года Такие данные опубликовала компания Trend Micro Incorporated в Ежегодном обзоре кибератак , с которыми компании по всему миру столкнулись в 2018 году. "Каждые пару-тройку лет ландшафт угроз радикально меняется, поэтому даже самые инновационные подходы к защите стремитель...

В WordPress 5.1.1 закрыли уязвимость, грозящую CSRF-атаками Разработчики WordPress выпустили обновление безопасности 5.1.1, в состав которого вошли 14 исправлений безопасности. Они устраняют CSRF-уязвимость системы и упрощают переход на новые версии PHP. Брешь позволяла потенциальным злоумышленникам использовать систему комментирован...

IoT-ботнеты растут на старых уязвимостях Организаторы атак на Интернет вещей все чаще применяют известные бреши в дополнение к простому подбору паролей. Преступники делают ставку на то, что владельцы подключенных устройств пропускают обновления ПО, зачастую оставаясь уязвимыми перед угрозами двух-трехлетней давност...

Преступники могут получить доступ к информации клиентов в каждом онлайн-банке По данным проведенного анализа, большинство изученных онлайн-банков содержат критически опасные уязвимости. В результате работ по оценке защищенности онлайн-банков в каждой исследованной системе были обнаружены уязвимости, которые могут привести к серьезным последствиям.Угро...

Word начал заражать компьютеры Антивирусы не могут обнаружить опасную уязвимость

«Лаборатория Касперского» обнаружила критическую уязвимость в Windows «Лаборатория Касперского» обнаружила ранее неизвестную уязвимость в операционной системе Microsoft Windows …

Представлен новый класс уязвимостей в процессорах Intel В случае исправления падение производительности достигает 40%. Под ударом Hyper-Threading.

Обнаруженная уязвимость в WhatsApp позволяет корректировать чужие сообщения Технические специалисты компании Check Point Research обнаружили в мессенджере WhatsApp серьезную уязвимость. Она позволяет киберзлоумышленникам корректировать чужие сообщения и распространять ложные сведения. Хакеры могут взять цитату в групповом или приватном чате и исков...

Представлено девятое поколение процессоров Intel Core Компания Intel представила сегодня девятое поколение процесоров Intel Core. Первые чипы в линейке предназначены для энтузиастов. Они также производятся по 14-нанометровому техпроцессу, но предоставляют больше возможностей для разгона, поддерживают память Optane и аппаратную ...

Брешь runC позволяет атакующим запускать произвольный код Старший инженер SUSE Алекса Сараи (Aleksa Sarai) сообщил о серьезной бреши в инструменте для запуска контейнеров runC. Уязвимость CVE-2019-5736, обнаруженная исследователями Адамом Иванюком (Adam Iwaniuk) и Борисом Поплавски (Borys Popławski), позволяет злоумышленнику переза...

Microsoft предупредила, что более 1 млн устройств уязвимы атаке, похожей на вирус WannaCry Некоторое время назад Microsoft сообщила о существовании в Windows серьёзной уязвимости безопасности. ***

Thrangrycat: критическая уязвимость в прошивке устройств Cisco позволяет хакерам устанавливать на них бэкдоры Исследователи информационной безопасности обнаружили опасную уязвимость в прошивке, которая используется на устройствах Cisco разных типов. Ошибка CVE-2019-1649 или Thrangrycat позволяет злоумышленникам устанавливать на маршрутизаторы, коммутаторы и межсетевые экраны бэкдо...

В libssh пропатчена легко эксплуатируемая уязвимость В библиотеке libssh, используемой для ввода поддержки протокола SSH в программы на языке Си, закрыта критическая брешь, позволяющая получить доступ к системе в обход аутентификации. Согласно бюллетеню разработчика, данная уязвимость кроется в коде, реализующем серверные функ...

Уязвимость в браузере Internet Explorer позволяет злоумышленникам красть файлы с ПК под управлением Windows Исследователь безопасности Джон Пейдж (John Page) опубликовал подробные сведения об уязвимости XXE (XML eXternal Entity), обнаруженной в браузере Internet Explorer, которая позволяет злоумышленникам красть файлы с ПК под управлением Windows. Уязвимостью можно воспользов...

Баг в BMC-контроллерах позволяет переписать их прошивку Серьезную уязвимость, связанную с реализацией AHB-мостов контроллеров удаленного доступа, обнаружил ИБ-специалист Стюарт Смит (Stewart Smith) из IBM Linux Technology Center. Баг затрагивает ряд устройств различных производителей и позволяет злоумышленникам изменять конфигура...

Microsoft может лишить Huawei обновлений Windows Свою официальную позицию в отношении Huawei компания Microsoft не раскрывает. Журналисты TechRadar обратились к ней с соответствующим запросом, но получили неоднозначный ответ от пресс-службы: "Нам пока нечего комментировать". В итоге, на момент публикации материал...

Кампания HookAds распространяет DanaBot и Nocturnal Stealer Специалисты по информационной безопасности сообщают о новой вредоносной кампании с использованием эксплойт-пака Fallout. Злоумышленники атакуют посетителей сайтов через баннеры дешевых рекламных сетей и перенаправляют жертву на криминальные ресурсы, пытающиеся установить пол...

