Исследователь получил 10 000 долларов за обнаружение XSS-уязвимости в Tesla Независимый исследователь обнаружил XSS-уязвимость в своей Tesla Model 3. Баг позволял извлечь и модифицировать информацию об автомобиле.
Бог не уберег: "умные" четки Ватикана взломали за считанные минуты Французский исследователь Батист Робер обнаружил уязвимость в приложении Click to Pray, с которым синхронизируются четки, представленные на прошлой неделе. Из-за нее хакеры могли с легкостью получить доступ к аккаунту жертвы.
Уязвимость в телевизорах Supra позволяет транслировать на экран любое видео Независимый исследователь Дхирадж Мишра (Dhiraj Mishra) обнаружил уязвимость в «умных» телевизорах Supra.
В macOS-версии приложения Evernote закрыли RCE-уязвимость Независимый исследователь обнаружил опасный баг в Evernote для macOS. Проблема позволяла удаленно выполнить произвольный код.
В WordPress 5.1.1 закрыли уязвимость, грозящую CSRF-атаками Разработчики WordPress выпустили обновление безопасности 5.1.1, в состав которого вошли 14 исправлений безопасности. Они устраняют CSRF-уязвимость системы и упрощают переход на новые версии PHP. Брешь позволяла потенциальным злоумышленникам использовать систему комментирован...
Специалисты Check Point рассказали, как хакеры могли взламывать аккаунты Fortnite В инфраструктуре Epic Games обнаружили ряд багов, позволяющих захватить управление над аккаунтом Fortnite.
Уязвимость, позволявшая захватывать аккаунты Instagram, принесла исследователю 10 000 долларов Ранее независимый ИБ-специалист из Индии уже получил 30 000 долларов США, доказав, что механизм сброса паролей в Instagram небезопасен. Хотя разработчики Facebook с тех пор усилили защиту, эксперт нашел еще один способ скомпрометировать систему восстановления паролей.
В Instagram обнаружена уязвимость, позволяющая взламывать чужие аккаунты Исследователь в области безопасности Лаксман Мутия (Laxman Muthiyah) обнаружил уязвимость в сервисе Instagram, позволяющую перехватить контроль над чужой учетной записью. Мутия выяснил, что один и тот же идентификатор устройства (уникальный идентификатор, применяемый сервера...
В процессорах Intel Cascade Lake обнаружена уязвимость Zombieload v2 Серия обнаруженных аппаратных уязвимостей сыпется на Intel как из рога изобилия. Недавно команда исследователей обнаружила новый вариант уязвимости Zombieload v2, которая может быть использована злоумышленниками на процессорах семейства Intel Cascade Lake. В него...
Простая уязвимость в автомобильной сигнализации грозила угоном 3 млн машин в мире Специалисты по кибербезопасности британской компании Pen Test Partners обнаружили весьма опасную, хотя и досадную уязвимость в системе работы бесключевой автомобильной сигнализации двух крупных мировых компаний ― российской Pandora и американской Viper (в Англии ― Clifford)....
Google обнаружила несколько уязвимостей в iOS, одну из которых Apple ещё не исправила Исследователи Google обнаружили шесть уязвимостей в программном обеспечении для iOS, одна из которых ещё не была исправлена разработчиками Apple. По сообщениям сетевых источников, уязвимости были обнаружены исследователями проекта Google Project Zero.
Check Point Research и CyberInt обнаружили серьезную уязвимость в Origin Обнаруженная цепочка уязвимостей могла бы привести к взлому аккаунтов и краже личных данных 300 миллионов геймеров EA по всему миру.
Google выявила уязвимость в безопасности iOS, которая позволяла заражённым сайтам массово взламывать iPhone Исследователи в области безопасности, работающие в команде Google Project Zero, заявляют, что они обнаружили несколько взломанных веб-сайтов, которые использовали ранее неизвестные уязвимости безопасности, чтобы без разбора атаковать любой iPhone, посещающий сайт. Эта атака ...
В камеры Guardzilla зашит пароль для доступа к облаку Группа независимых исследователей опубликовала на сайте 0DayAllDay информацию о критической уязвимости в прошивке системы видеонаблюдения Guardzilla. Как выяснили специалисты, в код программы зашиты данные для доступа к аккаунту Amazon Web Services, где хранятся видеофайлы в...
«Лаборатория Касперского» исправила несколько уязвимостей в своих продуктах Независимый исследователь Владимир Палант обнаружил ряд проблем в продуктах «Лаборатории Касперского». Фактически из-за этих уязвимостей сайты могли злоупотреблять функциональностью защитных решений.
В iOS 13 выявлена уязвимость, которая позволяет обойти экран блокировки и получить доступ к информации о контактах Выход мобильной операционной системы iOS 13 запланирован на следующую неделю. Тем не менее, исследователям по вопросам информационной безопасности уже удалось обнаружить в ней уязвимость, которая позволяет обойти экран блокировки и получить доступ к информации о всех контакт...
В iPhone нашли уязвимость, позволяющую получить доступ к их файловой системе Исследователь по кибербезопасности обнаружил очередную уязвимость в моделях iPhone от 4s до X. От уязвимости, по его словам, невозможно избавиться при помощи патча. При этом она позволяет проводить процедуру джейлбрейка (операцию для получения доступа к файловой системе смар...
Независимый эксперт нашел RCE-уязвимость в Microsoft Teams Программный инженер Риган Ричард Джей (Reegun Richard J) обнаружил способ выполнить произвольный код через платформу Microsoft Teams. Уязвимость, которая содержится в процессах обновления ПО, также частично коснулась настольных версий GitHub, WhatsApp и UiPath. Как пояснил э...
[Перевод] В Android и Google Photos обнаружены новые уязвимости, позволяющие украсть данные о пользователях Недавно исследователи обнаружили две несвязанные друг с другом уязвимости в продуктах Google. Imperva нашла способ провести атаку по сторонним каналам на Google Фото, которая позволяет злоумышленникам собирать информацию о местонахождении, времени и информации из личных учет...
Исследователи обнаружили в электросамокатах Xiaomi уязвимость, позволяющую удаленно (до 100 м) захватить контроль над транспортным средством Специализирующаяся на вопросах компьютерной безопасности американская компания Zimperium выявила серьезную уязвимость в электрических самокатах Xiaomi. Как утверждается, ошибка, связанная с управлением транспортным средством посредством Bluetooth, может быть использована зло...
ВКонтакте показывала фотографии с удалённых страниц Пользователи обнаружили уязвимость в социальной сети ВКонтакте, которая позволяла просматривать фотографии с удалённых аккаунтов и страниц.
Исправление уязвимости Intel ZombieLoad снижает производительность процессоров Новая обнаруженная уязвимость в процессорах Intel позволяет злоумышленникам получать доступ к конфиденциальной информации. Атака получила название ZombieLoad. Суть уязвимостиНовая уязвимость была обнаружена в процессорах Intel учеными из Технологического университета…
Уязвимость в магазине игр Origin, разработанном Electronic Arts, угрожала 300 млн геймеров Команда исследователей Check Point Research и специалисты компании CyberInt обнаружили цепочку уязвимостей, которая могла привести к взлому аккаунтов и краже личных данных 300 миллионов геймеров EA по всему миру.
Уязвимость в Bluetooth позволяет отследить местоположение всех iPhone и ноутбуков Исследователи из Бостонского университета говорят, что дыры в технологии Bluetooth подвергают огромное количество устройств, работающих на iOS, Windows и др, большой опасности. Благодаря несложным манипуляциям, любой желающий может получить через Bluetooth информацию о место...
Новые уязвимости в стандарте WPA3 В стандарте WPA3 были обнаружены две новые уязвимости, позволяющие злоумышленникам получить доступ к сети. Они были обнаружены теми же исследователями, которые ранее обнаружили пять уязвимостей. Была выявлена специалистами Мэти Ванхофом (Mathy Vanhoef) и Эйалом Роненом (Eyal...
Google повышает премии за найденные уязвимости Изначально эта программа была ориентирована на браузер Chrome, но теперь действует и для одноименной операционной системы, под управлением которой работают устройства Chromebook и Chromebox. Сразу втрое - с 5 до 15 тысяч долларов - увеличен "потолок" базового возна...
Эксперты Positive Technologies выявили попытки массовой эксплуатации критической уязвимости в Confluence Изображение: Knownsec 404 Team Исследователи информационной безопасности из Knownsec 404 Team изучили патч для обнаруженной в марте уязвимости в Confluence и опубликовали код для её эксплуатации. Использование этой ошибки безопасности позволяет злоумышленникам получить во...
В SIM-картах обнаружена опаснейшая уязвимость ИБ-исследователи обнаружили хакерскую активность, направленную на взлом SIM-карт. Технология получила название Simjacker, перед ней уязвимы почти все существующие SIM-карты и смартфоны любых производителей.
Болгарского исследователя арестовали после раскрытия данных об уязвимости в ПО для детских садов Обнаруженная специалистом уязвимость позволила ему скачать информацию о 235 000 гражданах Болгарии.
Дыра в безопасности macOS позволяет злоумышленникам обойти встроенную защиту при установке приложения не из App Store Apple, вероятно, столкнулась с очередной уязвимостью технологии Gatekeeper, которая обеспечивает запуск только доверенного программного обеспечения на компьютере Mac. Исследователь безопасности Филиппо Кавалларин (Filippo Cavallarin) обнаружил и подробно описал новую уязвимо...
В Systemd обнаружены уязвимости, патчей для которых пока нет Специалисты Qualys обнаружили три уязвимости в Systemd, которые позволяют получить root-права в системе.
Уязвимость нулевого дня в Internet Explorer позволяет похитить файлы с Windows-машин Исправления для обнаруженной проблемы еще нет, а исследователь уже опубликовал в открытом доступе proof-of-concept эксплоит.
Уязвимость софта для телеконфенций Zoom позволяет любым сайтам шпионить за пользователями через веб-камеру Изображение: Medium.com Исследователь безопасности обнаружил уязвимость в софте для проведения телеконференций Zoom. При использовании программы на компьютерах Mac, любой открытый пользователем сайт может активировать камеру на устройстве без запроса разрешения на данное ...
Хакеры могут получить доступ к контактам вашего iPhone Исследователи обнаружили уязвимости в SQLite — самых распространенных в мире базах данных
Уязвимость в iOS позволяла злоумышленникам получать доступ к содержимому смартфонов iPhone через зараженные сайты В конце зимы исследователи из Google Project Zero обнаружили группу зараженных хакерами сайтов, содержащих код для взлома iPhone через браузер Safari. В результате злоумышленники могли получить доступ ко всем файлам и паролям на iPhone жертвы.
В приложении Связка ключей для macOS нашли уязвимость Независимый ИБ-исследователь из Германии Линус Хенце (Linus Henze) сообщил о новом способе атаки на Связку ключей macOS. Проблема распространяется на все версии ОС, включая актуальную на момент публикации — 10.14.3 Mojave. Эксперт отказывается делиться с Apple информацией о ...
В macOS Mojave обнаружена уязвимость, позволяющая красть пароли Исследователь безопасности Линус Хенце (Linus Henze) обнаружил в macOS Mojave уязвимость, которая позволяет получить доступ к паролям от учётных данных, хранящихся в Keychain. Однако Хенце не сообщил никаких подробностей о проблеме разработчикам из Apple, поскольку ему за эт...
Найдены уязвимости, позволяющие взломать любой iPhone Исследователи по кибербезопасности Google обнаружили в iOS критические уязвимости, благодаря которым злоумышленники могли взломать любые iPhone. И делали это долгое время — почти два года.
Google предлагает $1 млн. за уязвимости в Android Google, который уже выплатил исследователям в области безопасности более 15 миллионов долларов с момента запуска своей программы поиска уязвимостей в 2010 году, сегодня расширил программу Android Security Rewards.
Intel попыталась подкупить нидерландский университет, чтобы скрыть информацию об уязвимости MDS Исследователи кибербезопасности из Амстердамского свободного университета (VU), являющегося одним из ведущих научно-исследовательских университетов страны и входящего в число ведущих университетов Европы, утверждают, что компания Intel пыталась подкупить их, чтобы скрыт...
В Chrome 77 закрыли 52 уязвимости Разработчики Google представили очередную версию браузера Chrome. Помимо различных исправлений и улучшений, в новом релизе закрыли 52 уязвимости. Сторонние исследователи обнаружили 36 из них — одну критическую ошибку, восемь багов высокого уровня угрозы, 17 — среднего и 10 —...
[Перевод] Уязвимость Exchange: как обнаружить повышение привилегий до администратора домена Обнаруженная в этом году уязвимость в Exchange позволяет любому пользователю домена получить права администратора домена и скомпрометировать Active Directory (AD) и другие подключенные хосты. Сегодня мы расскажем, как работает эта атака и как ее обнаружить. Читать дальше ...
В macOS обнаружена серьезная проблема с безопасностью Всем известно, какое пристальное внимание Apple уделяет безопасности своих операционных систем. Но даже компания такого масштаба не всегда способна выявить все критические ошибки и уязвимости, которые могут быть использованы злоумышленниками. Одну из таких проблем, обнаружи...
Обнаружены 8 серьезных уязвимостей в VoIP-компонентах Android Исследователи обнаружили восемь уязвимостей в VoIP-компонентах Android. Баги могут использоваться для несанкционированных вызовов, подделки ID абонентов, запрета голосовых вызовов и даже для выполнения вредоносного кода на устройствах пользователей.
Опубликован список из 25 самых опасных уязвимостей ПО Изображение: Unsplash Американская организация MITRE опубликовала список из 25 самых опасных уязвимостей программного обеспечения. Исследователи составили таблицу наиболее опасных и распространенных проблем безопасности, с указанием идентификаторов CWE (Common Weakness En...
Пропатчил Exim — пропатчь еще раз. Свежее Remote Command Execution в Exim 4.92 в один запрос Совсем недавно, в начале лета, появились массовые призывы к обновлению Exim до версии 4.92 из-за уязвимости CVE-2019-10149 (Срочно обновляйте exim до 4.92 — идёт активное заражение / Хабр). А на днях выяснилось, что вредонос Sustes решил воспользоваться этой уязвимостью. Те...
В стандарте связи LTE обнаружено 36 уязвимостей Южнокорейские эксперты по вопросам информационной безопасности обнаружили 36 уязвимостей в стандарте связи LTE, которые позволяют реализовать широкий спектр атак. Некоторые из них могут быть достаточно пагубными. Выявленные уязвимости могут создавать небольшие временные труд...
Security Week 41: больше уязвимостей в SIM-картах, дешифрование PDF На прошлой неделе получила развитие история про атаки на уязвимый софт в SIM-картах. Обнаруженная ранее активно эксплуатируемая атака SimJacker оказалась не единственной. Исследователи из компании Ginno Security сообщили о похожей проблеме в компоненте Wireless Internet Brow...
В плагине WP Google Maps обнаружена серьёзная уязвимость В популярном WordPress-плагине WP Google Maps была обнаружена серьёзная уязвимость, позволяющая хакерам захватить контроль над сайтом. Об этом сообщается на странице WPScan Vulnerability Database. На данный момент эта уязвимость уже закрыта, в связи с чем пользователям плаги...
Google так и не закрыл уязвимость, позволяющую совершать XSS-атаки на Googlebot 5 месяцев назад отрудник агентства Distilled Том Энтони (Tom Anthony) обнаружил уязвимость, которая позволяет манипулировать Googlebot для выполнения JavaScript и индексации внесённых с его помощью изменений, включая ссылки. Исследователь уведомил о своей находке Google, одн...
Intel залатала «дыры» в ПО для диагностики процессоров и в прошивке SSD DC S4500/S4600 После публикации в январе 2018 года отчёта об обнаруженных в процессорах Intel уязвимостей Meltdown и Spectre на продукцию микропроцессорного гиганта нацелилось самое пристальное внимание со стороны специалистов по кибербезопасности. Для них это непаханое поле деятельности и...
Брешь runC позволяет атакующим запускать произвольный код Старший инженер SUSE Алекса Сараи (Aleksa Sarai) сообщил о серьезной бреши в инструменте для запуска контейнеров runC. Уязвимость CVE-2019-5736, обнаруженная исследователями Адамом Иванюком (Adam Iwaniuk) и Борисом Поплавски (Borys Popławski), позволяет злоумышленнику переза...
Мошенники эксплуатируют 0-day в популярном WordPress-плагине ИБ-исследователи из компании Wordfence обнаружили уязвимость нулевого дня в WordPress-плагине Social Warfare. Преступники используют брешь для внедрения вредоносного кода на сайты жертв посредством XSS-атак. Под угрозой оказались более 70 тыс. веб-ресурсов, на которых устано...
Мошенники атакуют: в Mozilla критическая уязвимость, а приложения Android похищают данные Coinbase Security и исследователь в сфере безопасности Google Сэмюэл Гросс обнаружили в браузере Mozilla Firefox уязвимость, позволявшую манипулировать объектами Javascript. Она уже использовалась для атак на пользователей криптовалют. Об этом сообщается на Medium. Уязвимост...
Во всех устройствах Apple и Microsoft обнаружена уязвимость Bluetooth, Android оказался непробиваем Несмотря на постоянное совершенствование, протокол и устройства на основе технологии Bluetooth всё ещё богаты на уязвимости. Вчера на 19-й по счёту конференции Privacy Enhancing Technologies Symposium группа исследователей по безопасности из Университета Бостона поделилась и...
WIBAttack. Так ли страшна новая уязвимость SIM-карт [По публичной информации], 21 сентября Ginno Security Lab опубликовала информацию об уязвимости, схожей с Simjacker, которая позволяет с помощью одной вредоносной SMS захватить контроль над мобильными функциями атакованного устройства и тем самым получить возможность отправ...
Уязвимости в Kubernetes позволяют спровоцировать отказ в обслуживании Разработчики Kubernetes представили исправления для уязвимостей, обнаруженных недавно в протоколе HTTP/2. Эти проблемы чреваты уязвимостью перед DoS-атаками.
В опасности миллионы смартфонов Xiaomi, Samsung и Huawei. Google обнаружила незакрытую уязвимость Android Исследователи компании Google из команды безопасности Project Zero обнаружили незакрытую уязвимость в мобильной операционной системе Android. Она ставит под удар безопасность на популярных смартфонах нескольких производителей, включая Xiaomi, Samsung и Huawei. Эк...
Уязвимость Internet Explorer грозит потерей файлов Специалист по кибербезопасности Джон Пейдж (John Page) опубликовал информацию об уязвимости Internet Explorer 11, позволяющей получить доступ к локальным файлам. Исследователь уведомил Microsoft о найденном баге, но компания отказалась выпускать внеплановый патч. Проблема св...
Thrangrycat: критическая уязвимость в прошивке устройств Cisco позволяет хакерам устанавливать на них бэкдоры Исследователи информационной безопасности обнаружили опасную уязвимость в прошивке, которая используется на устройствах Cisco разных типов. Ошибка CVE-2019-1649 или Thrangrycat позволяет злоумышленникам устанавливать на маршрутизаторы, коммутаторы и межсетевые экраны бэкдо...
Новая уязвимость позволяет шпионить за устройствами Apple по Bluetooth В это сложно поверить, но за последние пару месяцев в устройствах Apple было обнаружено столько уязвимостей, сколько не удавалось обнаружить за несколько лет. Сначала приложение «Локатор» давало посторонним людям возможность отслеживать потерянные устройства, подающие сигна...
WIBattack. Очередная уязвимость SIM-карт позволяет удалённо совершать звонки, отправлять SMS, следить за местоположением и запускать WAP-браузер с определённым URL Недавно обнаруженная уязвимость SIM-карт Simjacker – не единственная проблема, которая подвергает риску владельцев телефонов. Исследователи безопасности из Ginno Security Lab подробно описали ещё один эксплойт, получивший название WIBattack, который компрометирует приложение...
МТС вызвали в суд по СМС. Правозащитник подал иск к оператору Сотрудник правозащитной организации Amnesty International Олег Козловский подал иск к оператору МТС. В 2016 году неизвестный получил доступ к аккаунту оппозиционного активиста в Telegram, хотя сам он не получал от оператора СМС с кодом доступа. В МТС считают иск «самопиаром»...
Новая дыра в безопасности затронула все процессоры Intel с 2012 года Исследователи из BitDefender обнаружили уязвимость в безопасности всех современных процессорах Intel. Уязвимость может позволить злоумышленнику получить доступ к памяти ядра компьютера, что потенциально может привести к тому, что он получит доступ к конфиденциальной инф...
Новые уязвимости в 4G и 5G позволяют шпионить за абонентами Группа исследователей в области безопасности обнаружила уязвимости в сотовых сетях, которые позволяют злоумышленникам перехватывать звонки и отслеживать местоположение владельцев телефонов. Более того, проблемы затрагивают не только используемый повсеместно стандарт связи 4G...
Adobe закрыла 24 критические уязвимости в своих продуктах Апрельский набор патчей Adobe совокупно устраняет 43 бреши в восьми разных продуктах, в том числе Acrobat Reader, Flash Player и Shockwave. Оценку «критический» получили 24 бага, позволяющие удаленно выполнить любой код в системе. Наибольшее количество уязвимостей ...
Взломщики создавали на сайтах аккаунты администратора Исследователь Майки Винстра (Mikey Veenstra) сообщил о новом витке развития активной вредоносной кампании на WordPress. Злоумышленники, которые ранее атаковали уязвимые плагины, чтобы показывать нежелательные рекламные баннеры и привлекать трафик на мошеннические сайты, тепе...
Эксперты взломали пароли WiFI-сетей на основе WPA3 Независимые ИБ-исследователи Мати Ванхойф (Mathy Vanhoef) и Эйал Ронен (Eyal Ronen) обнаружили серию уязвимостей в стандарте беспроводных подключений WPA3. Ошибки системы рукопожатий между точкой доступа и сетевым устройством позволяют злоумышленнику взламывать пароли WiFi-с...
Уязвимость Thunderclap делает компьютеры уязвимыми для атак через порт Thunderbolt, последние версии macOS и Windows 10 уже защищены Группа исследователей обнаружила новую уязвимость безопасности в спецификации передачи данных Thunderbolt, которая получила название Thunderclap. Данная уязвимость может сделать компьютеры открытыми для серьезных атак со стороны другого оборудования с интерфейсами USB-C или ...
Аккаунт [email protected] обнаружен в тысячах баз данных MongoDB Голландский исследователь безопасности Victor Gevers заявил, что он обнаружил руку Кремля административную учетную запись [email protected] в более чем 2000 открытых базах данных MongoDB, принадлежащих российским и даже украинским организациям. Читать дальше →
Max Patrol 8. Обзор инструмента для управления уязвимостями Рано или поздно, в любой компании, которая задумывается об информационной безопасности, возникает вопрос: «Как своевременно обнаружить уязвимость в защищаемой системе, тем самым предотвратив возможные атаки с её использованием?» Согласитесь, отслеживать в ручном режиме, ка...
Баги в USB-приемниках Logitech частично останутся без патчей Независимый ИБ-исследователь Маркус Менгс (Marcus Mengs) опубликовал информацию о серии уязвимостей в оборудовании Logitech. Баги позволяют злоумышленнику перехватывать данные, которые поступают на уязвимое устройство, незаметно для жертвы внедрять нажатия клавиш и захватыва...
Ватиканские умные четки eRosary оказались небезопасны Исследователи нашли уязвимости в IoT-четках, которые ранее представили разработчики Ватикана. Создатели продукта не защитили пользовательские аккаунты от стороннего вмешательства и оставили злоумышленникам доступ к частной информации. Умные четки eRosary поступили в продажу ...
Хакер потребовал у Apple денег за подробности об уязвимости в macOS Исследователь в области кибербезопасности из Германии по имени Линус Хенце обнаружил в macOS опасную уязвимость, которая позволяет третьим лицам получить доступ к сохраненным в «Связке ключей» учетным данным от всех сохраненных аккаунтов. По его словам, брешь присутствует в...
Баг в WP Live Chat Support позволяет манипулировать чатами ИБ-исследователи из Alert Logic обнаружили уязвимость в WordPress-плагине WP Live Chat Support. Баг позволяет неавторизованным злоумышленникам получать историю переписки с клиентами и управлять текущими сессиями чатов. Под угрозой оказались более 50 тыс. веб-сайтов, на котор...
Google обещает заплатить до 1,5 млн долларов за взлом смартфонов Pixel 3 и 4 Компания Google опубликовала новые условия программы Android Security Rewards, призванной стимулировать поиск уязвимостей в ее смартфонах. Сейчас в программе участвуют устройства Pixel 4, Pixel 3a, Pixel 3a XL, Pixel 3 и Pixel 3 XL. Программа распространяется на ранее ...
Security Week 45: уязвимости Chrome и BlueKeep в дикой природе Компания Google выпустила апдейт браузера Chrome 31 октября, в котором были закрыты две серьезные уязвимости. Одна из них (CVE-2019-13720) использовалась в реальных атаках и была обнаружена (новость, исследование) специалистами «Лаборатории Касперского». Уязвимость (CVE-2019...
Способ обойти экран блокировки Windows на сеансах RDP На днях исследователь безопасности раскрыл детали новой уязвимости в протоколе удаленного рабочего стола Microsoft Windows (RDP). Уязвимость CVE-2019-9510 позволяет злоумышленникам на стороне клиента обойти экран блокировки в сеансах удаленного рабочего стола. Читать даль...
Уязвимость в приложении Google Camera позволяла шпионить за пользователями Android-устройств Google исправила очередную проблему в операционной системе Android, которая позволяла злоумышленникам получать доступ к камере смартфона и тайно снимать фото и видео, даже когда устройство заблокировано или экран выключен. Уязвимость, получившая идентификатор CVE-2019-2234, ...
ZombieLoad — новая уязвимость в процессорах Intel Исследователи обнаружили новую уязвимость в системе безопасности процессоров Intel, которая может использоваться для кражи конфиденциальной информации. Уязвимости подвержены не только персональные компьютеры, но и облачные серверы, благодаря чему злоумышленники могут получ...
Исследователи нашли новые уязвимости в протоколе WPA3 ИБ-специалисты обнаружили две новые уязвимости в стандарте беспроводных подключений WPA3. Баги позволяют злоумышленникам получить доступ к данным, которыми обмениваются точки при открытии канала, и методом подбора выяснить пароль WiFi-сети. Разработчики протокола планируют о...
Опасная частота: как хакеры превращают смартфон в оружие ИБ-исследователь обнаружил уязвимость в смартфонах, позволяющую злоумышленникам превратить гаджет в некое звуковое оружие — хакер может подключиться к устройству и заставить его проигрывать звуки на разных частотах, представляющие опасность для здоровья человека. Как работа...
Устранение последних уязвимостей в CPU сокращает разрыв в производительности процессоров Intel и AMD Уязвимости в процессорах начали появляться, как грибы после дождя. В дополнение к прошлогодним Spectre и Meltdown, исследователи обнаружили ещё несколько новых уязвимостей: Zombieload, RIDL & Fallout, Store-to-Leak Forwarding. Они достаточно серьёзные, и требуют, чтобы в...
Facebook пропатчила Fizz — свою реализацию протокола TLS Компания Facebook закрыла серьезный баг в протоколе Fizz — оригинальной реализации TLS с открытым исходным кодом. Эксплуатация уязвимости позволяла удаленному злоумышленнику вызвать отказ в обслуживании и приводила к сбою в работе целевой системы. Баг обнаружили ИБ-специалис...
В драйверах видеокарт Nvidia GeForce, Quadro и Tesla обнаружены уязвимости Сообщается, что Nvidia обнаружила пять уязвимостей в своих драйверах Windows для видеокарт серий GeForce, Quadro и Tesla. По словам компании, данные уязвимости отмечены как очень опасные. Подробнее об этом читайте на THG.ru.
Обнаружена критическая уязвимость более 50% почтовых серверов Qualys обнаружила уязвимость в агенте пересылки почты Exim, позволяющую удаленно запускать команды на сервере.
В ThingsPro Suite — IIoT-шлюзе и менеджере устройств Moxa обнаружены уязвимости «Лаборатория Касперского» обнаружила семь уязвимостей в ThingsPro Suite — IIoT-шлюзе и менеджере устройств компании …
Эксперты обнаружили уязвимости в трех VR-платформах ИБ-исследователи Алекс Радоча (Alex Radocea) и Филип Петтерссон (Philip Pettersson) на конференции REcon рассказали об уязвимостях удаленного исполнения кода в платформах виртуальной реальности Steam VR, High Fidelity и VRChat. По их словам, обнаруженные дыры открывали возмо...
Уязвимость в Telegram позволяет обойти пароль local code любой длины Из прошлого В предыдущей своей работе Я продемонстрировал уязвимость секретных чатов Telegram, и выложил видео-мануал по восстановлению local code Telegram на GNU/Linux/Windows/Android (взлом СЧ Telegram). Недавно обнаружил «продолжение уязвимости»: Android-Telegram [обход ...
В банкоматах Diebold Nixdorf обнаружена RCE-уязвимость Один из крупнейших в мире производителей банкоматов предупреждает своих клиентов об уязвимости в банкоматах марки Opteva. Баг позволяет удаленно выполнить произвольный код.
Уязвимости TPM-FAIL угрожают ПК, ноутбукам, серверам и другим устройствам Группа исследователей раскрыла детали двух проблем, получивших общее название TPM-FAIL. Баги связанны с Trusted Platform Module и позволяют извлекать из TPM криптографические ключи.
Уязвимость в WinRAR уже используется в атаках Исследователи обнаружили распространяемый через спам RAR-файл с вредоносным загрузчиком, который устанавливается на Windows посредством эксплуатации недавно опубликованной уязвимости в архиваторе WinRAR. Брешь проявляется при работе с ACE-файлами и позволяет распаковать их с...
В WhatsApp обнаружены три серьезных уязвимости Одной из функций, которые привлекают пользователей в WhatsApp, является использование сквозного шифрования; это означает, что сообщение, отправленное пользователем, не может быть прочитано никем, кроме получателя. Даже Facebook не видит сообщение. Но обнаруженные уязвимости,...
Мобильные сети 4G и 5G позволяют следить за пользователями Одна из тенденций в мире мобильной индустрии в текущем году, о которой мы последнее время нередко говорим, – сети нового поколения 5G. Любая технология, а особенно если она нова, подвержена рискам извне. Не избежали этой участи новые чипсеты для работы с 5G. Исследователи в...
Avast обнаружила серьезные уязвимости в GPS-трекерах китайского производителя Исследователи предупреждают пользователей об уязвимостях, затрагивающих 30 моделей отслеживающих устройств.
Исследователи обнаружили возможность заблокировать или ускорить электросамокат Xiaomi без ведома пользователя Уязвимость нашли в управлении через Bluetooth, которое не требует никаких подтверждений.
«Божественные» умные чётки Ватикана были взломаны за 15 минут Некоторое время назад Ватикан представил eRosary — умные чётки, выполняющие роль обычного фитнес-трекера, а также помогающие молиться. Сам Ватикан позиционирует данное решение в качестве обучающего инструмента. Однако первый блин у Ватикана вышел если и не...
Биткоины владельцев ASIC-майнеров от Bitmain оказались под угрозой из-за уязвимости Разработчик Bitcoin Core Джеймс Гиллард обнаружил уязвимость в ПО для устройств Antminer S15, которая в теории позволяет злоумышленникам полностью взять под контроль ASIC. Одновременно с этим разработчик убежден, что это не единственная версия ПО от Bitmain, подверженная уяз...
В коде Libra устранили уязвимость, позволявшую манипулировать смарт-контрактами Разработчики специализирующегося на безопасности смарт-контрактов стартапа OpenZeppelin обнаружили и устранили уязвимость в общедоступном коде цифровой валюты Libra от Facebook. Об этом сообщает Coindesk. В частности, OpenZeppelin выявили баг в языке Move, разработанного соц...
В биткоин-нодах Casa обнаружены потенциальные уязвимости В аппаратных биткоин-нодах от компании Casa имеется несколько нераскрытых уязвимостей, сообщил исследователь проблем кибербезопасности под псевдонимом Ray [REDACTED] в Twitter. FYI… based on several undisclosed vulnerabilities, I would recommend all Casa node users rem...
Уязвимости в ПО 4G-роутеров позволяют получить полный контроль над устройством Исследователь под ником "g richter" из Pen Test Partners поделился сведениями об ошибках, обнаруженных в устройствах 4G, во время конференции хакеров DEF CON в августе этого года. Он заявил, что многие существующие модемы и маршрутизаторы 4G небезопасны - при этом ...
Личные данные пользователей подвергались опасности из-за серьёзных уязвимостей в браузере Chrome на Android и в сервисе Google Photos В декабре прошлого года специалисты компании Positive Technologies обнаружили критическую уязвимость в браузере Chromium, которая позволяла получить доступ к личным данным пользователей, и сообщили об этом компании Google. Через несколько недель поисковый гигант исправил про...
Cisco вне графика пропатчила менеджер сети ЦОД Компания Cisco Systems выпустила экстренные патчи для двух критических уязвимостей в Data Center Network Manager. В обоих случаях эксплойт позволял захватить контроль над атакуемой системой. Продукт Data Center Network Manager (DCNM) предоставляет пользователям платформу для...
Неизвестные активно сканируют сеть в поисках машин, уязвимых перед проблемой BlueKeep Опасной RDP-уязвимостью CVE-2019-0708 уже интересуются преступники: исследователи обнаружили массовые сканирования сети.
Meltdown, эпизод 2? В процессорах Intel обнаружены новые уязвимости Исследователям удалось на виртуальной машине воссоздать содержимое файла с хэшами паролей, находившегося на другой виртуальной машине на том же процессорном ядре.
Исследователи Check Point Research обнаружили уязвимость в украинской стриминговой платформе В украинской стриминговой платформе Ministra найдены критические уязвимости, которые могут привести к серьезным нарушениям со стороны операторов связи.
В коде Instagram обнаружена функция, позволяющая скрывать лайки Исследователь приложений Джейн Манчун Вонг (Jane Manchun Wong) обнаружила в коде Instagram новую функцию, которая позволяет скрывать количество лайков от других пользователей. В компании подтвердили, что действительно экспериментируют с такой возможностью, но будет ли она за...
В официальном магазине игр Electronic Arts найдена серьезная уязвимость Electronic Arts - вторая по величине игровая компания в мире, может похвастаться такими играми, как FIFA, Madden NFL, NBA Live, UFC, The Sims, Battlefield, Command and Conquer и Medal of Honor. Игры EA можно купить на платформе Origin, которая также позволяет играть в них на...
Баг в реестре контейнеров Harbor позволяет любому получить права администратора Специалисты Palo Alto Networks предупредили, что используя уязвимость в реестре контейнеров Harbor, любой пользователь может повысить свои привилегии до администратора.
Патч для RCE-уязвимости в LibreOffice можно обойти В начале июля команда LibreOffice выпустила обновление для своего офисного пакета. В версии 6.2.5 разработчики закрыли две серьезных уязвимости, одна из которых давала злоумышленникам возможность удаленно получить полный доступ к компьютеру с помощью документа с вредоносным ...
Уязвимость в «Google Фото» позволяла рассекретить данные пользователей Увлекшись поисками недостатков в программных продуктах конкурентов, Google, кажется, совершенно забыла об обеспечении безопасности своих собственных. Как выяснили исследователи компании Imperva, приложение «Google Фото» содержало критическую уязвимость, которая при должных ...
Уязвимость в приложении камеры Android позволяет ... Специалисты по кибербезопасности компании Checkmarx обнаружили уязвимость в приложении «Камера», которая могла затронуть миллионы устройств. Речь идет о дыре, которая позволяет злоумышленникам через практически любое приложение получить контроль над камерами, акт...
Microsoft нашла две похожие на BlueKeep RCE-уязвимости Специалисты Microsoft призывают пользователей оперативно установить обновления безопасности, устраняющие две уязвимости исполнения стороннего кода в Remote Desktop Services. По словам экспертов, CVE‑2019‑1181 и CVE‑2019‑1182 схожи с багом BlueKeep, ко...
Пользователей Lightning Network призвали срочно обновить ПО из-за обнаруженной уязвимости Биткоин-разработчик Расти Рассел обнаружил уязвимость в различных имплементациях Lightning Network (LN), способную привести к потере средств. Upgrade #lightning nodes please! c-lightning < 0.7.1, lnd < 0.7, eclair <= 0.3 vulnerable:https://t.co/4E2hHUy386 — TheRusty...
У Microsoft Edge выявили новую уязвимость На сайте GitHub появился эксплойт для уязвимости CVE-2018-8629, который нашли ребята с Phoenhex. Эксплойт был обнаружен в движке Chakra браузера Edge. Эта уязвимость позволяет выполнить удаленно код с правами администратора за счет выхода рамок выделенной памяти. Те, кто уст...
Никогда такого не было, и вот опять. Во всех компьютерах Apple MacBook, выпущенных за последние два года, есть уязвимость Thunderclap Исследователями, работающими в сфере компьютерной безопасности, обнаружена уязвимость, которой они дали название Thunderclap. Эта уязвимость серьезно подрывает безопасность компьютеров с портами Thunderbolt, выведенными на разъемы USB-C, то есть на компьютеры с интерфей...
NVIDIA исправила два серьезных бага в GeForce Experience Компания NVIDIA устранила две опасные уязвимости в своем продукте GeForce Experience и призвала пользователей в ближайшее время скачать и установить свежие обновления, чтобы обезопасить систему. Первый баг с идентификатором CVE‑2019‑5678 получил оценку 7,8 балла по шкале CVS...
В коммутаторах Cisco Small Business обнаружены баги, позволявшие выполнить произвольный код Найденные уязвимости позволяют обойти аутентификацию, удаленно выполнить произвольный код и осуществить инъекцию команд.
Appel заплатит $1 млн за обнаружение уязвимостей iPhone Любой исследователь, обнаруживший уязвимость в системе безопасности iPhone, может получить вознаграждение в $1 млн. Об этом представитель компании Apple объявил на ежегодной конференции по безопасности Black Hat в Лас-Вегасе. Ранее награда предлагалась т...
Баг плагина позволял украсть учетные данные LastPass Специалист команды Google Project Zero Тэвис Орманди (Tavis Ormandy) сообщил о серьезной уязвимости в менеджере паролей LastPass. Баг позволял злоумышленнику определить учетные данные, использовавшиеся при последней авторизации через плагин сервиса для Chrome и Opera. Разраб...
Intel нашла уязвимость в своих процессорах Компания Intel заявляет об уязвимости, которую обнаружили почти во всех фирменных процессорах, выпущенных с 2011 года. Проблему обнаружили ученые из Технологического университета Граца. Это новый класс уязвимостей Microarchitectural Data Sampling (MDS), основанный на техн...
Любой клиент Exchange может стать администратором домена Уязвимость Microsoft Exchange Server позволяет злоумышленнику повысить привилегии любого зарегистрированного в системе почтового аккаунта до уровня администратора домена. Это выяснил ИБ-специалист Дирк-Ян Моллема (Dirk-jan Mollema), выложивший PoC атаки на GitHub. Аналитик п...
Intel устранила опасные баги в своем ПО Компания Intel выпустила патчи для пяти уязвимостей в программных продуктах. Три из этих брешей допускают повышение привилегий при наличии локального доступа; степень их опасности оценена как высокая. Самым серьезным признан баг CVE-2018-12177, присутствующий в утилите подкл...