0-day в Windows Task Scheduler уже взята в оборот Исследователи из ИБ-компании ESET зафиксировали ряд целевых атак с использованием недавно опубликованной и пока не закрытой уязвимости нулевого дня в Планировщике заданий Windows. Брешь в API-интерфейсе Планировщика проявляется при обработке вызовов ALPC и позволяет локально...

[Перевод] Исследователь опубликовал пример рабочего кода червя для Facebook Одна группировка уже злоупотребляет этой проблемой, размещая спам на стенах пользователей Польский исследователь безопасности в конце декабря опубликовал детали и пример рабочего кода, который можно использовать для создания обладающего всеми необходимыми возможностями чер...

Опубликованы PoC-коды для libssh, вендоры готовят патчи На прошлой неделе вышли обновления для библиотеки libssh, закрывающие опасную брешь, использовать которую к тому же очень легко. На GitHub уже появились несколько  концептуальных эксплойтов и сканеры уязвимости, созданные специалистами по ИБ. Согласно бюллетеню, опубликованн...

Mail.Ru Group запустила браузер Atom и заплатит тем, кто найдет в нем баги 1 млн рублей ждет специалистов, обнаруживших уязвимость RCE

Опубликован proof-of-concept для создания червя в Facebook Польский ИБ-специалист опубликовал PoC-эксплоит для уязвимости в Facebook. Проблема может использоваться для создания полноценного червя, и уже эксплуатируется как минимум одной группой спамеров. Увы, разработчики Facebook не сочли обнаруженную проблему уязвимостью.

Уязвимость в ядре iOS 12 позволила взломать iPhone Xs Max За последние пару лет компания Apple заметно повысила защищенность свое+й мобильной операционной системы, исправив целый ряд уязвимостей, которые хакеры могли использовать для взлома iOS. Однако, как показывает практика, уязвимостей еще хватает. На днях это наглядно показали...

Удаленное выполнение кода в Microsoft JET Database Engine   Участник проекта Zero Day Initiative Lucas Leong (Trend Micro) раскрыл подробности о наличии критической уязвимости в Windows, позволяющей удаленно выполнить произвольный код в контексте текущего процесса. Для успешной эксплуатации проблемы потребуется участие пользовател...

В службе обновления Webex нашли очередной баг Очередную брешь в программе для организации веб-конференций Cisco WebEx обнаружили ИБ-специалисты компании SecureAuth. Ошибка позволяет заменить исполняемый файл службы обновления на предыдущую версию, содержащую уязвимости. В результате атаки злоумышленник может повысить св...

В работе Facebook произошел масштабный сбой Пользователей “выбрасывает” из личных аккаунтов. Об этом сообщают Новости ИТ со ссылкой на zn.ua. Пользователи Facebook из Европы сообщают о том, что в работе социальной сети произошел сбой. Как сообщает The Independent, некоторые пользователи жалуются на то, что...

Баги в умных телевизорах Sony: удаленный доступ, права root Исследователи из Fortinet обнаружили три опасные уязвимости в смарт-телевизорах Sony Bravia. Патчи уже раздаются OTA, их установка требует согласия пользователя и подключения к сети; если настройки дефолтные, обновление произойдет автоматически. Наиболее серьезна брешь CVE-2...

Хакеры взломали утилиту ASUS Live Update и распространяли через неё зловред, компания уже устранила уязвимость и выпустила диагностическое ПО Буквально на днях компании, занимающиеся выпуском антивирусного программного обеспечения, заявили, что хакеры смогли взломать систему распространения обновлений ASUS и внедрить в неё вредоносное ПО. В результате, через утилиту ASUS Live Update, которая распространяет обновле...

В VPN-роутерах TP-Link закрыты опасные бреши Исследователи из Cisco Talos обнародовали четыре уязвимости, свойственные SOHO-роутерам TL-R600VPN производства TP-Link. Обновленные прошивки уже доступны, пользователям рекомендуется их установить в кратчайшие сроки. Причин, по которым возникли проблемы, по словам экспертов...

Специалисты смогли обойти защиту iOS 12 За последние пару лет джейлбрейк-сообщество покинуло много известных участников, которые фактически и занимались поиском уязвимостей и созданием публичных утилит для взлома iOS. Однако, несмотря на подобную тенденцию, по всему миру еще остается немало специалистов, ищущих ба...

Исследование: уязвимости в DApps позволили хакерам похитить 400 000 EOS Специалисты по кибербезопасности из PeckShield обнаружили, что с июля по ноябрь хакеры совершили 27 атак на децентрализованные приложения (DApps) в экосистеме EOS. Потери от атак оцениваются в 400 000 монет EOS, что эквивалентно $760 тысяч на момент написания материала. Об э...

В механизме macOS, ответственном за хранение логинов и паролей, найдена уязвимость, позволяющая получить доступ к этим данным Похоже, у Apple наступила чёрная полоса в вопросе безопасности её продуктов. Ещё не успел успокоиться скандал касательно уязвимости в FaceTime, как стало известно, что в операционной системе macOS нашлась дыра, посредством которой можно получить к логинам и паролям поль...

По итогам 2018 года рынок ИБ вырастет на 10% Positive Technologies подвела итоги года в области информационной безопасности и представила ряд возможных сценариев, которые могут угрожать бизнесу, государству и частным лицам в 2019 году.В числе ключевых тенденций уходящего года эксперты отметили:Рост рынка ИБ в России со...

Как Windows 10 May 2019 Update улучшает общую производительность ПК Обновление Windows 10 May 2019 Update предлагает множество улучшений и незначительных изменений, которые могут в некоторой степени повысить производительность вашего компьютера. Windows 10 версии 1903 от Microsoft предлагает столь необходимые усовершенствования Центра обновл...

GitHub усиливает мониторинг защиты размещенных проектов Владельцы репозитория GitHub объявили о нескольких нововведениях, призванных улучшить защиту представленных на сайте программ. Создатели хранилища увеличили количество языков, поддерживаемых сервисом автоматического поиска уязвимостей, и запустили службу поиска вшитых в код ...

В очередной версии Google Chrome закрыли 60 уязвимостей Компания Google выпустила обновление для своего браузера Chrome. В версии 73 исправили 60 багов, ни один из которых не является критическим. Недавно обнаруженную 0-day, которая давала преступникам возможность выполнить произвольный код, уже закрыли в версии 72.0.3626.121. Ch...

Intel закрыла критическую уязвимость в подсистеме CSME Компания Intel выпустила патчи для 34 уязвимостей в своих продуктах, включая критический баг в подсистеме Converged Security and Manageability Engine (CSME). Как сообщает производитель, недостатки могли привести к эскалации привилегий, отказу в обслуживании и утечке конфиден...

Кто хочет стать миллионером? Mail.ru обещает миллион рублей за уязвимости в новом браузере Atom Mail.ru Group представила новый браузер Atom с акцентом на безопасность и приватность пользователей. Для проверки компания запустила публичную программу поиска уязвимостей.  Пользователям, которые найдут серьёзную уязвимость в Atom обещана награда в размере одного...

Забытые андроиды. Самые опасные уязвимости в старых версиях Android Для подписчиковКак известно, операционные системы разрабатываются людьми. Кое-кто, впрочем, уверен, что Android создали рептилоиды: в мобильной платформе Google на сегодняшний день обнаружено множество ошибок, которые могут использоваться как для несанкционированного доступа...

8 лет тюрьмы грозит специалисту, нашедшему уязвимости в системах Magyar Telekom Венгерская телекоммуникационная компания Magyar Telekom судится с исследователем, обнаружившим уязвимости в ее системах.

Уязвимость в WinRAR более десятилетия угрожала данным полумиллиарда пользователей Специалисты из компании Check Point обнаружили эту уязвимость.

Уязвимости в 100 плагинах для Jenkins угрожают безопасности компаний ИБ-специалист обнаружил уязвимости более чем в 100 плагинах для Jenkins, многие из которых до сих пор не устранены.

Adobe закрыла шесть критических брешей в ColdFusion Компания Adobe выпустила патчи для платформы веб-разработки ColdFusion. В числе прочих закрыты критические уязвимости, грозящие выполнением произвольного кода. Совокупно разработчик устранил девять брешей в продукте. Согласно бюллетеню, новые проблемы затрагивают выпуск от 1...

Windows Defender ATP теперь называется Microsoft Defender ATP и выходит на Mac Microsoft объявила, что отныне Windows Defender Advanced Threat Protection (ATP) теперь называется Microsoft Defender Advanced Threat Protection. Причина этого в том, что Defender ATP выходит также и на MacOS.Компания также анонсировала Threat and Vulnerability Management (T...

Facebook заявила, что 90 млн пользователей могли пострадать от выявленной уязвимости В пятницу тайваньский этичный хакер Чанг Чи-юань (Chang Chi-yuan) пообещал устроить трансляцию взлома страницы главы Facebook Марка Цукерберга (Mark Zuckerberg). Позже он отказался от планов, отметив, что сообщил об уязвимости специалистам социальной сети Facebook. ...

[Из песочницы] Распутывание клубка уязвимостей на сайтах После своей первой статьи, опубликованной на codeby, которая вошла в топ 3 публикаций недели, я был очень мотивирован написать следующую. Но 11 класс накладывает ограничения на свободное время подготовкой к егэ и олимпиадами. Поэтому вторую я пишу лишь спустя несколько меся...

Google так и не закрыл уязвимость, позволяющую совершать XSS-атаки на Googlebot 5 месяцев назад отрудник агентства Distilled Том Энтони (Tom Anthony) обнаружил уязвимость, которая позволяет манипулировать Googlebot для выполнения JavaScript и индексации внесённых с его помощью изменений, включая ссылки. Исследователь уведомил о своей находке Google, одн...