Найден способ смотреть фото и видео в закрытых аккаунтах Instagram BuzzFeed рассказал об уязвимости Instagram, позволяющей просматривать истории, фотографии и видео в закрытых аккаунтах.
Опубликованы PoC к 0-day в Internet Explorer и Edge Независимый исследователь Джеймс Ли (James Lee) выложил в сеть PoC для уязвимостей в Internet Explorer и Edge. Найденные специалистом бреши позволяют обойти правило ограничения домена (SOP) и выполнить в среде браузера вредоносный скрипт, размещенный на сервере злоумышленник...
В двух миллионах IoT-устройств обнаружена уязвимость Независимый ИБ-исследователь Пол Маррапезе (Paul Marrapese) обнаружил уязвимости в IoT-оборудовании десятков китайских производителей, которые можно использовать для MitM-атак и вмешательства в работу устройств. По подсчетам эксперта, угрозе подвержены более 2 млн IP-камер, ...
NVIDIA пропатчила уязвимость в платформе Jetson TX1 В платформе NVIDIA Jetson TX1 закрыта уязвимость, позволяющая выполнить вредоносный код, повысить привилегии в системе или вызвать отказ в обслуживании. Багу присвоили идентификатор CVE‑2019‑5680. Он затрагивает миллионы мобильных и IoT-устройств, работающих на процессорах T...
Популярное ПО для очистки macOS содержит дюжину багов В приложении CleanMyMac X производства MacPaw обнаружены множественные уязвимости, позволяющие при наличии локального доступа к системе повысить привилегии до уровня root. Программа CleanMyMac X широко используется для очистки компьютеров Apple от мусора и оптимизации работы...
Уязвимость позволила взломать электронные четки с "умным" крестом за 15 минут В электронных четках eRosary из Ватикана обнаружена серьезная уязвимость, благодаря которой на их взлом ушло всего 15 минут. Об этом рассказало издание CNET.
Пользователям Apple угрожают уязвимости в решении для веб-конференций Zoom В платформе для видеоконференций Zoom обнаружили ряд багов, благодаря которым любой сайт может инициировать видеовызов на Mac с установленным приложением Zoom и подсматривать за пользователем.
Nginx опубликовал обновление безопасности против DoS-уязвимостей в HTTP/2 Во вторник Nginx опубликовал пресс-релиз о важнейшем обновлении, в которое вошли патчи безопасности, закрывающие Dos-уязвимости в протоколе HTTP/2. Напомним, что эти уязвимости Netflix обнаружил еще в мае, с деталями можно ознакомиться на GitHub-странице компании. Читать да...
Брешь в FaceTime позволяет шпионить за пользователями iOS Ошибка сервиса позволяла скрытно следить за пользователями через микрофон и камеру их iOS-устройства. Обнаруженная брешь заставила Apple отключить групповые звонки в FaceTime до тех пор, пока инженеры не определят причину проблемы и не исправят ее. Баг заметил 14-летний гейм...
Китайские исследователи обнаружили три серьезные уязвимости в ПО электрокаров Tesla Исследователи из китайской компании Tencent проверили ПО электрокара Tesla, включая систему автоматизированного вождения Tesla Autopilot, на предмет его уязвимости, обнаружив некорректное поведение автомобиля в некоторых условиях. Как сообщается, в рамках исследования инжене...
В systemd нашли три уязвимости — разбираемся, в чем дело В начале месяца специалисты по ИБ из Qualys обнаружили сразу три уязвимости в systemd — подсистеме инициализации Linux — позволяющие злоумышленнику получить права суперпользователя. Рассказываем, в чем их суть и какие дистрибутивы им подвержены. Читать дальше →
Специалисты Microsoft изучили попытки применения BlueKeep Эксперты Microsoft предупредили пользователей о растущей угрозе кибератак на базе уязвимости BlueKeep. Как выяснили специалисты, преступники создали новый эксплойт, который уже применяется для распространения зловредов-криптомайнеров. Уязвимость BlueKeep (CVE-2019-0708) соде...
Уязвимость Slack позволяла красть данные из списка загрузок Исследователь Дэвид Уэллс (David Wells) из Tenable обнаружил в Slack 3.3.7 уязвимость, которая позволяла получить доступ к скачанным на устройство файлам. Проблема затронула десктопное приложение для Windows. Эксперт сообщил разработчикам о найденном баге, и они уже исправил...
Intel подкупом пыталась утаить найденные уязвимости в процессорах На днях прогремела новость о том, что в микрокоде чипа Intel обнаружена уязвимость, позволяющая хакерам совершить атаку с целью кражи пользовательских данных. Теперь выясняется, что крупная компания пыталась купить молчание исследователей, обнаруживших новые уязвимости в её ...
Security Week 34: неординарные уязвимости в Windows 13 августа компания Microsoft выпустила очередной апдейт безопасности (обзорная новость) для операционных систем Windows и офисных программ, и на этот раз патч оказался по-настоящему гигантским: кому-то явно не удалось сходить этим летом в отпуск. Всего было закрыто 93 уязви...
Уязвимости DragonBlood затрагивают стандарт WPA3 и позволяют узнать пароли Wi-Fi Исследователи, ранее обнаружившие комплекс проблем в WPA2, получивший название KRACK, представили новую атаку, DragonBlood, перед которой уязвим уже новый WPA3.
SandboxEscaper нашла еще три 0-day в продуктах Microsoft Киберпреступник может получить административные привилегии в операционных системах Windows 10, Windows Server 2016 и 2019, используя уязвимость в планировщике задач. Об этом сообщила независимый ИБ-специалист под псевдонимом SandboxEscaper, опубликовавшая код эксплойта и вид...
Dell пропатчила инструмент диагностики В программе для диагностики и устранения проблем, идущей в комплекте с компьютерами Dell, выявлена уязвимость, позволяющая захватить контроль над системой. В ее наличии повинен сторонний компонент; уязвимости подвержен не только SupportAssist, но и другие аналоги, использующ...
Разработчики Google пропатчили 39 уязвимостей в Chrome Корпорация Google выпустила обновление для своего браузера. Стабильная версия Chrome 74.0.3729.108 доступна для пользователей Windows, macOS, Linux и Chrome OS. В ней исправлены 39 уязвимостей, 19 из которых обнаружили сторонние исследователи. Независимые исследователи нашли...
Баг в прошивке видеокарт AMD Radeon допускает RCE Драйверы двух моделей видеокарт AMD Radeon содержат уязвимость, эксплуатация которой дает злоумышленнику возможность удаленно выполнить сторонний код через гостевой аккаунт виртуальной машины. К такому выводу пришли инженеры компании Talos, опубликовавшие описание бага. Эксп...
Разработчики Zcash сообщили об устранении критической уязвимости в 2018 году Zcash Company, стоящая за разработкой криптовалюты Zcash, раскрыла детали уязвимости, которая позволяла злоумышленникам создавать в неограниченном количестве несуществующие монеты ZEC. Согласно отчету в блоге компании, 1 марта 2018 года назад криптограф Zcash Ариэль Габизон ...
В Android обнаружили уязвимость нулевого дня Исследователи Google Project Zero нашли в ядре Android уязвимость, с помощью которой можно получить root-доступ к мобильному устройству. По словам аналитиков, как минимум один эксплойт на ее основе уже применяется в кибератаках. Как работает обнаруженная 0-day в Android Уязв...
Новые вирусы подменяют результаты исследования смертельно больных людей Исследователи из израильского Научно-исследовательского центра кибербезопасности университета имени Бен-Гуриона обнаружили уязвимость в высокотехнологичном медицинском оборудовании.
Уязвимость NetCAT угрожает серверным процессорам Intel Исследователи опубликовали подробности об уязвимости NetCAT, которая угрожает всем процессорам Intel, поддерживающим Data-Direct I/O Technology (Intel DDIO) и Remote Direct Memory Access (RDMA).
Умные ТВ Supra допускают стороннее вмешательство в просмотр Независимый ИБ-исследователь Дхирадж Мишра (Dhiraj Mishra) нашел способ подменять трансляцию на смарт-телевизорах Supra. Программную ошибку можно использовать как для невинных розыгрышей, так и для более опасных атак. Проблема связана с функцией openLiveURL(), которая обеспе...
Уязвимость в Internet Explorer позволяет воровать файлы с ПК на Windows В браузере Internet Explorer обнаружена опасная уязвимость XXE, которая позволяет воровать файлы с компьютеров. ***
Пользоваться ES File Explorer теперь опасно. В приложении найдены уязвимости Французский исследователь безопасности, известный под псевдонимом Эллиот Алдерсон (Elliot Alderson) обнаружил уязвимость в популярном файлменеджере ES File Explorer, которая позволяет получить доступ к данным других пользователей, подключенных к той же Wi-Fi сети. Всё, что д...
Бэкдор позволяет перехватить контроль над умным зданием Специалист Applied Risk Геко Крстич (Gjoko Krstic) обнаружил незадокументированные бэкдоры в автоматизированных системах управления зданиями Optergy. Одна из уязвимостей позволяет получить полный доступ к устройству Proton, предназначенному для удаленного контроля помещений....
Эксперты подделали подписи в программах для просмотра PDF Исследователи из Рурского университета в Бохуме рассказали об уязвимости системы цифровой подписи, используемой в приложениях для просмотра PDF-файлов. Чтобы заранее оповестить разработчиков ПО о найденных брешах, с октября 2018 года ученые сотрудничали со специалистами Феде...
Security Week 19: уязвимости в IP-камерах, GPS-трекерах и беспроводных мониторах За неделю подобралось сразу несколько новостей на тему «что еще не так с IoT» (предыдущие выпуски: 1,2,3). Уязвимости были обнаружены в веб-интерфейсе для GPS-трекеров, в сетевых видеокамерах D-Link и аналогичных устройствах разных производителей из Китая, и даже в ЖК-панеля...
Xeon и другие процессоры Intel пострадали от уязвимости NetCAT Исследователи амстердамского университета обнаружили, что серверные процессоры Intel пострадали от уязвимости, NetCAT. Обнаружена она была в основном в линейке процессоров Intel Xeon, которые обладают поддержкой DDIO и RDMA. Стоит отметить, что продукты AMD это не затронуло....
Уязвимость часов TicTocTrack позволяет шпионить за детьми Исследователи PenTestPartners обнаружили серьезную уязвимость в детских умных часах TicTocTrack. Гаджет продвигается под видом удобного средства за контролем местонахождения ребенка. Как оказалось, брешь в защите позволяет посторонним получить доступ к личным данным, GPS-коо...
Новые уязвимости связи 5G позволяют отслеживать расположение смартфона и отправлять ложные оповещений о чрезвычайных ситуациях Связь нового поколения 5G во многом быстрее и безопаснее, чем 4G. Однако новое исследование демонстрирует, что оно также имеет уязвимости, которые могут подвергнуть риску пользователей смартфонов. Исследователи в области безопасности Университета Пердью и Университета Айовы ...
Маршрутизаторам Cisco угрожает критическая уязвимость в Cisco IOS XE Уязвимости в Cisco IOS XE получила 10 баллов из 10 по шкале CVSS и позволяет любому желающему обойти авторизацию на устройстве, не зная пароля.
В Oracle WebLogic обнаружена RCE-уязвимость Разработчики Oracle выпустили экстренный патч для серверов WebLogic, чтобы закрыть обнаруженную уязвимость нулевого дня. Эксперты призывают администраторов срочно установить обновление, поскольку баг уже получил применение в кибератаках. Первыми об угрозе сообщили специалист...
Удалось обнаружить десятки корпоративных хранилищ Box.com, раскрывающих данные компаний Apple, Herbalife и т.д Исследователи из Adversis обнаружили десятки корпоративных аккаунтов на сервисе облачного хранения файлов Box.com, которые содержали свободно доступную чувствительную корпоративную информацию и персональные данные клиентов. Всего было найдено более 90 компаний, у которых на...
В сетях 5G уже найдены уязвимости Развертывание сетей 5G только начинается, а исследователи в области безопасности уже пытаются найти в них слабые места. По сообщению источника, недавно им удалось обнаружить три уязвимости в сетях 4G и 5G, которые можно использовать для перехвата телефонных звонков и от...
Уязвимость в швейцарской системе электронного голосования позволяла подделать результаты выборов Исследователи рассказали о ряде проблем в швейцарской системе электронного голосования.
Уязвимость Bluetooth позволяет узнать местоположение любого iPhone Исследователи из Бостонского университета Дэвид Старобински и Йоханнес Беккер узнали о новой уязвимости Bluetooth в Windows 10, iOS и macOS. В опубликованном материале под названием Tracking Anonymized Bluetooth Devices (Отслеживание анонимизированных Bluetooth-...
В актуальной версии vBulletin обнаружена критическая 0-day Анонимный ИБ-исследователь выложил в открытый доступ PoC для уязвимости нулевого дня в CMS vBulletin, позволяющей взламывать интернет-форумы и похищать данные участников. Эксперты опасаются грядущей волны кибератак, от которых могут пострадать сотни миллионов пользователей. ...
Уязвимость в браузере Internet Explorer позволяет злоумышленникам красть файлы с ПК под управлением Windows Исследователь безопасности Джон Пейдж (John Page) опубликовал подробные сведения об уязвимости XXE (XML eXternal Entity), обнаруженной в браузере Internet Explorer, которая позволяет злоумышленникам красть файлы с ПК под управлением Windows. Уязвимостью можно воспользов...
Google во много раз увеличил вознаграждения за поиск уязвимостей в Chrome, Chrome OS и Google Play Google, который уже выплатил исследователям в области безопасности более 15 миллионов долларов с момента запуска программы поиска уязвимостей, сегодня увеличил премии за найденные в Chrome и Play ошибки.
Серверы WebLogic содержат незакрытую уязвимость В сервере приложений Oracle WebLogic обнаружена брешь, позволяющая злоумышленнику перехватить управление целевой системой. Производитель пока не выпустил заплатку для этого бага, а киберпреступники уже сканируют Интернет в поисках уязвимых машин. ИБ-специалисты, ссылаясь на ...
Исследователь обнаружил открытую базу с номерами телефонов 419 млн пользователей Facebook База данных, в основном, содержит уникальные ID пользователей соцсети и привязанные к аккаунтам номера телефонов.
Умные самокаты Xiaomi не выдержали проверку на безопасность Исследователи компании Zimperium нашли уязвимость в умных самокатах Xiaomi, которая позволяет перехватить управление устройством. Злоумышленники могут воспользоваться брешью, чтобы угнать транспортное средство или причинить вред его владельцу. Проблема обнаружилась в модели...
Комбо для Drupal. Как захватить сайт с Drupal, используя новые уязвимости Для подписчиковВ этой статье я расскажу о двух уязвимостях в популярной CMS Drupal. Одна из них связана с архивами PHAR, не особенно страшна и работает только с правами админа, но если подключить другую (XSS), то такой дуэт становится уже очень опасным для любого сайта на не...
Файлы по рельсам. Как читать любые файлы с сервера через Ruby on Rails Для подписчиковТы наверняка в курсе, что такое Ruby on Rails, если когда-нибудь сталкивался с веб-девом. Этот фреймворк в свое время захватил умы разработчиков и успешно применяется до сих пор. Любая уязвимость в нем означает огромное количество потенциальных целей. В этот р...
В Kubernetes закрыли обнаруженные ранее уязвимости HTTP/2 Разработчики opensource-системы Kubernetes защитили свое решение от DoS-атак через HTTP/2. Пропатченные уязвимости CVE-2019-9512 и CVE-2019-9514 получили по 7,5 баллов по шкале CVSS, что соответствует серьезному уровню угрозы. Ранее специалисты Netflix и Google рассказали о ...
Десктопный Chrome опять латают В минувшую среду, 18 сентября, компания Google выпустила для Chrome экстренное обновление, устраняющее четыре уязвимости. Одна из них оценена как критическая, остальные — как высокой степени опасности. Пользователям браузера рекомендуется незамедлительно обновить его до сбор...
В процессорах Intel Xeon выявлена уязвимость NetCAT, позволяющая красть данные В процессорах Intel есть фирменный механизм повышения производительности, который называется Direct Data I/O или DDIO и позволяет сетевым адаптерам напрямую обращаться к процессорной кэш-памяти третьего уровня, полностью обходя оперативную память, чтобы ускорить работу ...
Уязвимость в sudo позволяет повысить привилегии Эксперт Apple Information Security обнаружил уязвимость в sudo. К счастью, проблема не проявляется при стандартных настройках конфигурации.
Для 0-day уязвимости в OpenOffice появился неофициальный патч Для обнаруженной в начале февраля RCE-уязвимости в составе Apache OpenOffice появился патч от сторонних экспертов.
В протоколе LTE нашли 36 новых уязвимостей Группа южнокорейских специалистов обнаружила 51 уязвимость в протоколе LTE, и 36 из них оказались новыми.
Google готова платить до $1,5 млн за особые уязвимости на Android Когда в 2015 году Google впервые запустила программу поиска уязвимостей в Android, самое большое вознаграждение, которое можно было получить, составляло $38 тыс. Вместе с ростом популярности Android росла и сумма награды, поэтому всё больше исследователей в области безопасно...
Ключи шифрования Bluetooth можно ослабить Специалисты CISPA (Центр IT-безопасности, приватности и подотчетности) определили уязвимость Bluetooth, которая может привести к раскрытию информации и несанкционированному повышению привилегий. Баг CVE-2019-9506 получил 9,3 балла по шкале CVSS, что соответствует критическом...
«Лаборатория Касперского» обнаружила 37 уязвимостей в популярных системах удалённого доступа VNC Эксперты Kaspersky ICS CERT провели исследование различных реализаций системы удалённого доступа Virtual Network Computing (VNC) и в итоге обнаружили 37 уязвимостей порчи памяти, многие из которых существовали на протяжении очень ...
Уязвимость в iPhone позволяла сайтам узнать любого из вас С развитием интернета и онлайн-сервисов мы настолько привыкли к слежке в интернете, что стали называть ее просто сбором данных. В конце концов, зачем лишний раз накручивать себя, если противопоставить этому все равно нечего. Но деанонимизированные голосовые команды и клики ...
Специалисты Netflix нашли несколько DoS-уязвимостей в Linux и FreeBSD DoS-уязвимости обнаружены в TCP-стеках Linux и FreeBSD. эксплуатация багов может спровоцировать kernel panic и вывести уязвимый сервер из строя.
Официально: процессоры AMD не подвержены уязвимостям RIDL и Fallout AMD официально подтвердила, что недавно обнаруженные уязвимости Fallout и RILD обошли стороной процессоры американской компании. Подробнее об этом читайте на THG.ru.
Security Week 40: уязвимость в BootROM мобильных устройств Apple В зависимости от ваших предпочтений к этой новости можно подобрать один из двух заголовков. Либо «серьезная уязвимость обнаружена в мобильных устройствах Apple вплоть до iPhone X», либо «наконец-то придумали новый способ для джейлбрейка iДевайсов (но это не точно)». Насчет д...
Watchbog атакует Linux-серверы через дыры в Jira и Exim ИБ-исследователь из Intezer Labs обнаружил новую версию трояна Watchbog, загружающего на Linux-серверы майнер Monero (XMR). Доставка зловреда осуществляется через уязвимости в ПО Atlassian Jira и почтовом агенте Exim. По данным поисковиков Shodan и BinaryEdge, угроза актуаль...
Найдена одна из самых крупных уязвимостей в iOS Исследователь по кибербезопасности под псевдонимом «axi0mX» рассказал об уязвимости для iOS-устройств, работающих на процессорах от A5 (iPhone 4S) до A11 (iPhone 8 и iPhone X). Он назвал эксплоит checkm8 и опубликовал его в открытом доступе на GitHub.