Уязвимость позволяет отследить любой смартфон с Аndroid Исследовательская компания Nightwatch Cybersecurity опубликовала шокирующие сведения о новой уязвимости, обнаруженной в операционной системе Android. Данная уязвимость позволяет получить самую разную информацию об устройстве, включая название сети Wi-Fi, BSSID, IP-адрес...

Уязвимость Dirty Sock позволяет получить root-привилегии на Linux-машинах В открытом доступе опубликованы proof-of-concept эксплоиты для уязвимости, которая может использоваться для получения прав суперпользователя. Баг затрагивает Ubuntu и другие дистрибутивы.

Хакеры неожиданно нашли в Adobe Reader и Windows брешь «нулевого дня» Кибервзломщики показали уязвимость совершенно случайно после того, как загрузили зараженный вирусом PDF-файл в сервис для анализа вредоносных ПО. Оказалось, что брешь 0-day была замечена в Adobe и Microsoft. Об этом рассказали специалисты из ESET. Исследователь Антон Черепа...

В Beam Wallet обнаружена критическая уязвимость Разработчики приватной криптовалюты Beam на базе протокола MimbleWimble обнаружили критическую уязвимость в кошельке Beam Wallet, затрагивающую и десктопную версию, и интерфейс командной строки. CRITICAL VULNERABILITY IN BEAM WALLET 9.1.2019 20:20 GMT Critical Vulnerability ...

Mail.Ru Group выпустила «безопасный» браузер Atom: за найденную в нём уязвимость обещают 1 млн рублей Он похож на «Яндекс.Браузер» и позволяет открыть вкладку инкогнито в один клик.

В США и Таиланде распространился скрытый майнер BlackSquid, добывающий Monero Исследователи Trend Micro обнаружили новое вредоносное ПО, скрыто добывающее криптовалюту Monero на устройствах пользователей, сообщает ZDNet. Больше всего новый вирус-майнер под названием BlackSquid распространен в Таиланде и США. ПО распространяется через вредоносные веб-с...

Cisco закрыла баги в системе HyperFlex и других продуктах Компания Cisco выпустила очередной комплект патчей, которые закрывают 16 уязвимостей в ее продуктах. Вендор устранил пять серьезных брешей с рейтингом от 7,4 до 8,8 балла по шкале CVSS и одиннадцать проблем среднего уровня опасности. Кроме этого, разработчик телекоммуникацио...

Новая итерация Mirai раздается через эксплойт к ThinkPHP Исследователи из Trend Micro проанализировали Miori — вариант IoT-бота Mirai, распространяемый посредством эксплуатации уязвимости удаленного исполнения кода в фреймворке ThinkPHP. Китайский продукт ThinkPHP с открытым исходным кодом широко используется для разработки и разв...

После установки обновления Windows 10 на некоторых ноутбуках Lenovo придётся отключить Secure Boot Lenovo X260 ThinkPad с Windows 10 19 декабря 2018 года Microsoft выпустила экстренный патч KB4483229 для устранения 0day-уязвимости в Internet Explorer 9−11. Критическая уязвимость CVE-2018-8653 действительно требовала немедленных действий, ведь она позволяет злоумышленник...

Найден способ отследить любое устройство на Android Компания Nightwatch Cybersecurity, специализирующаяся на компьютерной безопасности, рассказала о новой найденной уязвимости в операционной системе Android. Она позволяет приложениям игнорировать разрешения на получение системной информации, такой как имя сети Wi-Fi, идентиф...

Google выпустила сентябрьские патчи для Android 9.0 Pie Компания Google выпустила обновления безопасности для Android, закрывающие 59 уязвимостей разного уровня угрозы. Бюллетень вышел в двух частях: 1 сентября разработчики описали 24 проблемы в файлах ядра платформы, а 5-го рассказали о 35 ошибках, обнаруженных в драйверах и ком...

Простая уязвимость в автомобильной сигнализации грозила угоном 3 млн машин в мире Специалисты по кибербезопасности британской компании Pen Test Partners обнаружили весьма опасную, хотя и досадную уязвимость в системе работы бесключевой автомобильной сигнализации двух крупных мировых компаний ― российской Pandora и американской Viper (в Англии ― Clifford)....

Группировка Outlaw перепрофилировала свой IoT-ботнет Румынская группировка Outlaw, создавшая ботнет на основе IoT-устройств и Linux-серверов, теперь использует его не только для DDoS-атак, но и для майнинга Monero, а также поиска уязвимых к брутфорс-атакам хостов. Это стало возможно благодаря добавлению двух разновидностей бот...

Уязвимость в iPhone позволяла шпионить за дипломатами и лидерами государств Уязвимость в iPhone позволяла бывшим сотрудникам американской разведки, работающим на правительство ОАЭ, на протяжении нескольких лет шпионить за чиновниками, дипломатами и даже лидерами иностранных государств. Об этом сообщает Reuters со ссылкой на источники, пожелавшие ос...