Разработчиков Microsoft не тревожит публикация PoC-эксплоитов для уязвимостей в IE и Edge Представители Microsoft не считают опасными уязвимости в браузерах IE и Edge, для которых на прошлой неделе были опубликованы эксплоиты.
Zerodium предлагает до 500 000 долларов за уязвимости и эксплоиты для Hyper-V и vSphere Известный брокер уязвимостей, компания Zerodium, сообщил о временном повышении цен на эксплоиты для уязвимостей в Hyper-V и vSphere.
В стационарных телефонах Avaya нашли RCE-уязвимость ИБ-исследователи обнаружили критическую уязвимость удаленного выполнения кода (RCE) в стационарных IP-телефонах производства компании Avaya, которыми пользуются 90% компаний из списка Fortune 100. Баг дает злоумышленникам возможность перехватить контроль над устройством, про...
Эксплойт для BlueKeep применяется в реальных атаках Уязвимость BlueKeep, связанная с недостатками реализации протокола RDP в ОС Windows, эксплуатируется в дикой природе. К такому выводу пришли ИБ-специалисты после анализа журнала ошибок тестовых систем с незащищенным портом 3389. Киберпреступники используют ранее опубликованн...
Security Week 21: дыра в Whatsapp, новая уязвимость в процессорах Intel, Zero-Day в Windows На прошлой неделе произошло сразу три интересных события в сфере информационной безопасности: была закрыта эксплуатируемая уязвимость в Whatsapp, для критической уязвимости в Windows выпустили патчи даже для неподдерживаемых версий ОС, а в процессорах Intel нашли еще одну Sp...
RCE-уязвимости обнаружены в зарядных станциях EVlink Parking для автомобилей В зарядных станциях для автомобилей, производимых компанией Schneider Electric, обнаружены три уязвимости. Баги позволяют установить полный контроль над устройством.
Эксперты насчитали более 100 эксплоитов для уязвимости в WinRAR Обнаруженная в феврале уязвимость в WinRAR 19-летней давности уже активно используется преступниками. ИБ-специалисты насчитали более 100 уникальных эксплоитов.
В SIM-картах выявлена ошибка, позволяющая взломать телефон отправкой SMS Специалисты по кибербезопасности обнаружили существование новой, ранее не выявленной, критической уязвимости в SIM-картах, которая позволяет злоумышленникам удалённо взламывать целевые мобильные телефоны и шпионить за жертвами, просто отправив SMS-сообщение.
Еврокомиссия заплатит за уязвимости в Filezilla, VLC Media Player, 7-zip и еще в 12 бесплатных программах В январе будущего года в рамках проекта Free and Open Source Software Audit (FOSSA) стартует программа поиска уязвимостей в бесплатных программах, спонсируемая Европейской комиссией. Список программ, которые используют в своей деятельности институты Евросоюза, в...
5G-сети оказались уязвимы для атак разного типа В этом году в некоторых странах началось коммерческое использование сетей связи пятого поколения (5G), которые предоставляют значительно более высокую скорость соединения с минимальными задержками. Однако вопрос обеспечения конфиденциальности и безопасности пользовательских ...
После установки обновления Windows 10 на некоторых ноутбуках Lenovo придётся отключить Secure Boot Lenovo X260 ThinkPad с Windows 10 19 декабря 2018 года Microsoft выпустила экстренный патч KB4483229 для устранения 0day-уязвимости в Internet Explorer 9−11. Критическая уязвимость CVE-2018-8653 действительно требовала немедленных действий, ведь она позволяет злоумышленник...
[Перевод] Уязвимость runC, затрагивающая Kubernetes, Docker и containerd Сообщество Linux занято сейчас устранением недавно обнаруженной уязвимости, которая касается средства для запуска контейнеров runC, используемого Docker, CRI-O, containerd и Kubernetes. Уязвимость, получившая идентификационный номер CVE-2019-5736, даёт заражённому контейне...
Intel пыталась подкупить исследователей, обнаруживших уязвимость RIDL Специалисты в области кибербезопасности из Амстердамского свободного университета (Vrije Universiteit Amsterdam) утверждают, что Intel пыталась подкупить их, дабы они не спешили с обнародованием процессорной уязвимости RIDL (Rogue In-Flight Data Load), о которой стало...
В ОС Windows обнаружена критическая RCE-уязвимость уровня EternalBlue Стало известно о критичной RCE-уязвимости в Службах Удаленных рабочих столов RDS (на более ранних ОС – Служба Терминалов TS ) в ОС Windows (CVE-2019-0708), которая при успешной эксплуатации позволяет злоумышленнику, не прошедшему проверку подлинности, осуществить удаленное в...
Исследователь нашел баг в еще не вышедшей iOS 13 Независимый ИБ-эксперт Хосе Родригес (Jose Rodriguez) обнародовал уязвимость еще не вышедшей iOS 13, которая открывает доступ к контактам заблокированного телефона. По словам исследователя, он сообщил Apple о проблеме еще в середине июля, однако за несколько дней до официаль...
Инженер Google обнаружила критическую уязвимость в iMessage Инженер по вопросам безопасности Google Project Zero Наталья Сильванович обнаружила критическую уязвимость в iMessage, через которую можно было получить доступ к данным, хранимым на iPhone. Всего за период с апреля по июнь 2019 года Наталья и её коллега, Samuel Groß, нашли ...
Google заплатит 1,5 млн долларов за уязвимости в Android Компания объявила о расширении программы выплаты вознаграждений за поиск уязвимостей в мобильной операционной системе.
43% приложений для Android и 35% для iOS содержат уязвимости Компания Positive Technologies провела исследование приложений Android, представленных в Google Play, и приложений iOS из Apple Store, чтобы выяснить, какую угрозу они представляют для безопасности пользователей. В результатах исследований говорится о том, что 43% прило...
Google обнаружила брешь в безопасности смартфонов Pixel, Samsung, Huawei и Xiaomi Исследователи Google обнаружили серьезную уязвимость безопасности в ряде устройств Android, и, как ни странно, считалось, что проблему устранили еще в далеком декабре 2017 года. Речь идет о популярных моделях Pixel, Pixel 2, Huawei P20, Samsung Galaxy S7, S8 и S9. Xiaomi Re...
Устройства Amazon позволяют киберпреступникам перехватывать пароли ESET обнаружила уязвимости в колонках Amazon Echo первого поколения и электронных книгах Amazon Kindle восьмого поколения.
Уязвимость в Apple iTunes позволяет запустить вредоносное ПО на компьютерах с Windows Шифровальщик-вымогатель BitPaymer/IEncrypt был обнаружен сотрудниками службы безопасности в компании Morphisec.
Облачные сервисы становятся источником DDoS-атак Ресурсы провайдеров облачных услуг все чаще используются киберпреступниками для организации DDoS-атак. К такому выводу пришли эксперты компании Akamai в результате исследования источников вредоносного трафика. По словам ИБ-специалистов, ежедневно они фиксируют до 30 нападени...
В Steam обнаружена очередная уязвимость ИБ-исследователь Василий Кравец опубликовал новую уязвимость нулевого дня в игровом клиенте Steam для Windows. Как и баги, обнаруженные ранее, этот позволяет злоумышленникам повышать привилегии на пользовательском компьютере, чтобы полностью перехватить контроль над машиной....
Apple пропатчила iTunes и iCloud для Windows Компания Apple выпустила обновления для iTunes и iCloud, работающих на платформе Windows. В компонентах SQLite и WebKit закрыто 25 уязвимостей, грозящих выполнением произвольного кода, повышением привилегий или раскрытием конфиденциальной информации. В SQLite исправили 4 баг...
В WhatsApp закрыли уязвимость исполнения стороннего кода Независимый ИБ-исследователь под ником Awakened рассказал об уязвимости WhatsApp, угрожающей пользователям выполнением стороннего кода. Баг CVE-2019-11932 позволяет злоумышленникам атаковать Android-устройства с помощью вредоносных GIF-файлов. Как работает критическая уязвим...
Опять двадцать пять. Предустановленная на ноутбуках Lenovo утилита содержит опасную уязвимость, компания заметает следы Специалисты из Pen Test Partners обнаружили уязвимость в утилите Lenovo Solution Center (LSC), которая предустанавливается на большинстве ноутбуков Lenovo. Уязвимость, получившая идентификатор CVE-2019-6177, позволяет любому пользователю, имеющему локальный или удаленный дос...
В Android исправлены две критические RCE-уязвимости Инженеры Google представили апрельский набор патчей для Android. Сразу несколько уязвимостей получили статус критических и две из них позволяют выполнить произвольный код.
Раскрыта уязвимость 0-day в Android Участники Google-проекта Zero Day Initiative (ZDI) опубликовали подробности уязвимости нулевого дня, позволяющей локально повысить привилегии в Android. Согласно описанию в блоге ZDI, опасная уязвимость присутствует в драйвере v4l2 (Video4Linux 2), который обеспечивает возмо...
Citrix пропатчила критические уязвимости в SDWAN-решениях В популярной платформе управления программно-определяемыми сетями выявлены уязвимости, позволяющие без авторизации выполнять команды с привилегиями root. Пользователям Citrix SD-WAN Center и Citrix SD-WAN Appliance (ранее линейка NetScaler SD-WAN) настоятельно рекомендуется ...
Уязвимость в Instagram оценили в $30 тысяч В мобильной версии сайта Instagram пропатчена критическая уязвимость, позволявшая сбросить пароль к любому аккаунту и угнать его безо всякого взаимодействия с пользователем. Обнаруживший эту возможность исследователь получил $30 тыс. в рамках программы bug bounty компании Fa...
Руткит Scranos крадет пароли и платежные данные жертв Специалисты компании Bitdefender обнаружили новый многофункциональный руткит Scranos. Зловред распространяется под видом пиратских программ для работы с видеофайлами и электронными книгами, маскируется под антивирусные продукты и драйверы. Исследователи отмечают, что многие ...
В WordPress найдена критическая уязвимость шестилетней давности Эксперты RIPS Technologies обнаружили уязвимость в WordPress, которая позволяла выполнить произвольный код и затрагивала все версии CMS, выпущенные за последние 6 лет.
В приложении «Блокнот» обнаружена RCE-уязвимость Исследователь безопасности Тавис Орманди, который является частью команды Google Project Zero, уже находил раньше некоторые серьезные ошибки и угрозы. На этот раз он обнаружил новую уязвимость нулевого дня в приложении «Блокнот», которая затрагивает пользователей операционно...
В Adobe Flash и ColdFusion закрыты опасные уязвимости Компания Adobe выпустила обновления для Flash Player и платформы ColdFusion, в которых объявились программные ошибки, грозящие исполнением произвольного кода. Совокупно разработчик устранил 11 уязвимостей в трех продуктах, включая маркетинговое решение Adobe Campaign. В итог...
Специалист по кибербезопасности нашёл в сервисе Zoom уязвимость — она позволяла удалённо включать веб-камеры на macOS Исследователь предупредил компанию несколько месяцев назад, но она пообещала исправить проблему только после того, как он рассказал о ней публично.
Мошенники взламывают аккаунты с помощью переводчика Google Мошенники начали использовать для взлома аккаунтов сервис Google Переводчик (Google Translate). На это обратил внимание исследователь безопасности Ларри Кашдоллар (Larry Cashdollar) из компании Akamai.
Еще два 0-day бага в Windows обнародованы SandboxEscaper Независимый ИБ-специалист SandboxEscaper продолжает публиковать эксплойты для продуктов Microsoft и заявляет о желании продать свои находки заинтересованным лицам. Вслед за тремя 0-day, выложенными накануне, исследовательница разместила на GitHub информацию об обходе уже про...
Мнимая безопасность. Только за последние две недели хакеры нашли в блокчейн-платформах два десятка уязвимостей Специалисты по компьютерной безопасности, так называемые белые хакеры, продолжают находить уязвимости в блокчейн-платформах. За последние две недели ими было обнаружено 20 ошибок в семи криптовалютных проектах, за раскрытие которых они получили в общей сложности $7 400 в кач...
Security Week 12: клавиатурные атаки Когда мы писали про уязвимости в драйверах NVIDIA, стоило упомянуть, что чаще всего дополнительный вектор атаки в вашу систему добавляют не видеокарты, а беспроводные клавиатуры и мыши. Недавно исследователи из немецкой команды SySS обнаружили проблему в комплекте Fujitsu LX...
Работа децентрализованной биржи 0x оказалась прервана из-за обнаруженной уязвимости Разработчики протокола 0x были вынуждены на время приостановить работу своей децентрализованной биржи, объяснив это обнаруженной уязвимостью в версии 2.0. По заявлению представителей проекта, средства пользователей находятся в целости и сохранности, однако им необходимо мигр...
Незакрытая в течение 19 лет уязвимость WinRar позволяет разместить распакованный файл в произвольном месте Специалисты по кибербезопасности из компании Check Point обнаружили серьезную уязвимость в архиваторе WinRar. Затем они же показали, как при помощи этой уязвимости можно распаковать файл в произвольное место — совсем не то, которое указывает пользователь. Ну а поскольку п...
100 000 смартфонов Redmi Note 7 раскупили за 2 минуты 50 секунд Redmi Note 7, первый смартфон независимого бренда Redmi, пользуется огромной популярностью. Первая партия гаджетов (около 100 000 штук) была распроданы за 8 минут и 36 секунд. Но как оказалось это не предел. До начала продажи второй партии, только в интернет-магазин JD.com…
Уязвимости в маршрутизаторах MikroTik могут привести к созданию бэкдора Специалисты компании Tenable обнаружили уязвимости в маршрутизаторах MikroTik, совместное использование которых позволяет понизить версию RouterOS и создать бэкдор.
Новые уязвимости Dragonblood затрагивают WPA3 и позволяют узнать пароли от Wi-Fi Эксперты обнаружили две новые проблемы из «комплекта уязвимостей» Dragonblood, появившиеся уже после того, как представители WiFi Alliance подготовили защиту от исходных багов.
Intel пыталась купить молчание исследователей, обнаруживших новые уязвимости в ее процессорах Одна из самых резонансных новостей прошлых суток — новый класс уязвимостей процессоров Intel с собирательным названием MDS (microarchitectural data sampling). Примечательно, что и в этот раз владельцы устройств на конкурирующих процессорах AMD, оказались вне зоны риска; прои...
Новая уязвимость угрожает всем версиям Docker, и патча пока нет Состояние гонки, которому подвержены все версии Docker, позволяет атакующему получить доступ на чтение и запись для любого файла на хосте. PoC-эксплоит для свежей уязвимости уже опубликован.
Adobe закрыла десятки брешей в Acrobat и Reader В рамках февральского «вторника патчей» компания Adobe устранила 75 уязвимостей. Из них 44 оценены как критические, в том числе брешь нулевого дня в Reader, для которой сторонние специалисты в понедельник предложили временное решение. Уязвимость 0-day зарегистриров...
Новая уязвимость позволяет получить доступ к root на Android Красный робот-маскот Android Можно ли назвать современные операционные системы безопасными? В какой-то степени да. Пользователи ПК и мобильных устройство ежедневно применяют их не только для развлечений, но и используют для работы, обмениваясь конфиденциальными данными, сове...
В клиенте Steam для Windows нашли 0-day Независимый исследователь Василий Кравец раскрыл уязвимость нулевого дня в клиенте Steam для Windows после того, как компания — владелица игровой платформы отказалась исправлять ошибку и выплачивать за нее награду. Несколько позже разработчики Valve все же опубликовали патч,...
Apple выпустила обновление для iOS, исправляющее уязвимость в FaceTime В конце января в приложении FaceTime была обнаружена серьёзная уязвимость, позволяющая при определённых действиях прослушивать пользователей. Несмотря на то, что с момента оповещения о данной уязвимости, прошло лишь чуть более недели, Apple успела извиниться, пообещать ...
В macOS обнаружена уязвимость выполнения стороннего кода Непропатченная уязвимость актуальной версии macOS позволяет взломщику скрытно выполнить сторонний код в системе. Проблема связана с работой утилиты Gatekeeper, которая проверяет код запускаемых приложений и блокирует нелегитимные программы. Об угрозе сообщил эксперт компании...
Apple увеличивает выплаты за ошибки, расширяет доступ ко всем исследователям и запускает программу macOS Apple представляет расширенную программу по борьбе с ошибками, которая охватывает macOS, tvOS, watchOS и iCloud, а также устройства iOS, заявил сегодня глава Apple по вопросам безопасности Иван Крстич на конференции Black Hat в Лас-Вегасе. В августе 2016 года Apple представи...
[Перевод] Исследователь опубликовал пример рабочего кода червя для Facebook Одна группировка уже злоупотребляет этой проблемой, размещая спам на стенах пользователей Польский исследователь безопасности в конце декабря опубликовал детали и пример рабочего кода, который можно использовать для создания обладающего всеми необходимыми возможностями чер...
Security Week 42: аппаратные бэкдоры, уязвимость в Intel NUC Уязвимости в ПО низкого уровня, которое запускается до загрузки операционной системы, бывают не только в «айфонах». На прошлой неделе были закрыты уязвимости в прошивках двух популярных устройств — в игровой и медиаприставке Nvidia Shield TV и в компьютерах семейства Intel N...
Хакерам предложат взломать самую дешевую Tesla Дэвид Лау, начальник подразделения разработки программного обеспечения автомобилей: «Работа с сообществом исследователей кибербезопасности неоценима для нас. Мы с нетерпением ждем результатов Pwn2Own, чтобы наградить участников за отличную работу и улучшить продукт». Автомоб...
Уязвимость, крадущая данные биткоин-кошельков, оказалась опасна еще для 500 Android-приложений Эксперты норвежской компании по защите приложений Promon обнаружили уязвимость StrandHogg, которая затронула все версии Android и нацелена на похищение конфиденциальных данных. Эксперты предупреждают, масштаб заражения и размер ущерба от уязвимости может оказаться беспрецеде...
Умные четки для молитв оказались недостаточно ... Дорога к спасению в наше время вымощена проблемами кибербезопасности. Не так давно мы рассказывали вам об умных четках за $110, при помощи которых Ватикан планирует приучить к молитвам молодое поколение. Они были представлены в среду, но уже в четверг один из исследоват...
Серия опасных уязвимостей найдена в программе Carousel Независимый ИБ-эксперт Дрю Грин (Drew Green) обнаружил серию уязвимостей в системе управления мультимедиа Carousel. Бреши позволяют неавторизованному пользователю загружать на сервер файлы и выполнять сторонний код. Решение Carousel от Tightrope Media Systems позволяет центр...
Киберспортсмены под угрозой Авторы отмечают, что по данным Сиракузского универститета, киберспортивные соревнования в США опережают по количеству зрителей все остальные спортивные трансляции, уступая только NFL. Совокупный призовой фонд киберспортивных турниров в 2018 году достиг 150 млн долларов США, ...
Microsoft исправила опасную ошибку в коде RDP Октябрьские обновления для продуктов Microsoft совокупно устраняют 59 уязвимостей. Девять из них разработчик оценил как критические, в том числе RCE-баг в клиентском приложении удаленного рабочего стола. «В этом месяце Microsoft выступила скромно: пропатчила 59 уязвимос...
Хакер смог получить данные из iCloud по номеру телефона Исследователь кибербезопасности Мелих Севим (Melih Sevim) смог обнаружить баг в iCloud, который позволяет получить доступ к приватным данным других пользователей iPhone. Как оказалось, Apple привязала номер телефона к платежным ведомостям Apple ID и учетной записи iCloud…
В промышленных шлюзах Kunbus закрыты опасные бреши В решении KUNBUS-GW Modbus TCP PR100088, предназначенном для использования в сетях промышленных предприятий, выявлены пять уязвимостей. Две из них оценены как критические, еще две — как высокой степени опасности. Все проблемы, перечисленные в бюллетене ICS-CERT, обнаружил эк...
Исследователи провели серию успешных атак на аппаратные кошельки Trezor и Ledger Киберспециалисты из Wallet.fail обнаружили ряд уязвимостей в аппаратных криптовалютных кошельках Trezor и Ledger. В результате им удалось провести серию успешных атак на кошельки во время Chaos Communication Congress в Лейпциге. Our #35c3 talk is now online. You can watch it...
В iOS 13 и iPadOS нашли серьезную уязвимость Блогеры обратили внимание на существенную уязвимость, которая была обнаружена в операционных системах iOS 13 и iPadOS. Она позволяет злоумышленникам подсмотреть пароли пользователя в приложении Настро...
Релиз Apple iOS 12.2 закрывает полсотни уязвимостей Компания Apple пропатчила 51 уязвимость в iOS, выпустив обновление 12.2. Один из самых серьезных багов позволяет с помощью приложения подслушать разговоры вблизи телефона. Производитель мобильных гаджетов также залатал iTunes, Safari, macOS и iCloud. Согласно бюллетеню, уязв...
Google сообщила о серьёзной уязвимости в Android Google объявила об обнаруженной уязвимости в собственной ОС Android, которая затрагивает смартфоны различных брендов. Уязвимость находится в коде ядра операционной системы и может использоваться злоумышленниками для root-доступа к устройству. По иронии, баг был исправлен в...
Гостям роботизированных отелей грозила слежка Независимый исследователь Лэнс Вик (Lance R. Vick) нашел уязвимость в роботизированных прикроватных ассистентах Tapia, установленных в отелях японской сети Hen na. Ошибка ПО позволяет стороннему пользователю следить за постояльцами по видео- и аудиоканалам. Эксперт опубликов...
Уязвимость в FaceTime позволяет шпионить за пользователями Apple уже признала наличие бага и отключила функцию групповых звонков в FaceTime. Пользователи FaceTime обнаружили […]
Хакер взломал сервис по поиску работы и "уволил" главу Google Голландский специалист в области компьютерной безопасности Михель Рейндерс обнаружил интересный баг в социальной сети для поиска рабочих контактов LinkedIn. Благодаря уязвимости он смог без данных ему на то полномочий публиковать вакансии от лица любой компании.
Уязвимость в Thunderbolt позволяет получить доступ к данным пользователя Некоторое время назад специалисты из Кембриджского университета, Университета Райса и SRI International обнаружили в интерфейсе Thunderbolt уязвимость, которая позволяет получить доступ к пользовательским данным, хранящимся в памяти яблочных компьютеров, а также внедрить в с...
В системе авторизации SCADA WebAccess нашли критические баги Три опасные уязвимости в программном продукте SCADA WebAccess компании Advantech обнаружили специалисты сингапурской компании Attila Cybertech. Баги позволяют киберпреступнику обойти систему авторизации приложения, а также осуществить внедрение стороннего кода в SQL-запрос. ...
Обнаружены уязвимости во множестве популярных драйверов для компьютеров Команда Eclypsium сообщила общественности, что смогла обнаружить серьезные ошибки в более 40 драйверов у 20 производителей. ***
В зеркалках обнаружена уязвимость к вирусам-вымогателям Специалисты Check Point Software Technologies опубликовали отчёт, в котором описывают обнаруженный способ взлома зеркальных фотокамер.
Раскрыты детали вредоносной кампании на пользователей iPhone 29 августа группа Project Zero после тщательного исследования опубликовала детальную информацию об обнаруженных векторах атак в ходе массовой кампании по похищению данных пользователей iPhone. Результатом успешной атаки на пользователя являлся запуск агента слежения («имплан...
Зловред Agent Smith поразил 25 миллионов Android-смартфонов ИБ-исследователи обнаружили ранее неизвестный Android-зловред, который устанавливает на скомпрометированное устройство приложения для демонстрации нежелательной рекламы. Программа, получившая название Agent Smith, заразила не менее 25 млн смартфонов в Индии, Пакистане и друг...
Две трети антивирусов для Android провалили тесты AV-Comparatives Если вы считаете целесообразным устанавливать на Android-устройство антивирус, то спешим предупредить, что большинство из них являются абсолютно бесполезными. Об этом свидетельствует новое исследование независимой австрийской организации AV-Comparatives, которая протестирова...
Ноутбуки Razer продолжают продаваться с давно известной «дырой» в безопасности С 2011 года компания Razer, ранее хорошо известная своей стильной компьютерной периферией, также начала продвигать производительные игровые ноутбуки. И если с мышками и клавиатурами особых хлопот в плане заботы о безопасности нет, то с ноутбуками всё очень непросто. Оказалос...
В Lightning Network обнаружена новая уязвимость. Стоимость атаки — $2000 Исследователи обнаружили, что сеть Lightning Network уязвима к DoS-атакам. На данном этапе их очень легко осуществить, замедлив или даже остановив 80% платежей, предостерегли они. Уязвимость описали Саар Тохнер, Авив Зоар (Еврейский университет Иерусалима) и Штефан Шмид (Вен...
Уязвимость в iOS 13 позволяет обойти пароль и получить доступ к контактам iOS 13 Golden Master Тестовая версия обновления — на то и тестовая, что практически наверняка содержит те или иные недоработки, которые предстоит выявить в процессе её исследования тестировщиками. iOS 13 не была в этом смысле исключением, поскольку содержала несколько ...
В Check Point обнаружили уязвимость в украинской стриминговой платформе Около года назад компания Check Point обнаружила в украинской стриминговой платформе Ministra критические уязвимости, которые могут привести к серьезным нарушениям со стороны операторов связи.
Стали известны детали о брешах в системе блокировки дверей Система контроля доступа PremiSys, разработанная компанией IDenticard, содержит несколько уязвимостей, позволяющих злоумышленникам перехватить управление приложением. К такому выводу пришли специалисты Tenable после изучения исходного кода программы. Эксперты обнаружили там ...
NASA обнаружило обилие воды на луне Юпитера: гейзеры Европы Не успели мы удивиться гейзерам на Энцеладе, как на тебе — воду нашли и на Европе. И это крайне интересное обстоятельство, поскольку крошечная космическая скала является одной из наиболее приоритетных целей в поисках внеземной жизни, которые ведет NASA. «Хотя ученые еще не о...
Цифра дня: Через сколько лет аккаунты мёртвых обгонят по числу аккаунты живых? Исследователи Оксфордского университета подсчитали, что к 2070 году количество аккаунтов в Facebook, принадлежащих мёртвым людям, превзойдёт число аккаунтов живых людей.
Уязвимость в Android позволяет подменять сообщения в WhatsApp и Telegram Уязвимости на Android – изменчивы, многогранны и вечны. От них не спасают даже регулярные обновления безопасности, которые Google выпускает каждый месяц. Но если одни уязвимости дискредитируют саму операционку, то другие на корню подрывают доверие пользователей к сторонним ...
Популярные приложения на Google Play содержат уязвимости Эксперты Check Point обнаружили серьезные уязвимости в представленных на Google Play приложениях с сотнями миллионов загрузок, включая продукты Facebook и Yahoo. По словам исследователей, безопасные на первый взгляд Android-программы содержат глубинные баги, грозящие исполне...
Найден новый способ взломать переписку пользователей Android Android-пользователям угрожает опасность взлома. Опять Существует масса способов взломать смартфон конкретного пользователя и получить доступ к его переписке и файлам, которые хранятся в памяти. Обычно этим занимаются троянские приложения, которые выдают себя за доброкачеств...
Исследователи из Google: для защиты от Spectre требуется изменение архитектуры процессоров, программные патчи не помогут В январе 2018 года исследователи Google раскрыли в публичном доступе информацию о фундаментальной аппаратной уязвимости в большинстве современных процессоров, имеющих спекулятивное выполнение команд. Уязвимость Spectre (и смежная Meltdown) эксплуатирует механизм предсказания...
Опасный баг в Exim: почтовые серверы под ударом Исследователи из Qualys обнаружили в почтовом агенте Exim легко эксплуатируемую уязвимость, позволяющую выполнить в системе любую команду с правами суперпользователя. По данным канадских аналитиков, в настоящее время Exim используют больше половины почтовых серверов в Интерн...
Apple обещает до 1 млн долларов за обнаружение уязвимостей в iPhone Компания Apple предлагает всем желающим заняться поиском уязвимостей в смартфонах iPhone. В качестве стимула предложено вознаграждение до 1 миллиона долларов. Это самое больше вознаграждение такого рода за всю историю Apple. Кроме того, если ранее Apple предлагала возн...
Apple заплатит до $1 млн за найденные уязвимости в её продуктах В 2016 году компания Apple запустила программу по вознаграждению за ошибки, найденные в «яблочных» продуктах. Изначально программа работала в отношении уязвимостей на iOS. В нынешнем году Купертино расширила программу по вознаграждению за обнаруженные баги, и теперь она каса...
Фокус с Draw Over. Раскрываем новую уязвимость в Android 6 и делаем неудаляемое приложение Для подписчиковВ ходе рутинного тестирования мобильного приложения неожиданно выяснилось, что на девайс с Android 6.0 можно установить программу так, что ее невозможно будет удалить штатными средствами. Парни в Google не считают обнаруженную ошибку критической и, похоже, не ...
Microsoft пропатчила RDP-клиент для Android Разработчики Microsoft обновили Android-приложение для удаленного доступа к Windows, устранив уязвимость RDP-подключения (CVE-2019-1108). Ошибка ПО позволяла злоумышленникам получить системную информацию, пригодную для дальнейшего развития атаки. Ранее аналогичный баг закрыл...
Microsoft открывает Azure Security Lab Azure Security Lab - это набор выделенных облачных хостов, изолированных от пользователей Microsoft Azure, позволяющий специалистам по безопасности тестировать сценарии атак на IaaS. В рамках данной программы предлагается не только безопасная тестовая среда, но и прямое взаи...
Обнаруженная в протоколе Bluetooth дыра позволяет прослушать миллионы устройств В протоколе Bluetooth обнаружена новая уязвимость. Исследователи Даниель Антониоли (Daniele Antonioli), Нильс Оле Типпенхауэр (Nils Ole Tippenhauer) и Каспер Расмуссен (Kasper Rasmussen) обнаружили, что спецификации Bluetooth BR/EDR (Basic Rate/Enhanced Data Rate) предоставл...
GPS-трекеры под угрозой По данным Avast Threat Labs, в России находится около 15 тыс. незащищенных GPS-трекеров. В частности, исследователи нашли уязвимости в моделях китайского производителя Shenzhen. Устройства позволяют третьим лицам получить все данные из облака, включая точные GPS-координаты, ...
Хакеры нашли способ взломать любой ноутбук Apple с помощью кабеля Lightning На конференции DEF CON 27 в Лас-Вегасе исследователь безопасности под ником MG показал новый способ, который позволяет взломать любой компьютер Apple.
Twitter-аккаунт биржи Binance Jersey был взломан. Хакер попросил Чанпэна Чжао связаться с ним лично Аккаунт криптовалютной биржи Binance Jersey в Twitter был взломан неизвестным хакером, который заявил, что контролирует домен binance.je. При этом он подчеркнул, что является исследователем и не намерен создавать широкомасштабную фишинговую схему, от которой могут пострадать...
Cisco закрыла еще почти 50 уязвимостей своего ПО Разработчики Cisco решили серию серьезных проблем в нескольких своих продуктах, устранив угрозы исполнения кода и DoS-атак. Пакет из 47 обновлений включил заплатки к одному критическому багу и нескольким особо опасным ошибкам. Самые серьезные уязвимости были обнаружены в реш...
Хакеры научились перехватывать звонки с Android-телефонов через наушники Американские специалисты по кибербезопасности обнаружили уязвимости в некоторых моделях смартфонов на Android. Эти пробелы в защите позволяют злоумышленникам перехватывать данные и управлять устройством.
Некоторые роутеры D-Link и Comba раскрывают учетные данные в формате простого текста Специалисты Trustwave обнаружили ряд уязвимостей в сетевом оборудовании производства D-Link и Comba Telecom. Баги позволяют без аутентификации извлечь с устройств данные интернет-провайдеров и пароли доступа.
Microsoft устранила баг 0-day, уже используемый в атаках Февральский набор обновлений для продуктов Microsoft устраняет два десятка критических уязвимостей. Четыре закрываемых бреши, степень опасности которых признана высокой, уже стали достоянием общественности. Пропатчена также уязвимость нулевого дня в Internet Explorer, уже вз...
За два квартала было удалено около 2 миллиардов фальшивых аккаунтов Facebook Компания Facedbook сообщила, что в первом квартале 2019 года и в четвертом квартале 2018 года было удалено значительно больше фальшивых аккаунтов, чем в предыдущих кварталах. Это объясняется увеличением числа автоматизированных скриптовых атак на социальную сеть. Тольк...
Астрономы сообщили об открытии нового спутника Нептуна Используя изображения, полученные космическим телескопом «Хаббл», группа астрономов из Института SETI, занимающегося поиском инопланетных цивилизаций, обнаружила у Нептуна новый крошечный спутник. Открытая луна, получившая название Гиппокамп, в честь морского чудища из греч...
Смартфоны на Android оказались уязвимы для взлома по SMS Израильские специалисты из Check Point обнаружили уязвимость смартфонов на Android, которая позволяет хакерам проводить фишинговые SMS-атаки. Проблема касалась в том числе и устройств Samsung, Huawei и LG.
[Перевод] Google раскрыла zero-day уязвимость в Windows 7, которая используется вместе с эксплойтом Chrome Project Zero от Google хорошо известен тем, что обнаруживает уязвимости и эксплойты в операционной системе Microsoft, а также своими противоречивыми политиками раскрытия информации. На этой неделе исследовательский отдел компании в области кибербезопасности вновь обнаружил э...
Apache Tomcat получил важное обновление защиты Разработчики Apache Software Foundation (ASF) обновили сервер приложений Tomcat, чтобы устранить обнаруженный ранее RCE-баг. Брешь CVE-2019-0232 позволяла взломщикам выполнять сторонний код в уязвимых системах и брать их под контроль. В начале марта о проблеме сообщили специ...
Electronic Arts устранила критическую брешь в клиенте Origin Компания Electronic Arts исправила брешь в игровой платформе Origin. Баг затронул только компьютеры под ОС Windows и позволял злоумышленникам повысить привилегии до уровня авторизованного пользователя. Патч для этой уязвимости был выпущен в понедельник, 15 апреля. Дейли Би (...
В WinRAR обнаружили опасную уязвимость, которая просуществовала там 19 лет. В зоне риска оказались 500 млн пользователей Разработчики популярного архиватора WinRAR исправили серьёзную уязвимость, которая просуществовала 19 лет. Она позволяла злоумышленникам извлекать из архива вредоносное программное обеспечение в произвольном месте. Проблема была обнаружена специалистами компании Check Point ...
Через 0-day в Firefox жертвам доставляли NetWire и Mokes Стали известны подробности о зловредах, которых киберпреступники пытались установить на macOS-компьютеры сотрудников криптобирж через две уязвимости нулевого дня в Firefox. Всего на данный момент обнаружено два бэкдора, задействованных в кампании. ИБ-исследователь Патрик Уор...
В Windows 10 закрыты две опасные уязвимости Эксперт Positive Technologies Михаил Цветков выявил две критически опасные уязвимости в Microsoft Windows 10. Они позволяли атакующему получить доступ к компьютеру на базе этой операционной системы и перехватить конфиденциальную информацию. В мартовском пакете обновлений без...
Google заплатит хакерам 1,5 млн долларов за взлом смартфонов Pixel Компания Google обновила конкурс Android Security Rewards, которая предусматривает выплату вознаграждений за найденные в смартфонах уязвимости. Самое большое вознаграждение 1.5 млн. долларов, кто найдёт уязвимость в аппаратной защите на базе чипа Google Titan M. За обнаруже...
В WiFi-усилителях TP-Link нашли опасный баг Критическая уязвимость в ряде усилителей WiFi-сигнала TP-Link позволяет неавторизованному злоумышленнику выполнить вредоносный код на устройстве и взять его под контроль с правами текущего пользователя. Ошибку обнаружил исследователь Гжегож Выпых (Grzegorz Wypych) из подразд...
Facebook добавил в Android-приложение опцию для багхантеров Разработчики Facebook добавили в свои приложения для Android опцию, упрощающую анализ исходящего трафика этичными хакерами. Специальные настройки отключают ограничения безопасности, препятствующие перехвату пакетов данных, и позволяют исследователям эффективнее искать уязвим...
«Не баг, а фича»: Уязвимость Apple FaceTime позволяет подслушивать и подсматривать за собеседником до того, как тот примет вызов С выпуском финальной версии обновления iOS 12.1 в октябре прошлого года пользователи iOS получили поддержку групповых видеозвонков FaceTime, в которых одновременно смогут участвовать до 32 человек. Теперь же в ПО FaceTime обнаружили серьезную ошибку, которая как раз связана ...
Новый macOS-зловред использует незакрытый обход Gatekeeper Обнаружены тестовые образцы вредоносной программы, способной обходить блокировку исполнения стороннего кода, выполняемую macOS-утилитой Gatekeeper. С этой целью зловред, получивший в Intego кодовое имя OSX/Linker, использует уязвимость нулевого дня, которая пока не пропатчен...
Исследователи вновь предупреждают о старых брешах IoT Операторы IoT-ботнетов все чаще используют давно известные уязвимости для расширения своих сетей. С декабря 2018 года по январь 2019-го аналитики Arbor Networks зафиксировали двукратный рост подобных атак. При этом брешь, которую преступники использовали чаще всего, описали ...
Критически важное ПО Windows содержит фундаментальные ошибки Исследователи ИБ обнаружили опасные уязвимости более чем в 40 драйверах ядра, которые используются в процессорах ведущих поставщиков компьютерного оборудования. Баги позволяют злоумышленникам получать максимальные привилегии на пользовательских устройствах и оставаться в сис...
Системная утилита HP допускает подмену DLL Специалисты HP залатали опасный баг в приложении Touchpoint Analytics Client. Уязвимость позволяла злоумышленнику повысить свои привилегии на целевом компьютере и выполнить вредоносный код с системными правами. Исследователи компании SafeBreach, обнаружившие недостаток, раск...
Очередная уязвимость чипов Intel позволяет злоумышленникам перехватывать важную информацию Кодовое имя найденной уязвимости — NetCAT.
В Apple News+ нашли первую серьёзную уязвимость В ходе вчерашнего мероприятия, Apple представила обновленный новостной агрегатор Apple News+. Компания сумела договориться с многими популярными новостными изданиями и журналами, и теперь все они будут доступны для чтения на iPhone, iPad и Mac в рамках одного приложения. Пр...
В браузере Google Chrome обнаружена еще одна уязвимость Браузер Google Chrome имеет еще одну уязвимость У известности и всенародной любви есть и обратная сторона. Скажем, самый популярный на сегодняшний день браузер Google Chrome, по всей видимости, имеет довольно серьезную уязвимость, которая позволяет хакерам заражать устройств...
Trend Micro обнаружила майнинговый ботнет, использующий уязвимость утилиты ADB на Android Японский разработчик ПО для кибербезопасности Trend Micro обнаружил криптомайнинговый ботнет, использующий порты утилиты Android Debug Bridge (ADB), предназначенной для отладки мобильных устройств. Об этом сообщает CoinDesk. По словам экспертов, ботнет обнаружен в 21 стране,...
WebMoney запустила видеоидентификацию Международная система расчетов WebMoney Transfer запустила новый способ идентификации с помощью видео – VideoID. Пройти видеоидентификацию можно за несколько минут из любой точки мира и независимо от времени суток. Пользователю понадобится только паспорт и смартфон или компь...