Fujitsu опубликовала полный список процессоров Coffee Lake Refresh На данный момент компания Intel официально представила не так уж много процессоров девятого поколения, также известных под кодовым названием Coffee Lake Refresh. О других процессорах пока что появлялись лишь слухи и утечки, однако компания Fujitsu «слила» информацию сразу о ...

Новые вирусы подменяют результаты исследования смертельно больных людей Исследователи из израильского Научно-исследовательского центра кибербезопасности университета имени Бен-Гуриона обнаружили уязвимость в высокотехнологичном медицинском оборудовании.

В популярном WordPress-плагине обнаружена опасная уязвимость Речь о WP GDPR Compliance, который необходимо обновить до версии 1.4.3 или выше

В IIoT-шлюзе и менеджере устройств компании Moxa нашли семь опасных уязвимостей «Лаборатория Касперского» обнаружила семь уязвимостей в ThingsPro Suite – IIoT-шлюзе и менеджере устройств компании Moxa.

В мобильном Google Chrome обнаружена уязвимость с фейковой адресной строкой В самом популярном браузере мира обнаружена достаточно простая, но неприятная уязвимость. ***

В WhatsApp обнаружена уязвимость нулевого дня Разработчики WhatsApp призывают пользователей срочно обновить приложение, чтобы защититься от обнаруженной в нем уязвимости исполнения кода. Баг уже нашел применение в кибератаках — злоумышленники использовали его для слежки за правозащитниками и журналистами в нескольких ст...

Уязвимость в Chrome позволяет показывать поддельную адресную строку, упрощая фишинговые атаки Разработчик Джеймс Фишер обнаружил в Chrome для мобильных устройств довольно простую уязвимость, которая основана на том, как приложение отображает адресную строку. Когда пользователь прокручивает страницу сверху вниз, происходит отображение фальшивой адресной строки, котора...

Бэкдор позволяет перехватить контроль над умным зданием Специалист Applied Risk Геко Крстич (Gjoko Krstic) обнаружил незадокументированные бэкдоры в автоматизированных системах управления зданиями Optergy. Одна из уязвимостей позволяет получить полный доступ к устройству Proton, предназначенному для удаленного контроля помещений....

Google обязала производителей обновлять Android-смартфоны не менее двух лет Все смартфоны под управлением Android, вышедшие после 31 января 2018 года, должны получать обновления безопасности в течение минимум двух лет с момента релиза. Соответствующее требование компания Google предъявила производителям, включив его в договор о лицензировании Andro...

Опубликованы PoC к брешам в драйверах ASUS и GIGABYTE Эксперты SecureAuth предупредили об уязвимостях в четырех драйверах ASUS и GIGABYTE. По их словам, баги позволяют злоумышленнику получать неправомерные привилегии в системе и выполнять произвольный код. Специалисты также опубликовали работающие эксплойты для каждой бреши. Дв...

В Windows обнаружена уязвимость нулевого дня, с помощью которой проводились целевые атаки Сведения о бреши, получившей номер CVE-2019-0797, были переданы в Microsoft; соответствующий патч уже выпущен.Данная уязвимость позволяет злоумышленникам получить доступ к сети или устройству жертвы. Для её использования был написан эксплойт, нацеленный на 8-ю и 10-ю версии ...

От XSS до RCE одним движением мыши. Эксплуатируем новую уязвимость в WordPress Для подписчиковНе прошло и месяца с последнего раза, как ребята из RIPS снова обнаружили уязвимость в WordPress. На этот раз уязвимость — в комментариях. Проблему усугубляет отсутствие токенов CSRF, в итоге уязвимость можно эксплуатировать, просто посетив сайт злоумышленника...

Siemens обновила промышленное ПО Компания Siemens закрыла восемь уязвимостей в продуктах, предназначенных для промышленных предприятий, в том числе системах автоматизации и коммутаторах. Найденные ошибки могут привести оборудование к отказу в обслуживании или позволить удаленному злоумышленнику повысить при...

CSRF-уязвимости на сайте Samsung позволяли захватить контроль над чужим аккаунтом ИБ-специалист заработал 13 300 долларов, обнаружив CSRF-уязвимости на официальном сайте Samsung.

Обнаружены уязвимости в аппаратных кошельках Trezor и Ledger Специалистам удалось найти бреши в устройствах производства Trezor и Ledger. Среди выявленных проблем: атаки по стороннему каналу, атаки на цепочку поставок, уязвимости на уровне прошивки и чипа.

RCE-уязвимости обнаружены в зарядных станциях EVlink Parking для автомобилей В зарядных станциях для автомобилей, производимых компанией Schneider Electric, обнаружены три уязвимости. Баги позволяют установить полный контроль над устройством.

Исследователи обнаружили возможность заблокировать или ускорить электросамокат Xiaomi без ведома пользователя Уязвимость нашли в управлении через Bluetooth, которое не требует никаких подтверждений.

Уязвимость в Drupal уже эксплуатируют хакеры Критическую уязвимость в CMS Dripal, обнаруженную в конце прошлой недели, уже атакуют злоумышленники. На уязвимые сайты устанавливают криптовалютный майнер.