Баг в BMC-контроллерах позволяет переписать их прошивку Серьезную уязвимость, связанную с реализацией AHB-мостов контроллеров удаленного доступа, обнаружил ИБ-специалист Стюарт Смит (Stewart Smith) из IBM Linux Technology Center. Баг затрагивает ряд устройств различных производителей и позволяет злоумышленникам изменять конфигура...
Баг в расширении Simple Social Buttons позволяет угнать сайт Опасная брешь выявлена в WordPress-плагине Simple Social Buttons ИБ-специалистами компании WebARX. Баг позволяет злоумышленникам повысить свои привилегии и изменять ключевые параметры настройки сайтов, работающих под управлением этой CMS. Исследователи сообщили разработчикам...
Стали известны детали обнаруженной в Lightning Network уязвимости Разработчик Blockstream Расти Рассел раскрыл более подробную информацию об уязвимости в сети Lightning Network, о которой впервые стало известно в конце августа. ICYMI: Here are all the details of the recent Lightning bug. https://t.co/NVzKmGW5I6 — TheRustyTwit (@rusty_twit)...
Security Week 06: прямой эфир в Facetime Главным событием прошлой недели стал баг в операционной системе iOS 12 для мобильных устройств Apple. Функцию Group Facetime, позволяющую организовать конференц-связь сразу с несколькими пользователями, можно использовать, чтобы подслушивать происходящее на стороне абонента ...
Взлом GitHub-аккаунта Canonical не затронул Ubuntu Компания Canonical, куратор проекта Ubuntu Linux, столкнулась с неприятным киберинцидентом. Неизвестные лица получили доступ к ее учетной записи на GitHub и создали 11 новых репозиториев, которые оставили пустыми. Согласно заявлению в Twitter, стороннее вмешательство было об...
Брешь в браузерах Xiaomi допускает подмену URL Независимый исследователь Ариф Хан (Arif Khan) обнаружил незакрытую уязвимость в Android-браузерах Mi и Mint производства Xiaomi. Баг позволяет выполнить подмену URL и направить пользователя на вредоносную или фишинговую страницу. Брешь найдена в международных версиях прилож...
Разработчики Intel выпустили патчи для двух уязвимостей Компания Intel выпустила патчи для двух уязвимостей в своих программных и аппаратных продуктах. Эксплуатация ошибок позволяла злоумышленникам повысить свои привилегии и скомпрометировать информацию жертвы. Первый баг связан с Intel Easy Streaming Wizard — инструментом, упрощ...
Уязвимость Simjacker, которая позволяет следить за устройствами с SIM-картами, есть в огромном количестве смартфонов Исследователи в области безопасности, работающие в AdaptiveMobile Security, утверждают, что обнаружили уязвимость, связанную с SIM-картами. Она получила название Simjacker. Уязвимость основана на использовании встроенной в карту программы S@T Browser, которая предназнач...
В Bluetooth выявлена серьезная уязвимость Группа исследователей обнаружила критическую уязвимость в интерфейсе Bluetooth, из-за которой все совместимые устройства подвергаются риску взлома. Организация Bluetooth SIG уже выпустила уведомление о безопасности, в которой описана уязвимость, связанная с шифрованием...
Менеджеры паролей не так безопасны, как кажется Исследователи в области безопасности из ISE провели проверку менеджеров паролей. В исследовании принимали участие приложения 1Password 7 и 4, KeePass, LastPass и Dashline. Оказалось, что все они имеют уязвимости при работе с памятью, которые позволяют атакующим иметь до...
ZombieLoad — новая уязвимость, позволяющая похищать данные, которая затрагивает почти все процессоры Intel с 2011 года В процессорах Intel обнаружена новая уязвимость, позволяющая злоумышленникам похищать любые данные, к которым процессор недавно обращался. Это касается даже облачных серверов, которые могут позволить злоумышленнику украсть информацию с других виртуальных машин, работающих на...
ЕС запустит программу поиска ошибок в открытом ПО Европейский союз объявил о серии программ по выявлению ошибок и уязвимостей в бесплатном программном обеспечении с открытым исходным кодом, включая такие популярные приложения, как VLC Media Player, Filezilla, PuTTY и 7-Zip. Финансовые вознаграждения будут предложен...
Уязвимость в популярном в Китае браузере Maxthon позволяет повысить привилегии Специалисты компании SafeBreach обнаружили уязвимость в браузере Maxthon. Малварь может использовать браузер в своих целях, получая права администратора и устойчивое присутствие в системе.
Троян для macOS распространяется под видом WhatsApp Специалисты «Доктор Веб» обнаружили угрозу для операционной системы macOS, позволяющую загружать и исполнять на устройстве пользователя любой код на языке Python.
[Перевод] Подмена поисковой выдачи Google Эксперт по информационной безопасности Wietze Beukema обнаружил довольно простую логическую уязвимость в формировании поисковой выдачи Google, позволяющую производить манипуляцию результатами выдачи. Несмотря на простоту уязвимости, последствия от ее применения могут быть...
Эксперты составили черный список уязвимых плагинов Magento Независимый исследователь Уиллем де Грут (Willem de Groot) вместе с другими специалистами запустил репозиторий небезопасных расширений CMS Magento. На момент публикации в хранилище собрано более 60 плагинов. Инициатива призвана помочь веб-администраторам устранить уязвимости...
Twitter сливала данные пользователей без их ведома третьим лицам Разработчики из Twitter обнаружили уязвимость в настройках собственного мобильного приложения. Данная “дыра” позволяла передавать некоторые пользовательские данные рекламным партнерам компании не имея на то разрешения пользователей.
Facebook возобновляет показ оценочного охвата для Custom Audiences Facebook сообщил, что снова начнёт показывать оценочный охват для Custom Audiences – спустя 16 месяцев с момента выявления уязвимости в этом инструменте. Компания приостановила показ этих данных в марте 2018 года после того, как исследователи из Северо-Восточного университет...
В промышленном оборудовании Moxa найдено 10 уязвимостей Эксперты по промышленной безопасности US-CERT сообщили об уязвимостях коммутаторов тайваньского производителя Moxa. В подборку вошли 10 брешей, большая часть которых получила выше девяти баллов по шкале CVSS. Проблемы были обнаружены в четырех сериях свитчей Moxa: IKS-G6824A...
Security Week 37: уязвимость в Android, Microsoft против deepfakes, популярность Windows 7 Уязвимости в iOS мы обсудили на прошлой неделе, пришла очередь уязвимостей в Android. Четвертого сентября информацию о проблеме в Android опубликовали исследователи из Zero Day Initiative (новость, бюллетень), причем на момент публикации она так и не была закрыта. В выпущенн...
Баги в CMS Magento позволяют перехватывать онлайн-платежи Специалисты по информационной безопасности рассказали об опасных уязвимостях в CMS Magento, эксплуатация которых позволяет злоумышленникам перехватывать платежные операции и красть данные банковских карт покупателей онлайн-магазинов. Разработчики залатали ошибки в актуальных...
В Beam Wallet обнаружена критическая уязвимость Разработчики приватной криптовалюты Beam на базе протокола MimbleWimble обнаружили критическую уязвимость в кошельке Beam Wallet, затрагивающую и десктопную версию, и интерфейс командной строки. CRITICAL VULNERABILITY IN BEAM WALLET 9.1.2019 20:20 GMT Critical Vulnerability ...
Как раскрутить Instagram-аккаунт в 2019 году? Инстаграм по-прежнему остается самой быстро развивающейся социальной сетью. Если верить статистике, один пользователь посещает Инстаграм до 15 раз за сутки. При этот он проводит там не минуту-другую, а до 10 минут в среднем! Потому неудивительно, что эту социальную сеть в пе...
В Google Play обнаружено 200 зараженных приложений Исследователи цифровой безопасности обнаружили новый вид вредоносного ПО, встроенного в сотни приложений для Android, которые были загружены более 150 миллионов раз.
Тысячи Android-приложений могут содержать RCE-уязвимость Уязвимость выполнения стороннего кода в WhatsApp присутствует и в других приложениях для Android. К такому выводу пришли специалисты TrendMicro, нашедшие около 3000 потенциально опасных программ в Google Play и сторонних файловых архивах. Баг эксплуатируется через вредоносны...
Компания Coinbase выплатила баунти на $30 000 за обнаруженную критическую уязвимость Ведущая криптовалютная компания США Coinbase выплатила крупнейшее за все время своей работы вознаграждение за обнаруженную в ее системах критическую уязвимость, пишет The Next Web. Запись об уязвимости было опубликована 12 февраля на HackerOne, и как подтвердил представитель...
Android можно было захватить с помощью PNG-картинки Компания Google пропатчила в Android критическую уязвимость, позволявшую исполнить любой код на мобильном устройстве, послав на него вредоносный файл изображений в формате .PNG (Portable Network Graphics). Согласно бюллетеню Google, эта брешь, как и два других RCE-бага, прив...
Google выпустила первое обновление Android в этом году Компания Google представила январское обновление безопасности, распространение которого уже началось среди владельцев смартфонов линейки Google Pixel, а значит, в скором времени оно станет доступно для установки на аппараты сторонних производителей. Апдейт, ставший первым в...
В клиенте Outlook для Android закрыли критическую уязвимость Разработчики Microsoft разместили в магазине Google Play версию 3.0.88 приложения Outlook. В ней закрыта уязвимость CVE-2019-1105, позволявшая злоумышленнику выполнять сторонний код с привилегиями текущего пользователя. Технические детали об уязвимости пока не раскрываются, ...
Ученые обнаружили уязвимость AKA-протокола мобильной связи Команда европейских исследователей обнаружила брешь в протоколе аутентификации и согласования ключа (Authentication and Key Agreement, AKA). Проблема ставит под угрозу пользователей нового поколения мобильной связи 5G и распространяется на сети 3G и 4G. По словам специалисто...
В сети появилось видео со взломанным iPhone на последней версии iOS Ранее разработчик, известный под ником Axi0mX, раскрыл уязвимость в iOS, которая позволяет взломать любой процессор Apple, начиная с серии A до чипа A11 Bionic. А уже сегодня хакер выложил видео, в котором можно увидеть взломанный iPhone X.
Как выглядит залп из 240 ракет: зрелищное видео Военный оператор сил обороны Финляндии Самули Хаапла опубликовал в Twitter видеоролик, снятый во время тренировочной миссии. В течение целой минуты десятки 122-миллиметровых ракет низвергаются с небес на землю, вздымая комья почвы и взрываясь в сполохах оранжевого пламе...
Обнаружена огромная разница в скорости зарядки между iPhone 11 Pro и 11 Pro Max Специалисты PhoneArena довели свой тест по скорости зарядки новых iPhone до логического завершения, проверив самую старшую модель — iPhone 11 Pro Max. Ранее PhoneArena протестировала младшего из флагманов Apple — iPhone 11 Pro. Как оказалось, ра...
В США и Таиланде распространился скрытый майнер BlackSquid, добывающий Monero Исследователи Trend Micro обнаружили новое вредоносное ПО, скрыто добывающее криптовалюту Monero на устройствах пользователей, сообщает ZDNet. Больше всего новый вирус-майнер под названием BlackSquid распространен в Таиланде и США. ПО распространяется через вредоносные веб-с...
Эксперты обнаружили новую уязвимость в Safari на Mac Очередная уязвимость была найдена в последней версии macOS Mojave. Брешь в операционной системе обнаружил специалист по безопасности Джефф Джонсон. По словам исследователя, проблема кроется в фирменном браузере Safari, если быть точнее в директории приложения, где хранится ...
Уязвимость в WhatsApp позволяет манипулировать пользовательскими сообщениями Израильская компания по кибербезопасности Check Point Software Technologies обнаружила в WhatsApp уязвимость, которая позволяет хакерам изменять сообщения в личных и групповых чатах. Эксперты выявили три способа изменить диалог в мессенджере. Первый предполагает использовани...
В архитектуре процессоров Intel обнаружены новые уязвимости Специалисты компании Intel сообщили о новом классе атак по сторонним каналам, затрагивающем все современные процессоры производителя. По информации вендора, спекулятивное выполнение кода может привести к утечке конфиденциальных данных из памяти чипа. Группа проблем связана с...
Камера Android позволяет шпионить за сотнями миллионов пользователей Уязвимость в системе безопасности позволяла любым приложениям управлять родным приложением «Камера» в операционной система Android без необходимых разрешений со стороны пользователя, в том числе снимать фото. Об этом рассказал в статье глава отдела безопасно...
Вышел ряд важных патчей для Microsoft Edge Microsoft пропатчила в браузере Edge четыре критические уязвимости, позволяющие угнать целевой ПК, направив жертву на сайт с эксплойтом. Важные заплатки были выпущены 8 января в рамках первого в новом году «вторника патчей». Новые проблемы Edge грозят удаленным исп...
Первая партия смартфонов Redmi Note 7 разошлась за считанные минуты Вчера представители Xiaomi заявили, что компания готова выпустить в январе 1 млн смартфонов Redmi Note 7. Сегодня состоялась первая флеш-продажа новинки. Как сообщил в социальной сети Weibo генеральный директор Xiaomi Лэй Цзюнь (Lei Jun), партия из 100 тысяч шт...
AMD Radeon VII протестирован в Far Cry 5 независимым блогером Turing повержен, если не считать GeForce RTX 2080 Ti.
Facebook заплатит исследователям за обнаружение злоупотребления данными в Instagram Компания Facebook расширила свою программу Data Abuse Bounty на приложения для Instagram. Обнаружив злоупотреблением данными, исследователи смогут заработать до 40 000 долларов.
Файлы из переписки Telegram удалялись не до конца Разработчики Telegram обновили свое приложение, устранив серьезную угрозу приватности пользователей. Из-за бага, который обнаружил независимый ИБ-исследователь Дхирадж Мишра (Dhiraj Mishra), медиафайлы, удаленные из переписки, оставались в памяти устройства получателя. Баг в...
Что нужно знать о последнем патче Cisco для маршрутизаторов Не так давно IT-гигант объявил о критической уязвимости в системе ASR 9000. Под катом рассказываем, в чем суть бага и как его «залатать». Фото — ulleo — PD Уязвимость обнаружили в маршрутизаторах серии ASR 9000, работающих под управлением 64-битной IOS XR. Это — аппаратур...
Самые популярные браузеры не устояли перед китайскими хакерами Иногда взлом — это благое дело Иногда взлом различных программ и техники бывает полезен. И мы сейчас имеем в виду совсем не тот факт, что обнаружение уязвимостей помогает разработчикам выпускать патчи, и делать свои продукты лучше. Точнее, не совсем об этом. Среди хакр...
Уязвимость в Thunderbolt позволяет взломать почти все Mac новее 2011 года Практически полное отсутствие вирусных программ для macOS компенсируют уязвимости, которые время от времени эксперты в области кибербезопасности в ней находят. Правда, на этот раз брешь нашли не в самой системе, а в интерфейсе Thunderbolt, который используется в компьютерах...
40 миллионов флагманских смартфонов Samsung под угрозой, включая новейшие Galaxy S10 и Note10 На прошлой неделе Google обнаружила незакрытую уязвимость Android, которая имеется в популярных флагманах Xiaomi, Samsung и Huawei. А теперь компания Samsung подтвердила наличие двух десятков уязвимостей в системе безопасности, которые охватывают 40 миллионов пользовате...
Троян SpeakUp устанавливает бэкдор на Linux-серверы Исследователи из компании CheckPoint рассказали об атаках нового трояна, получившего название SpeakUp. Зловред эксплуатирует уязвимость во фреймворке ThinkPHP, а также другие бреши, чтобы установить бэкдор на Linux-серверы и внедрить в систему майнер криптовалюты. Программа ...
Microsoft заплатит до 30 000 долларов за уязвимости в новом Edge Новый Edge на Chromium, наконец, получил первую бета-версию, и Microsoft объявила о старте bug bounty программы, открытой для всех желающих.
«Умные» четки от Ватикана взломали за 15 минут Несколько дней назад Ватикан анонсировал электронные четки Click to Pray с приложением eRosary. Согласно CNET, эксперт по кибербезопасности Батист Роберт обнаружил уязвимость, которая позволяет потенциальным хакерам войти в чей-либо аккаунт, используя лишь адрес электронной…
Уязвимость в PHP-FPM грозит компрометацией сайта Сайты на движке PHP, размещенные на серверах NGINX, подвержены взлому, если запуск сценариев осуществляется через демон PHP-FPM. Этот дополнительный модуль содержит уязвимость, позволяющую с помощью особого запроса выполнить на сервере сторонний код. Менеджер процессов PHP-F...
SandboxEscaper нашла еще один способ обойти патч Microsoft Независимая исследовательница с ником SandboxEscaper опубликовала еще один PoC эскалации привилегий в Windows 10. По информации ИБ-эксперта, манипуляции с браузером Edge и другими приложениями позволяют атакующему получить доступ к файлам ОС с правами уровня SYSTEM. Сторонни...
Apple заплатит подростку, который выявил уязвимость в FaceTime На минувшей неделе была обнаружена проблема в FaceTime, которая позволяла любому пользователю прослушивать «другую сторону» ещё до того, как абонент ответит. Apple оперативно отключила групповые видеозвонки в FaceTime со стороны сервера, а затем выпустил...
Хакеры нашли уязвимость на серверах Gearbest: все данные клиентов онлайн-магазина хранятся в открытом виде Исследователи получили доступ к аккаунтам, истории заказов, платежной информации, паспортным данным и банковским картам покупателей.
Ученые обнаружили самую яркую вспышку во Вселенной Предположения исследователе о гамма-всплесках получили подтверждение Ни для кого из нас не секрет, что в космосе постоянно происходят разные события. Недавно ученые обнаружили самый яркий свет во Вселенной, который появился в результате двух больших космических взрывов, назы...
Microsoft устранила два бага 0-day, замеченные в атаках Июльский набор патчей для продуктов Microsoft закрывает 77 уязвимостей, в том числе 15 критических и две уже используемые злоумышленниками. Одиннадцать критических уязвимостей выявлены в скриптовых движках и браузерах, остальные затрагивают DHCP-сервер, подсистему GDI+, фрей...
Директор по продукту BitTorrent: 100 миллионов наших пользователей смогут зарабатывать на раздаче файлов В конце января прошел один из самых успешных краудсейлов с начала этого года — команда BitTorrent собрала 7,2 миллиона долларов за считанные минуты. По словам CEO Binance Чанпэна Чжао, проведение краудсейла заняло около 18 минут из-за проблем в системе. «Без них это время со...
В Chrome 78 пока не активировали поддержку DNS-over-HTTPS Компания Google сообщила о выходе новой версии браузера Chrome. В релизе 78.0.3904.70 разработчики устранили более трех десятков уязвимостей, а также добавили ряд механизмов, повышающих безопасность работы пользователя. Приложения для Windows, macOS и Linux будут автоматичес...
В процессорах Intel обнаружена очередная фундаментальная уязвимость — Zombieload v2. Новые чипы Cascade Lake ей тоже подвержены В процессорах Intel, и без того славящихся уязвимостями на уровне архитектуры, нашлась новая брешь, которая есть во всех моделях, выпущенных с момента появления архитектуры Haswell в 2013 году. То есть, самые новые процессоры семейства Intel Cascade Lake тоже подвержены проб...
Хакеры взломали почти тысячу онлайн-магазинов за сутки Как рассказал исследователь компании Виллем де Гроот, хакеры, очевидно, использовали автоматические инструменты атаки, поскольку достичь такой "производительности" вручную невозможно. Предполагается, что киберпреступники сканировали сайты в поисках незакрытых уязви...
Грузовой корабль Dragon успешно пристыковался к МКС (ФОТО, ВИДЕО) Стыковка корабля со станцией произошла в 16 часов 32 минуты по московскому времени. Перед этим Dragon был захвачен роботизированным манипулятором Canadarm2, который подвел корабль к стыковочному шлюзу. Корабль компании SpaceX проведет на орбите месяц.