Positive Technologies обнаружила опасную многолетнюю уязвимость в Android Эксперт Positive Technologies Сергей Тошин выявил критически опасную уязвимость в актуальных версиях операционной …

Уязвимость в телевизорах Supra позволяет транслировать на экран любое видео Независимый исследователь Дхирадж Мишра (Dhiraj Mishra) обнаружил уязвимость в «умных» телевизорах Supra.

Microsoft закрыла 88 уязвимостей в своих продуктах, включая обнаруженные SandboxEscaper Инженеры Microsoft исправили 4 из 5 уязвимостей нулевого дня, раскрытых SandboxEscaper. Также патчи для своих продуктов выпустили Adobe, SAP и Intel.

Сравнение производительности процессоров Intel и AMD после нашествия Зомби (Zombieload) Уязвимости в процессорах Intel замедляют их почти на 30%

Дефицит процессоров Intel может негативно повлиять на рынок ПК во втором полугодии Ресурс DigiTimes сообщает, что поставки 14-нанометровых процессоров Intel уже не способны удовлетворить спрос. Это может негативно повлиять на рынок ПК по итогам второй половины года, несмотря на ранние положительные прогнозы. Участники рынка утверждают, что ситуация в ...

Баг в плагине для WordPress может использоваться для захвата сайтов Уязвимость в плагине Simple Social Buttons, установленном на 40 000 сайтов, может использоваться для размещения бэкдоров и захвата контроля.

Баг в защитном решении Cisco грозит постоянным DoS Компания Cisco закрыла две серьезные уязвимости, затрагивающие Email Security Appliance (ESA) — комплекс средств для обеспечения безопасности электронной почты. Эксплойт в обоих случаях позволяет вызвать состояние отказа в обслуживании и осуществляется через отправку вредоно...

Новая уязвимость в Facebook приводит к утечке персональных данных пользователей Изображение: Pexels Исследователи информационной безопасности обнаружили уязвимость в социальной сети Facebook – эта ошибка могла приводить к утечкам конфиденциальной информации о пользователях и их друзьях. Ошибка обнаружена в функции поиска соцсети. Читать дальше →

Разработчик, помни — трафик твоего приложения смотрят На данный момент существует так много типов уязвимостей, что разработчики совсем забывают об элементарных из них. На днях мне удалось обойти авторизацию в новом приложении WOG (ТОВ «ВОГ РІТЕЙЛ» — вторая по величине сеть АЗС в Украине). В 2017 году, точно такую же уязвимость...

Около миллиона машин уязвимы к атакам BlueKeep Специалисты по информационной безопасности оценили количество доступных онлайн устройств с непропатченной уязвимостью BlueKeep (CVE-2019-0708). По мнению экспертов, под угрозой находится не менее 950 тыс. машин. Эксплойты для удаленного выполнения стороннего кода через этот ...

Еще один плагин для WordPress под атакой, и СМИ винят недовольного исследователя Волна атак на плагины для WordPress продолжилась эксплуатацией уязвимости в Yellow Pencil Visual Theme Customizer.

Детали 0-day уязвимости ByeBear опубликованы на GitHub В сети появились подробности и второй эксплоит для уязвимости ByeBear, которая позволяет обойти исправления для ByeBear и угрожает безопасности Windows 10 и Server 2019.

В промышленном оборудовании Moxa найдено 10 уязвимостей Эксперты по промышленной безопасности US-CERT сообщили об уязвимостях коммутаторов тайваньского производителя Moxa. В подборку вошли 10 брешей, большая часть которых получила выше девяти баллов по шкале CVSS. Проблемы были обнаружены в четырех сериях свитчей Moxa: IKS-G6824A...

Опубликованы эксплоиты для свежих 0-day уязвимостей в Windows ИБ-специалистка, известная под псевдонимом SandboxEscaper, обнародовала новую порцию PoC-эксплоитов для неисправленных уязвимостей в Windows.

Большая часть роутеров на рынке США уязвима для кибератак Американский институт изучения потребителей выяснил, что в прошивках 83% роутеров, представленных на рынке США, содержатся уязвимости, способные привести к взлому устройства и компрометации домашней сети. Специалисты протестировали системное ПО маршрутизаторов, полностью или...

Intel представила 48-ядерный процессор Cascade Lake-AP с 12-канальным контроллером памяти Компания Intel сегодня представила новые процессоры семейства Xeon Scalable, которые относятся к поколению Cascade Lake-AP. Это не потребительское решение. Сама Intel позиционирует такие CPU для систем искусственного интеллекта, систем IaaS (инфраструктура, как услуга) ...

В день выборов мэра ресурсы Правительства Москвы атаковали хакеры Наибольшая часть атак была реализована зараженными машинами, организованными в контролируемые сети с использованием известного вредоносного программного обеспечения EthernalBlue. Данный софт эксплуатирует уязвимость в операционных системах Windows. Другая значимая часть а...

Целевые атаки на IoT и сетевые уязвимости возрастают Согласно последнему отчету Check Point Global Threat Index, кибератаки на уязвимости IoT-устройств и сетевых маршрутизаторов увеличились вдвое с мая 2018 года.

Яндекс подвергся сетевой атаке из-за уязвимости в системе Роскомнадзора Поэтому операторы заблокировали доступ к некоторым IP-адресам Яндекса

Intel устранила серьезную брешь в своих процессорах Корпорация Intel обновила прошивку своих микрочипов, устранив угрозу их файловой системе. Уязвимость CVE-2018-3655, обнаруженная экспертами Positive Technologies, позволяла злоумышленникам взламывать криптографические ключи, чтобы вмешиваться в работу компьютера и перехватыв...

Mozilla пропатчила критическую уязвимость в Firefox В минувшую среду вышел Firefox 62 для Windows, Mac и Android. Новая версия браузера содержит патчи для девяти уязвимостей; три из них оценены как высокой степени опасности, одна — как критическая. Согласно бюллетеню Mozilla, наиболее серьезными являются множественные недочет...

Официально: уязвимость Spoiler не затрагивает процессоры AMD Американская AMD официально подтвердила, что уникальная архитектура процессоров AMD сделала их неуязвимыми для Spoiler. Подробнее об этом читайте на THG.ru.

В WinRAR существовала опасная уязвимость на протяжении 19 лет Может все-таки надо было купить полную версию WinRAR? Исследователи компании Checkpoint Research обнаружили в коде WinRAR […]

ВКонтакте показывала фотографии с удалённых страниц Пользователи обнаружили уязвимость в социальной сети ВКонтакте, которая позволяла просматривать фотографии с удалённых аккаунтов и страниц.

В Chrome обнаружена серьезная уязвимость: срочно установите обновление Google сообщила, что обновление для Chrome, вышедшее на прошлой неделе, содержало исправление для уязвимости нулевого дня, которой уже успели воспользоваться хакеры.

Уязвимости в iLnkP2P представляют опасность для миллионов IoT-устройств Злоумышленники могут обнаружить множество IoT-устройств, использующих уязвимый компонент P2P, и перехватить над ними контроль.

Apple выпустила обновление для iOS, исправляющее уязвимость в FaceTime В конце января в приложении FaceTime была обнаружена серьёзная уязвимость, позволяющая при определённых действиях прослушивать пользователей. Несмотря на то, что с момента оповещения о данной уязвимости, прошло лишь чуть более недели, Apple успела извиниться, пообещать ...

В программах VMware залатали баг оболочки runC Компания VMware выпустила патчи для нескольких продуктов, затронутых уязвимостью в среде выполнения контейнеров runC. Брешь дает злоумышленнику возможность запустить сторонний код на устройстве, повысить привилегии или привести к сбою обработчика Docker-приложений. Обновлени...

Прослушку переведут на отечественное «железо» Власти рассчитывают обезопасить СОРМ от хакерских атак через уязвимости в иностранном оборудовании и поддержать отечественного производителя.

[Перевод] Как обезопасить C Язык C очень мощный и много где используется — особенно в ядре Linux — но при этом очень опасный. Один из разработчиков ядра Linux рассказал, как справиться с уязвимостями безопасности С. Вы можете сделать практически любую вещь на С, но это не значит, что её нужно делат...

Microsoft поставила всех пользователей Windows под угрозу Обнаружившие новую уязвимость нулевого дня участники программы «Инициатива нулевого дня» (Zero Day Initiative) дали корпорации 120 дней на устранение бреши в защите операционной системы, однако это так и не было сделано.

Система ПРО США поражена «системными» нарушениями кибербезопасности Недавняя очередная инспекция объектов ПРО США обнаружила массу дыр в физической и кибернетической защите оборонного ядерного потенциала страны. Инспекция из Пентагона проверила 5 случайным образом выбранных объектов ПРО наземного базирования из 104 развёрнутых. Проверялись н...

Массовый эксплойт бреши в плагине WP GDPR Compliance Исследователи из Defiant (бывш. Wordfence) выявили кампанию по взлому сайтов WordPress посредством эксплуатации уязвимости повышения привилегий в плагине WP GDPR Compliance. Брешь была закрыта на прошлой неделе, однако злоумышленники успели ее обнаружить до выхода патча и пр...

4 декабря Qualcomm представит 7-нм Snapdragon 8150 Мобильные SoCs от Qualcomm являются основой десятков флагманских смартфонов, которые запускаются каждый год. Американский производитель микросхем имеет солидную репутацию в сфере производства первоклассных процессоров в сочетании с надежными модемами и графическими процессор...

Уязвимость позволяет отследить местоположение любого устройства на Android Исследовательская компания Nightwatch Sybersecurity обнаружила серьезную брешь в безопасности мобильной операционной системы Google. Дыра в Android позволяет приложению игнорировать разрешения и получить доступ к информации, которая передается в рамках си

Опубликован эксплоит для уязвимости в Chrome, патча для которой пока нет Специалист Exodus Intelligence обнародовал эксплоит для уязвимости в движке V8 JavaScript, чтобы продемонстрировать, что у текущей модели разработки Chrome есть проблемы.