Предустановленное ПО Android-смартфонов полно уязвимостей Специалисты компании Kryptowire провели автоматический анализ приложений, предустановленных на Android-смартфонах, и выявили в них почти 150 уязвимостей. Среди прочего программы, поставляемые с новыми устройствами, допускают удаленное изменение настроек, выполнение стороннег...
[Перевод] Мой первый взлом: сайт, позволяющий задавать любой пользовательский пароль Недавно я нашёл интересную уязвимость, позволяющую установить любому пользователю конкретного сайта любой пароль. Круто, да? Это было забавно, и я подумал, что можно написать интересную статью. На неё вы и наткнулись. Примечание: автор переведённой статьи не специалист ...
Пароли и логины можно похитить через функцию MySQL Недостатки в протоколе обмена данными СУБД MySQL могут стать причиной утечки конфиденциальной информации с использующих ее веб-ресурсов. К такому выводу пришли ИБ-специалисты, изучив документацию системы. Они выяснили, что сайт под управлением MySQL может отправить атакующем...
0-day уязвимость в Chrоme позволяет собирать данные о пользователях через файлы PDF Эксперты компании EdgeSpot предупредили об активной уязвимости нулевого дня в браузере Chrome. Так как патча пока нет, специалисты рекомендуют не открывать файлы PDF прямо в браузере.
Новая угроза для macOS распространяется под видом WhatsApp Специалисты «Доктор Веб» обнаружили угрозу для операционной системы macOS, позволяющую загружать и исполнять на устройстве пользователя любой код на языке Python.
В Firefox пропатчена атакуемая уязвимость 0-day Mozilla в экстренном порядке выпустила Firefox 67.0.3 для Linux, macOS и Windows, чтобы устранить уязвимость, уже пущенную в ход злоумышленниками. Поскольку Firefox обновляется автоматически, пользователи смогут установить патч, просто перезапустив браузер. Согласно бюллетен...
Google рассказала об опасной уязвимости в Android Google Pixel тоже уязвимы для вредоносных атак Google — очень большая корпорация с обилием дочерних компаний и ответвлений, ведущих независимую от основного предприятия деятельность. Эта независимость даёт многим из них право не учитывать мнение Google во многих вопрос...
Саркастический форум XKCD взломали, данные 560 тыс. аккаунтов похищены Хакеры взломали форум популярного веб-комикса XKCD, похитив около 560 тыс. адресов электронной почты, IP-адресов, логинов и хешированных паролей. Сайт, который высмеивает обычные эпизоды из жизни программистов, математиков, инженеров, сам стал объектом чьей-то шутки. Исследо...
Сотрудник Google сумел взломать iOS 12 Йен Бир, сотрудник команды Google Project Zero, занятой исследованиями в области информационной безопасности, обнаружил уязвимость в iOS 12.1.2, которая может использоваться для взлома операционной системы. Об этом исследователь сообщил в официальном блоге проекта. На основ...
Chrome позволяет трекерам отслеживать чтение PDF-файлов Специалисты компании EdgeSpot сообщили об уязвимости 0-day в браузере Chrome. По словам исследователей, баг дает возможность тайно собирать пользовательскую информацию при открытии PDF-файла. Компания Google признала наличие проблемы и пообещала закрыть брешь в апрельском ко...
Apple предложит один миллион долларов за взлом iPhone Безопасность и конфиденциальность личных данных — один из главных приоритетов Apple на сегодняшний день, о чём неоднократно высказывался генеральный директор компании Тим Кук. Корпорация непрерывно совершенствует механизмы защиты ОС, постоянно нанимая на работу именит...
Эти приложения крадут ваши данные. Срочно удалите их! Уже не первый раз в магазин приложений от Google попадают программы, которые наносят вред вашему смартфону и могут выкрасть конфиденциальную информацию. Вот и недавно исследователи из Digital Security обнаружили ранее неизвестный тип рекламного вредоносного ПО в более, чем ...
Google Ads запустил карту для управленческих аккаунтов Google Ads представил новую функцию «Карта аккаунта», которая позволяет владельцам управляющих аккаунтов визуально представить иерархию дочерних аккаунтов. Благодаря этой функции они могут видеть связи между аккаунтами и перемещаться между ними, а также понимать, у кого есть...
«Лаборатория Касперского» обнаружила новые атаки кибершпионской группы Chafer Исследователи «Лаборатории Касперского» обнаружили многочисленные попытки заражения иностранных дипломатических …
Microsoft не будет исправлять найденную уязвимость в Windows 10 Mobile Официальная поддержка Windows 10 Mobile закончится лишь в начале декабря этого года, и до этого срока операционная система будет продолжать получать накопительные обновления. Но важно понимать, что разработка Windows 10 Mobile остановлена, так что ошибки и уязвимости, харак...
Уязвимости Киевстара: 1) разбор предыдущего поста про пароли + 2) инфо о покупках, проходящих через сервисы Киевстара Привет. Я тот, кто полгода назад получил логины и пароли Киевстара от таких важных сервисов, как: JIRA, Amazon Web Services, Apple Developer, Google Developer, Bitbucket и многих других, зарепортил их по Bug Bounty и получил 50 долларов различные комментарии к репостам моей ...
Баг в iMessage позволяет взломать любой iPhone удаленно Всем известно, какое пристальное внимание Apple уделяет безопасности своих операционных систем. Но даже корпорация такого масштаба не всегда способна вовремя выявить все критические ошибки и уязвимости, которые могут быть использованы злоумышленниками. Не стал исключением и...
В процессорах Intel найдена уязвимость Spoiler В начале прошлого года компьютерное сообщество было потрясено открытием аппаратных уязвимостей Meltdown и Spectre, которые присутствуют в большинстве современных процессоров. Если коротко, то Meltdown позволяла вредоносному коду внедряться в ядро операционной системы, а...
В блокчейне OmiseGo обнаружено 8 уязвимостей. Еще 12 багов найдены в других крупных проектах Белые хакеры обнаружили баги в системах крупных стартапов. Восемь из них приходятся на блокчейн OmiseGo, остальные 12 уязвимостей найдены в Augur, Monero, ICON, Stellar, crypto.com и Robinhood. Hackers fix 20 security flaws in cryptocurrency-related platforms in 2 weeks http...
Критический баг в SAP NetWeaver позволял угнать приложение Компания SAP выпустила августовский комплект патчей, исправляющий 13 уязвимостей в продуктах вендора. Три новых бага и одно обновление для уже внедренной заплатки получили критический рейтинг угрозы. Серьезные проблемы исправлены в сервере Java-приложений NetWeaver, решении ...
Учёные показали, как выглядела бы Земля для инопланетных исследователей Земные учёные активно ищут планеты у других звёзд, надеясь обнаружить среди них похожие на нашу. А что, если на какой-нибудь планете местные исследователи занимаются тем же самым? Американские астрономы решили показать, как выглядела бы Земля для таких инопланетных учёных.
Беспроводной микрофон Sennheiser Memory Mic Sennheiser выпустил в Индии беспроводной микрофон Memory Mic, предназначенный для создателей контента. Устройство, совместимое с Android и iOS, может быть сопряжено с помощью приложения Sennheiser Memory Mic App. Портативный микрофон имеет небольшой вес, он предлагает от...
WordPress-плагин Convert Plus содержит десятибалльный баг Опасную уязвимость в WordPress-плагине Convert Plus обнаружили ИБ-эксперты. Баг позволяет неавторизованному злоумышленнику создать пользователя с правами администратора, что может привести к перехвату управления сайтом. Разработчики расширения исправили ошибку в коде и выпус...
Dropbox ограничил бесплатный доступ тремя устройствами на аккаунт Облачное хранилище Dropbox установило ограничение на подключение устройств к бесплатным аккаунтам Basic. Теперь владельцы этих аккаунтов смогут подключить не более трёх устройств. В аккаунтах Plus и Professional количество подсоединяемых устройств по-прежнему не ограничено. ...
Драйверы более 40 производителей оборудования (Intel, NVIDIA, AMD и др.) содержат уязвимости Исследователи из компании Eclypsium, специализирующейся на вопросах информационной безопасности, подготовили отчёт под названием Screwed Drivers. Они утверждают, что в модели драйверов более 40 производителей оборудования имеется уязвимость, которая позволяет вредоносному ПО...
В Jira Service Desk нашли критические уязвимости и Jira Service Desk Data Center, устранив угрозу раскрытия информации. Злоумышленники могли воспользоваться двумя багами, чтобы получить важные данные о корпоративной инфраструктуре и выполнить сторонний код. Уязвимости CVE-2019-14994 и CVE-2019-15001 позволяли проводить ата...
Защитник Windows остаётся одним из лучших антивирусов Хотя он и не идеален, считает независимая лаборатория.
В архиваторе WinRAR нашли уязвимость возрастом в 19 лет История с уязвимостями в процессорах показала, что дыры в безопасности могут существовать годами до того момента, как их найдут. И хотя такое случается нечасто, это произошло снова. Как стало известно, в архиваторе WinRAR, который вряд ли нуждается в отдельном представл...
ESET: умные гаджеты Amazon помогали злоумышленникам следить за пользователями Международная антивирусная компания ESET обнаружила опасные уязвимости в колонках Amazon Echo первого поколения и электронных книгах Amazon Kindle восьмого поколения. Они позволяют злоумышленникам осуществлять т.н. KRACK-атаки (атаки ...
Кибератаки могут оставаться незамеченными по два года Малый и средний бизнес (МСБ) плохо справляется с защитой своего периметра безопасности, позволяя злоумышленникам оставаться в инфраструктуре по два года и более, считают аналитики Infocyte. По их данным, только 28% таких организаций справились бы с присутствующей угрозой за ...
Исследователи обнаружили новый XMR-майнер, скрывающий свое присутствие в системе Специализирующаяся на кибербезопасности компания Varonis обнаружила новый вирус-майнер, незаметно добывающий криптовалюту Monero (XMR) на устройствах пользователей. В отчете компании говорится, что особенностью майнера под названием Norman является то, что его сложно обнаруж...
В процессорах выявлена новая уязвимость, обходящая защиту против Spectre и Meltdown После появления информации об уязвимостях микропроцессорных архитектур в отношении спекулятивного выполнения команд, печально известных под именами Spectre и Meltdown, можно было не сомневаться, что последуют новые и удивительные открытия в сфере кибернетической безопасности...
Уязвимость BearLPE в Windows получила микропатч Команда 0patch из компании ACROS Security выпустила свою заплатку для уязвимости в планировщике задач Windows 10, не дожидаясь выхода официального патча. Эксперты также раскрыли некоторые технические детали проблемы. Брешь нулевого дня, получившая название BearLPE, выявила и...
SAP опубликовала апрельский набор заплаток Разработчики SAP выпустили очередной пакет обновлений, который устраняет несколько серьезных уязвимостей как собственных продуктов компании, так и их сторонних компонентов. Опубликованные патчи защищают пользователей от утечек информации и прочих вмешательств в работу корпор...
Обновленный ботнет Echobot нарастил число эксплойтов до 61 Независимый ИБ-исследователь Карлос Брендель Альканьиз (Carlos Brendel Alcañiz) обнаружил вариант IoT-ботнета Echobot, вооруженный 61 эксплойтом для выполнения стороннего кода. Подобно предыдущим поколениям, свежая версия атакует целый набор разнообразных систем, позволяя пр...
SAP выпустила июньский комплект патчей Специалисты Onapsis рассказали об июньских изменениях в ERP-программах SAP. Согласно отчету, компания-разработчик повысила оценку уровня опасности бага в платформе Solution Manager со среднего на высокий, а также внесла ряд исправлений безопасности в свои продукты. Проблемы ...
SUSE получила независимость. Создана крупнейшая независимая компания — разработчик свободного ПО SUSE объявляет о создании независимой компании, разработчика свободного ПО. Это стало возможно благодаря приобретению бизнеса SUSE, принадлежащего …
Apple заплатит 1 млн долларов за взлом iPhone Apple объявила об обновлении программы награждения программистов, нашедших брешь в продуктах компании. Теперь хакер, взломавший iPhone, получит 1 млн долларов от техногиганта. На данный момент это крупнейшая награда за выявленные уязвимости за всю историю.
Виталик Бутерин не видит опасности в новой уязвимости Ethereum Сооснователь Ethereum Виталик Бутерин, как и несколько других ведущих разработчиков платформы не видят серьезной угрозы безопасности в баге, который был выявлен в коде предстоящего апгрейда системы Constantinople. Ранее сообщалось, что обнаруженная уязвимость затрагивает нек...
Обнаружен простой способ взлома домашних умных колонок Исследователи выявили очередную уязвимость, которая позволяет взломать домашнюю колонку дистанционно. А все благодаря высокой чувствительности микрофонов, которыми оснащены большинство колонок.
Intel обнаружила 77 новых уязвимостей в процессорах: одна из них значительно влияет на производительность Каждый месяц Intel выпускает рекомендации по безопасности, чтобы информировать своих партнеров о безопасности своих продуктов. В этом месяце компании удалось обнаружить 77 новых уязвимостей, которые варьируются от процессоров до графики и даже контроллеров Ethernet. Подробне...
В обновлении MakerDAO устранили критическую уязвимость Разработчики MakerDAO исправили критическую уязвимость, которая могла привести к потере более 10% совокупных залоговых средств пользователей токена DAI, сообщает CoinDesk. Пользователь HackerOne под ником lucash-dev обнаружил ошибку в планируемом обновлении системы Multi-Col...
Компания Adobe устранила 118 уязвимостей в своих продуктах Разработчики Adobe выпустили обновления для восьми продуктов, в том числе числе Acrobat, Reader и Photoshop. Всего набор патчей устраняет 118 уязвимостей. По словам разработчиков, они не обнаружили случаев эксплуатации ошибок в дикой природе. Максимальное количество багов ис...
Посмотрел на картинку — помог хакеру: Google обнаружила в Android новую серьёзную уязвимость Компания Google обнаружила в операционной системе Android серьёзную уязвимость, позволяющую при желании запустить на чужом смартфоне произвольный код. Для этого требуется всего лишь картинка. Конечно, не всё так просто. На самом деле нужен специальным образом сконфигури...
Xiaomi Redmi Note 7 Pro получил «особенный» процессор и может делать снимки на уровне смартфонов за 450 долларов Так считает глава бренда Redmi.
Instagram устранил угрозу приватности пользователей Независимый ИБ-специалист под ником ZHacker13 обнаружил уязвимость соцсети Instagram, которая позволяла автоматически собирать данные ее пользователей. Представители сервиса несколько недель не могли устранить угрозу и начали активно работать над решением только после обраще...
Разработчики Valve не полностью закрыли уязвимость Steam Независимый ИБ-исследователь Сяоинь Лю (Xiaoyin Liu) обошел защиту Steam от обнаруженной ранее уязвимости. Учитывая позицию Valve, которая вывела этот баг из зоны своей ответственности, эксперт предпочел опубликовать эксплойт без уведомления специалистов компании. О проблеме...
Разработчики WhatsApp исправили уязвимость, позволявшую получать доступ ко всем сообщениям Уязвимость, о существовании которой на прошлой неделе сообщил исследователь в сфере кибербезопасности под ником Awakened, позволяла хакерам получить доступ к сообщениям пользователей при помощи зараженного GIF-файла.
14 игр для iOS содержат вирус Исследователи Wandera обнаружили в Apple App Store в общей сложности 14 игр, которые содержат серьезные потенциальные угрозы для потребителей. Аварийные приложения подключаются к серверу, который подключен к вирусу Goldluck. Интересно, что Goldluck полностью ориентирован на ...
Ностальгическая халява от SEGA: получаем две игры в Steam абсолютно бесплатно! Компания SEGA известна на пост-советском пространстве прежде всего культовой игровой консолью Mega Drive. Совсем скоро компания намерена представить мини-версию своей легендарной приставки и в честь такого события она устраивает аттракцион невиданной щедрости. В данный момен...
Персональные данные 20 млн россиян оказались в открытом доступе Об этом пишет "КоммерсантЪ" со ссылкой на британскую исследовательскую компанию Comparitech.Comparitech занимается расследованием ситуации вместе с независимым исследователем в области безопасности Бобом Дьяченко, который и обнаружил утечку. Данные были индексирова...
Небезопасное хранение данных – основной недостаток мобильных приложений По данным исследования, приложения для Android с критически опасными уязвимостями встречаются несколько чаще, чем программы для iOS (43% против 38%). Однако эта разница несущественна, считают эксперты, и общий уровень защищенности клиентских частей мобильных приложений для о...
Уязвимость Thrangrycat позволяет заражать устройства Cisco бэкдорами Устройства Cisco уязвимы перед новой проблемой, получившей название Thrangrycat или
Хакеры могут легко подменить изображения в WhatsApp и Telegram Уязвимость Media File Jacking позволяет получить доступ к «Галерее»
В бета-версии iOS 13 нашли уязвимость Она позволяет получить доступ к сохранённым в системе паролям.
Уязвимость в бета-версии iOS 13 позволяет получить доступ ко всем паролям Ловкость рук и никакого мошенничества.
Мобильные приложения для детей содержат критические уязвимости Компания «Ростелеком-Solar» ко Дню защиты детей провела исследование уязвимостей популярных мобильных игровых приложений для детей. Анализ 14-ти игровых приложений показал, что обнаруженные в приложениях уязвимости могут привести к полной ...
Ошибка в прошивке модуля Wi-Fi затронула ноутбуки, смартфоны, роутеры и консоли Вчера были опубликованы подробные сведения об уязвимости, затрагивающей микропрограмму популярного чипсета Wi-Fi, использующегося в очень широком спектре устройств вроде ноутбуков, смартфонов, игровых автоматов, маршрутизаторов и Интернета вещей (IoT). Обнаруженная ...
Исследователи научились шпионить за пользователями Android Исследователи обнаружили возможность следить за владельцами Android-смартфонов и скрытно управлять их устройствами. Под угрозой владельцы как минимум 10 моделей телефонов, включая Google Pixel 2, Huawei Nexus 6P и Samsung Galaxy S8+. Проблема содержится в системном интерфейс...
Roboto: новый p2p-ботнет с DDoS-функциональностью Обнаружен растущий ботнет на Linux-серверах, способный проводить DDoS-атаки. Для распространения своего зловреда ботоводы используют уязвимость в веб-интерфейсе Webmin, которую разработчики пропатчили в августе. Проблема, получившая идентификатор CVE-2019-15107, позволяет уд...
Как сохранять голосовые сообщения iMessage на iPhone и запретить их автоматическое удаление Как и все популярные мессенджеры, стандартное приложение «Сообщений» (iMessage) в дополнение к тексту, смайликам и фотографиям позволяет отправлять еще и аудиосообщения. ♥ ПО ТЕМЕ: Как включить офлайн-поиск «Найти iPhone (iPad)» в iOS 13 для нахождения выключенных устройств....
Как включить новый интерфейс автозаполнения в Chrome на Android Google Chrome получил новый интерфейс автозаполнения. Но, чтобы включить его, нужно постараться Автозаполнение данных является относительно новой функцией для браузеров. Её появление было обусловлено многократным увеличением числа веб-сайтов и сервисов, которые мы используем...
В антивирусных продуктах McAfee нашли опасный баг Специалисты компании SafeBreach обнаружили опасный баг, затрагивающий McAfee Total Protection, Anti-Virus Plus и Internet Security. Уязвимость помогает обойти защитные механизмы антивирусных продуктов и может помощь злоумышленнику получить контроль над системой.