[Перевод] Объясняем бэкдор в event-stream Если вы работаете с Javascript, то скорее всего вы заметили много шума об уязвимости в npm-пакете event-stream. (На Хабре тоже опубликовали пост об этом — пер.) К сожалению, детальный анализ ситуации похоронен под более чем 600 комментариями в issue на Github, большая часть ...

В антивирусном приложении смартфонов Xiaomi нашли бэкдор Исследователи Check Point описали сценарий MitM-атаки через антивирусное приложение Guard Provider, предустановленное на смартфонах Xiaomi. Злоумышленник может взломать соединение, по которому обновляются базы вредоносного ПО, и внедрить сторонний код на целевое устройство. ...

Apple выпустила обновление для iOS, исправляющее уязвимость в FaceTime В конце января в приложении FaceTime была обнаружена серьёзная уязвимость, позволяющая при определённых действиях прослушивать пользователей.

В WordPress найдена критическая уязвимость шестилетней давности Эксперты RIPS Technologies обнаружили уязвимость в WordPress, которая позволяла выполнить произвольный код и затрагивала все версии CMS, выпущенные за последние 6 лет.

В macOS-версии приложения Evernote закрыли RCE-уязвимость Независимый исследователь обнаружил опасный баг в Evernote для macOS. Проблема позволяла удаленно выполнить произвольный код.

Неизвестные активно сканируют сеть в поисках машин, уязвимых перед проблемой BlueKeep Опасной RDP-уязвимостью CVE-2019-0708 уже интересуются преступники: исследователи обнаружили массовые сканирования сети.

Исследователи Check Point Research обнаружили уязвимость в украинской стриминговой платформе В украинской стриминговой платформе Ministra найдены критические уязвимости, которые могут привести к серьезным нарушениям со стороны операторов связи.

Миллионы серверов Exim находятся под атаками из-за свежей уязвимости Более половины всех почтовых серверов в интернете находятся под угрозой: злоумышленники уже эксплуатируют свежий баг почтовом агенте Exim.

Дефицит процессоров Intel может негативно повлиять на рынок ПК во втором полугодии Ресурс DigiTimes сообщает, что поставки 14-нанометровых процессоров Intel уже не способны удовлетворить спрос. Это может негативно повлиять на рынок ПК по итогам второй половины года, несмотря на ранние положительные прогнозы. Участники рынка утверждают, что ситуация в...

Дуров рассказал, как может произойти утечка IP-адресов в Telegram Desktop По его словам, уязвимость уже устранена; количество голосовых звонков в Telegram Desktop составляет 0,01% от общего числа звонков в Telegram.

Число банковских зловредов выросло почти в полтора раза Согласно внутренней статистике "Лаборатории Касперского", по итогам третьего квартала количество попыток запуска подобных зловредов на цифровых устройствах увеличилось на 41,5% по сравнению с предыдущим трёхмесячным периодом.О том, что финансовые киберугрозы набира...

В Windows 10 закрыты две опасные уязвимости Эксперт Positive Technologies Михаил Цветков выявил две критически опасные уязвимости в Microsoft Windows 10. Они позволяли атакующему получить доступ к компьютеру на базе этой операционной системы и перехватить конфиденциальную информацию. В мартовском пакете обновлений без...

Уязвимости SSD с аппаратным шифрованием позволяют злоумышленникам легко обходить защитные меры Исследователи из университета Радбоуд (Нидерланды) рассказали об уязвимостях в системе защиты некоторых твердотельных накопителях. Они позволяют взломщику обходить функцию шифрования данных диском и получать доступ к информации на диске без необходимости знать пароль дост...

Хардфорк Ethereum отложен из-за обнаруженной критической уязвимости Запланированный апгрейд сети Ethereum под названием Constantinople был отложен на неопределенное время после обнаруженной критической уязвимости в одном из улучшений, сообщает CoinDesk. Речь идет об уязвимости в EIP-1283, которая, как выявила компания по аудиту смарт-контрак...

За три месяца 2019 года в мире обезврежено почти 14 млрд угроз Такие данные опубликовала компания Trend Micro Incorporated в очередном обзоре киберугроз, обнаруженных Trend Micro Smart Protection Network в первом квартале 2019 года.Среди угроз, связанных с электронной почтой, в январе-марте отмечен достаточно резкий рост количества вред...

Western Digital создала HDD рекордной ёмкости – 15 ТБ Компания Western Digital подготовила к выпуску новый жёсткий диск рекордной на текущий момент ёмкости – 15 ТБ. Эта модель получила название Ultrastar DC HC620. К сожалению, помимо ёмкости никаких других сведений о новом рекордсмене пока нет. Не сообщаются ни его технические ...

Вышел патч для уязвимости в Cisco DCNM Разработчики Cisco закрыли опасную брешь в Главном менеджере сети ЦОД (Data Centre Network Manager, DCNM), позволяющую получить удаленный доступ к данным в системе. Причиной проблемы была недостаточная проверка в интерфейсе управления входящих пользовательских запросов. Под ...