В игровом клиенте GOG закрыто шесть опасных уязвимостей Эксперты Cisco Talos обнаружили набор серьезных уязвимостей в клиенте игровой платформы GOG. Бреши, которые уже закрыты в актуальной версии программы, позволяли взломщику повысить привилегии в системе и получить доступ к закрытым данным. Платформа GOG.com — это цифровой мага...
Информация о миллионах клиентов Creative Cloud под угрозой Сведения о 7,5 млн пользователей Adobe Creative Cloud обнаружены в незащищенной базе данных на общедоступном сервере. В рамках платформы более 15 млн клиентов работают с Photoshop, Lightroom, Illustrator и другими продуктами разработчика. На момент публикации специалисты ком...
«Шоколадный заяц бредит?»: Порошенко бросил вызов Путину как кандидату в президенты Украины «Без пяти минут безработный» политик считает выдвиженцами президента РФ всех, кто выступает его конкурентом на пост главы украинского государства. Зарубежные СМИ старательно высмеивают это и даже считают его аутсайдером будущего голосования. Источник
Steam Windows Client Local Privilege Escalation 0day Я не первый год занимаюсь поиском уязвимостей, и, казалось бы, многое видел, но есть такая часть работы, к которой не удается привыкнуть и которую не могу понять. Это абсолютное нежелание вендоров принимать информацию об уязвимостях и проблемах. Я понимаю, что очень неприятн...
Хакеры используют уязвимости более чем в 10 плагинах для WordPress Уязвимости в плагинах используются для создания новых аккаунтов администраторов на сайтах. Затем такие учетные записи служат бэкдором для злоумышленников.
Как минимум две хак-группы эксплуатируют опасные уязвимости в плагинах для WordPress Преступники используют уязвимости в плагинах Easy WP SMTP и Social Warfare, создают себе аккаунты администраторов и перенаправляют трафик на вредоносные сайты.
Взломщики похищают аккаунты Office 365 и G Suite через IMAP Специалисты ИБ-компании Proofpoint сообщили о массовых атаках на корпоративных пользователей облачных сервисов Office 365 и G Suite. Злоумышленники обходят двухфакторную авторизацию и получают доступ к учетным записям через протокол IMAP. За шесть месяцев они проникли в отсл...
Промышленные брандмауэры Cisco получили серию патчей Компания Cisco закрыла 19 уязвимостей в программном обеспечении для межсетевых экранов Adaptive Security Appliance (ASA) и Firepower. Все баги имеют высокую степень опасности и получили от 7,2 до 8,8 балла по шкале CVSS. Обновленные версии прошивок доступны клиентам компании...
#видео | Хакеры взломали автопилот Tesla нестандартными методами В 2016 году группа исследователей в области безопасности Keen Security Lab успешно взломала систему автомобиля Tesla Model S, после чего компания заметно улучшила ее надежность. В 2019 году хакеры решили выявить слабые стороны автопилота, причем не при помощи взлома програм...
В блоках релейной защиты ABB исправили 10-балльный баг Специалисты «Лаборатории Касперского» обнаружили критическую ошибку в системах релейной защиты производства ABB. Как оказалось, интеллектуальные электронные устройства (ИЭУ) серии Relion 670 подвержены уязвимости, которая позволяет читать и удалять любые файлы на у...
В браузерах Firefox обнаружена критическая уязвимость Срочно обновитесь!
Обнаружена серьезная уязвимость Google Chrome и Windows 7 Исправление для Windows все еще нет
Киберпреступники заинтересовались анализами ДНК Исследователь NewSky Security Анкит Анубхав (Ankit Anubhav) обнаружил в Интернете следы атак на оборудование для анализа ДНК. Кампания, которую ведут неизвестные злоумышленники из-под иранского IP-адреса, построена на уязвимости 2016 года. По словам эксперта, первые инцидент...
Yota позволила выбирать тариф с точностью до минуты и гигабайта Yota запустила гибкую линейку связи, позволяющую выбрать любое количество минут и гигабайт
«Лаборатория Касперского» помогла закрыть дыры в умном доме Специалисты «Лаборатории Касперского» оценили безопасность системы Fibaro Home Center, которая обеспечивает управление умным домом. Эксперты нашли в продукте ряд уязвимостей, позволивших перехватить контроль над IoT-инфраструктурой. Исследование инициировал один из...
Разработчики SAP выпустили 14 патчей для своих систем Разработчики SAP выпустили сентябрьский пакет исправлений, куда вошли 14 патчей. Четыре из них пришлись на критические уязвимости, включая два дополнения к выпущенной ранее заплатке для SAP Diagnostics Agent. Критически важные доработки SAP Diagnostics Agent Об уязвимости CV...
Cisco залатала SD-WAN, Webex, защитные решения На прошлой неделе компания Cisco выпустила набор обновлений, закрывающих около 30 уязвимостей в различных продуктах. Одна из брешей оценена как критическая, 16 — как высокой степени опасности. Самая серьезная уязвимость (CVE-2019-1651) затрагивает сетевое решение SD-WAN; она...
Oculus Rift S может получить внешние камеры для трекинга Весной Oculus должна представить новый независимый шлем виртуальной реальности Quest за 400 долларов США, однако на этом планы компании не заканчиваются. Следующим шагом станет обновление компьютерного шлема Rift, который будет называться Rift S.
Игроки обнаружили уязвимость ботов OpenAl 19 апреля стартовало открытое тестирование ботов в Dota 2 OpenAl, где любой желающий может сразиться с искусственным интеллектом. Не прошло и суток со старта теста, а игроки уже нашли слабое место ботов и очень легко их обыгрывают. Вся слабость ботов заключается в том, чт...
Bluetooth позволяет следить за устройствами Windows, iOS и macOS Исследователи из Бостонского университета (BU) обнаружили дефект в протоколе связи Bluetooth, который может подвергать большинство устройств стороннему отслеживанию и утечке идентифицируемых данных. Согласно документу под названием «Отслеживание анонимных устройств…
Серьезные уязвимости исправлены в составе Libssh2 и PuTTY Сразу два популярных инструмента получили важные обновления: 9 уязвимостей устранено в библиотеке Libssh2; 8 проблем пропатчили в Putty.
Зафиксировано первое появление BlueKeep «в дикой природе» Вчера появилась информация о попытках эксплуатации BlueKeep (CVE-2019-0708), критичной RCE-уязвимости в ОС Windows, с целью установки криптомайнера Manero. Исследователь Kevin Beamount, сообщил в Твиттере, что несколько хостов из его сети RDP-ханипотов ушли в состоянии BSOD,...
Продемонстрированы эксплоиты для RCE-проблемы BlueKeep Исследователи изучают уязвимость CVE-2019-0708, благодаря которой атакующие могут распространять малварь подобно червю.
Турнир Pwn2Own Tokyo 2019 принес участникам более $315 тысяч Участники хакерского турнира Pwn2Own Tokyo 2019 получили $315 тыс. за 18 уязвимостей, которые они обнаружили в умных колонках, телевизорах, роутерах и смартфонах. Уже третий раз подряд главную награду соревнования получили Амат Кама (Amat Cama) и Ричард Жу (Richard Zhu) — их...
Schneider Electric залатала баги в приложении ProClima Разработчики Schneider Electric исправили три уязвимости в программе ProClima, предназначенной для проектирования климатических систем в шкафах с электротехническим оборудованием. Эксплуатация багов могла привести к подмене DLL, выполнению несанкционированных операций в гран...
Иск против Apple, поданный в связи уязвимостями Meltdown и Spectre, отклонен Примерно год назад против Apple был подан коллективный иск из-за уязвимостей Meltdown и Spectre, обнаруженных в процессорах мобильных устройств компании. Как известно, эти процессоры разработаны Apple на основе архитектуры ARM, чем и обусловлено наличие уязвимостей. Иск...
Apple расширяет программу bug bounty и увеличивает размер вознаграждений Компания Apple объявила, что расширяет свою программу вознаграждений за обнаруженные уязвимости. Теперь за баги можно будет получить до миллиона долларов, а также исследователи смогут искать проблемы в macOS, watchOS и tvOS.
В новый Firefox добавлена блокировка криптомайнеров Разработчики Mozilla выпустили новую версию браузера Firefox для Windows, macOS, Linux и Android. В релизе 67.0 обозревателя исправлена 21 уязвимость, а также добавлена функция блокировки встроенных криптомайнеров и скриптов, скрытно отслеживающих пользователя по цифровым от...
«Яндекс.Еда» запустил аккаунты для корпоративных клиентов «Яндекс.Еда.» предложил корпоративным клиентам бизнес-аккаунты. В бизнес-аккаунте присутствует личный кабинет, позволяющий устанавливать лимит расходов для сотрудников.
Независимые мастерские получат право на ремонт iPhone с использованием подлинных комплектующих Apple намерена предоставить независимым мастерским доступ к справочным материалам, инструментам и фирменным компонентам. На текущий момент такой доступ есть лишь у авторизованных поставщиков услуг.
В WhatsApp была обнаружена серьезная уязвимость Срочно обновите приложение!
В RDP-клиентах для Windows и Linux нашли десятки уязвимостей Популярные RDP-клиенты для удаленного администрирования обладают уязвимостями, которые позволяют злоумышленникам проводить реверсивные атаки или получить несанкционированный доступ к файлам через общий буфер обмена. К такому выводу пришли ИБ-специалисты компании Check Point ...
Аналитики нашли более 100 эксплойтов для уязвимости в WinRAR Аналитики компании McAfee опубликовали отчет, согласно которому злоумышленники активно эксплуатируют брешь в архиваторе WinRAR. Первую вредоносную кампанию специалисты обнаружили уже через несколько дней после появления информации о баге. С тех пор исследователи насчитали бо...
[Перевод] Grasp2Vec: обучение представлению объектов через захват с самостоятельным обучением Люди с удивительно раннего возраста уже способны распознавать свои любимые объекты и поднимать их, несмотря на то, что их специально этому не учат. Согласно исследованиям развития когнитивных способностей, возможность взаимодействия с объектами окружающего мира играет крит...
Новогодние патчи для Adobe Acrobat Reader Праздник праздником, а работа над ошибками не должна прекращаться, решили в Adobe. Третьего января разработчики Acrobat и Reader выпустили патчи для двух критических уязвимостей. К счастью, с обновлением можно повременить. Новым заплаткам присвоен приоритет 2. Согласно приня...
GitHub купил анализатор кода Semmle GitHub объявил о покупке Semmle — аналитического инструмента, который помогает разработчикам и исследователям безопасности находить уязвимости в коде.
Эксперты Google раскрыли информацию о серьезной уязвимости в macOS Исследователи Google Project Zero опубликовали информацию о неисправленной опасной проблеме в macOS и код proof-of-concept эксплоита для нее.
Bluekeep как главная угроза в мае 2019 Исследователи Check Point подтверждают многочисленные попытки сканирования ПК во всем мире для поиска уязвимости Bluekeep. Возможно, нас ждут новые WannaCry и NotPetya.
Уязвимости URGENT/11 угрожают безопасности сотен миллионов устройств 11 уязвимостей в VxWorks (RTOS), получившие общее название URGENT/11, представляют опасность для IoT-устройств, SCADA, критически важных систем и различного оборудования, включая медицинское.
Новый сотовый оператор запустил тарифный план с целыми 60 ГБ мобильного интернета и 6000 минутами разговоров Каждая телекоммуникационная компания на территории России стремится к тому, чтобы захватить как можно большую долю рынка, а для этого ей нужны абоненты. Чем таких будет больше, тем лучше. Именно поэтому новый сотовый оператор, который недавно Сообщение Новый сотовый операто...
Microsoft пропатчила атакуемую уязвимость 0-day Майский набор обновлений для продуктов Microsoft закрывает брешь повышения привилегий, уже используемую в атаках. Уязвимость CVE-2019-0863 связана с функциональностью, отвечающей за формирование и отправку на сервер отчетов об ошибках Windows. Согласно бюллетеню, эксплуатаци...
Разработчики WebAccess вынуждены вновь устранять уязвимости Критические уязвимости в IIoT-платформе WebAccess могут стать причиной удаленного выполнения вредоносного кода и несанкционированного доступа к файлам. Об этом стало известно из бюллетеня по безопасности, опубликованного Группой быстрого реагирования на киберинциденты в сфер...
Об одной уязвимости, которой нет В конце марта 2019 года американская компания Trustwave, занимающаяся кибербезопасностью и сервисами по защите от угроз, опубликовала сообщение об уязвимости в СУБД PostgreSQL, которая присутствует во всех версиях, начиная с версии PostgreSQL 9.3 по версию 11.2. Эта уязвимо...
Уязвимость в ThinkPHP используется для увеличения ботнетов Hakai и Yowai Обнаруженная в декабре 2018 года уязвимость в ThinkPHP активно используется злоумышленниками.
В GPS-трекерах китайского производителя обнаружены уязвимости Исследователи нашли уязвимости и в других моделях этого производителя: всего 30 трекеров имеют проблемы с безопасностью, в том числе трекеры для обеспечения безопасности детей, пожилых людей, домашних животных и имущества. Вместо этого устройства позволяют третьим лицам полу...
Убийца iOS: джейлбрейк с помощью checkra1n в вопросах и ответах Итальянский исследователь Лука Тодеско, известный тем, что протяжении последних нескольких лет ищет уязвимости в iOS, выпустил checkra1n, новую утилиту для джейлбрейка, основанную на эксплоите, использующем уязвимость в загрузчике устройств на процессорах A5-A11. Опасность...
Slack снова сбрасывает пароли из-за утечки 2015 года Корпоративный мессенджер Slack сбросил пароли у 1% учетных записей из-за опасности несанкционированного доступа. Информация об этом появилась на официальном сайте компании в четверг, 18 июля. Как говорится в сообщении, такая мера предосторожности связана со взломом, произоше...
В ЕС изъяли из продажи небезопасные умные часы для детей Европейская комиссия постановила изъять детские умные часы Enox Safe-KID-One с рынка из-за угрозы нарушения конфиденциальности персональных данных. Злоумышленники могут использовать устройство для отслеживания местоположения и истории звонков владельцев, сообщается в базе си...
Новый релиз Thunderbird закрыл три опасные уязвимости Создатели почтового клиента Mozilla Thunderbird выпустили очередную версию продукта, устранив серию опасных ошибок, допущенных при интеграции с программой iCal. Среди закрытых багов — три особо серьезных: они открывали широкий доступ к компьютеру жертвы через переполнение бу...
Шпионское ПО Exodus было замечено и на iOS-устройствах Исследователи компании Lookout, специализирующейся на вопросах безопасности, обнаружили версию шпионского ПО Exodus для iOS. Хотя обычно это ПО было предназначено для Android-устройств. Отмечается, что зловред Exodus для iOS был обнаружен только на сторонних площадках по рас...
Исследователи рассказали об уязвимостях в 26 PoS-криптовалютах Эксперты из Иллинойского университета в Урбане-Шампейне рассказали об атаке Fake Stake, которая представляет угрозу для 26 proof-of-stake криптовалют.
Как перенести WhatsApp на новый номер телефона Благодаря тому, что все онлайн-сервисы, которыми мы сегодня пользуемся, работают на основе облачных технологий, проблема потери данных практически перестала существовать. Даже переписка из WhatsApp хранится не только в памяти вашего смартфона, но и в облаке. Поэтому при сме...
В библиотеке libssh2 для Linux закрыли девять брешей Разработчики Linux-библиотеки libssh2 залатали девять уязвимостей в очередной версии продукта — 1.8.1. Эксплуатация брешей позволяла злоумышленникам выполнить вредоносный код на пораженном устройстве или вызвать отказ в обслуживании. Баги обнаружил ИБ-специалист компании Can...
В Xiaomi нашли опасную уязвимость Как сообщает «Коммерсант», Guard Provider позволяет устанавливать на смартфоны Xiaomi вредоносный код незаметно для владельца. Ирония в том, что это предустановленное приложение как раз должно защищать пользователя от кибератак. Приложение присутствует на всех новых мобильны...
Уязвимость в Chrome позволяет показывать поддельную адресную строку, упрощая фишинговые атаки Разработчик Джеймс Фишер обнаружил в Chrome для мобильных устройств довольно простую уязвимость, которая основана на том, как приложение отображает адресную строку. Когда пользователь прокручивает страницу сверху вниз, происходит отображение фальшивой адресной строки, котора...
Xiaomi отзывает все электросамокаты из-за обнаруженного критического дефекта Любой производитель, который заботится о своей репутации, вынужден обеспечивать хорошее качество продукции, однако иногда инженеры допускают какие-то просчеты, в результате чего продукция получается дефектной, но обнаружить это удастся не сразу. В итоге, производителям тех ...
Apple предоставит исследователям в области безопасности «специальные» айфоны для тестирования на ошибки Apple планирует предоставить исследователям безопасности доступ к специальным iPhone, что облегчит им поиск уязвимостей и слабых мест в безопасности, сообщает Forbes со ссылкой на источники, осведомленные о планах Apple. Apple собирается анонсировать новую программу на конфе...
Найден вид животных, которые считались вымершими на протяжении 30 лет Иногда исчезнувшие виды появляются вновь К сожалению, с лица Земли то и дело исчезают населяющие нашу планету виды животных. Но порой природа преподносит нам сюрпризы. И виды, считавшиеся вымершими через какое-то время, фиксируются учеными вновь. Так произошло и в этот раз. ...
Google будет платить за найденные в Android уязвимости до $1,5 млн. Компания повышает ставки за обнаруженные баги.
«Лаборатория Касперского» обнаружила критическую уязвимость в Windows «Лаборатория Касперского» обнаружила ранее неизвестную уязвимость в операционной системе Microsoft Windows …
Исследователи нашли способ украсть аккаунты EA Origin ИБ-специалисты обнаружили уязвимости в механизме авторизации игровой платформы EA Origin. Злоумышленники могли воспользоваться багами, чтобы перехватить контроль над учетными записями, красть деньги пользователей и атаковать их друзей. Предложенный сценарий предполагает эксп...
Опубликован эксплоит для RCE-проблемы в Apache Solr Уязвимость в Apache Solr, которую изначально считали практически безвредной, оказалась гораздо опаснее.
Найденная уязвимость позволяет хакерам взломать сотни тысяч сердечных имплантов Охранная фирма Clever Security обнаружила серьезную и потенциально крайне опасную уязвимость в имплантах-дефибрилляторах производства Medtronic. Она затрагивает 16 моделей, суммарным числом около 750 000 экземпляров, уже установленных разным пациентам. Хакеры могут подключит...
ControlCraft 2 1.620 ControlCraft 2 — быстро развивающаяся RTS с тактическими возможностями и графикой в неповторимом стиле. Вам предстоит на протяжении 14 захватывающих уровней колонизировать базы противника с целью захвата всех точек на данной территории. От вас требуется остроумие, скорость р...
Instagram работает над возможностью создания клипов Социальная сеть Instagram работает над новым инструментом для создания коротких видео. Об этом сообщила в своем Twitter-аккаунте исследователь Джейн Манчун Вонг (Jane Manchun Wong): Новый инструмент под названием “Clips” позволяет записывать видео отдельными фрагментами, про...
Первая партия Redmi Note 7 была распродана за 8 минут и 36 секунд Недавно созданный независимый бренд Redmi, принадлежащий компании Xioami, выпустил на прошлой неделе свой первый бюджетный смартфон Redmi Note 7. ***
Эксперты нашли в Linux уязвимости возрастом в несколько лет Специалисты компании Qualys описали три уязвимости ОС Linux, грозящие утечками данных и нарушением целостности памяти. Проблемы содержатся в большинстве популярных дистрибутивов, где не предусмотрена защита пользовательского пространства (user land). Все уязвимости связаны с...
Опубликован эксплоит для свежей 0-day уязвимости в Android Появился эксплоит для проблемы CVE-2019-2215, которая уже находится под атаками и позволяет злоумышленнику получить root-доступ к целевому устройству.