Сегодня я расскажу об уязвимости, дающей возможность исполнять произвольный код в самой популярной CMS в мире — Wordpress. Причина бага — в недостаточной фильтрации метаданных загруженного файла: можно загрузить произвольный PHP-код в теле изображения и поместить его в папку, откуда будет возможен вызов.
Специалисты Google сообщили, что злоумышленниками комбинировали уязвимость нулевого дня в Chrome, о которой стало известно н…
Американский разработчик ПО, компания Citrix, подвергся компрометации. Специалисты Resecurity утверждают, что было похищено …
Первое, с чем сталкиваешься, когда хочешь сделать коллаж из нескольких фотографий, — это необходимость убрать фон у картинки. Чего только не придумали, чтобы упростить эту задачу! Сервис с говорящим названием remove.bg максимально облегчает процесс и не требует никаких дополнительных манипуляций — достаточно загрузить картинку.
Разработчики Cisco выпустили обновленное ПО для Nexus, в котором появилась команда для отключения POAP.
Из-за старого пранка неприятности грозят сразу нескольким людям, распространявшим «опасную ссылку» на интернет-форумах.
Опубликован доклад, посвященный проблеме Spoiler, которая может облегчить эксплуатацию проблемы Rowhammer и проведение кеш-а…
На первый взгляд пароль «ji32k7au4a83» кажется надежным, однако эту комбинацию обнаружили в составе 141 утечки данных.
Для исследований, демонстрации и разработки нам в «Элкомсофт» приходится ежемесячно приобретать по нескольку устройств с iOS. Разумеется, нам тоже хочется сэкономить: ежемесячная закупка даже мелких партий — заметная строчка в бюджете компании. Но сколько мы ни покупали «серых» смартфонов — ни один из них не прошел проверку на подлинность.
Пользователей призывают обновить Chrome до версии 72.0.3626.121. Оказывается, в этой версии была устранена опасная уязвимост…
«Лаборатория Касперского» обнаружила интересную вредоносную кампанию на трекере ThePirateBay.
Командная строка — потрясающе мощный, но далеко не самый интуитивный интерфейс. То же касается и самих консольных команд. Вот бы существовал способ сразу видеть все нужные параметры, когда ты набираешь название команды… и такой способ существует!
ИБ-сообщество изучает Ghidra, опубликованный АНБ инструмент, которыми спецслужбы пользуются уже много лет.
Известный брокер уязвимостей, компания Zerodium, сообщил о временном повышении цен на эксплоиты для уязвимостей в Hyper-V и …
В этом месяце: в первом чтении принят законопроект о «суверенном Рунете», северокорейские хакеры атаковали российские компании, в даркнете продают терабайты утекших данных, в WinRAR нашли уязвимость 19-летней давности, а в Microsoft понимают, что Internet Explorer — это не браузер в современном понимании этого слова.
Эксперты Imperva предупреждают, что сотни Docker-хостов все еще уязвимы перед проблемой CVE-2019-5736, обнаруженной в прошло…
По данным исследователей, в 2018 году количество атак с использованием мобильной малвари достигло отметки 117 000 000.
Исследователи Google Project Zero опубликовали информацию о неисправленной опасной проблеме в macOS и код proof-of-concept э…
По данным специалистов, WordPress подвергается атакам куда чаще других CMS. Обычно злоумышленники заражают такие сайты бэкдо…
5 октября 2016 года на одном из ханипотов, принадлежащих исследовательской группе Rapidity Networks, был обнаружен подозрительный трафик. По всем признакам выходило, что в ловушку угодил очередной клон Mirai — симптомы заражения казались похожими. Однако после пристального взгляда стало понятно: исследователи имеют дело с чем-то принципиально новым.
Исследователи нашли на GitHub 89 аккаунтов, которые продвигали 73 репозитория с опасными приложениями и библиотеками для Win…
В минувшие выходные злоумышленники попытались заразить миллионы израильских пользователей вымогательским ПО. Из-за ошибки в …
Специалисты TheBestVPN изучили VPN-приложения из каталога Google Play и пришли к выводу, что многие из них запрашивают насто…
Журналисты заметили, что пользователи Kaspersky Total Security с января месяца жалуются на проблемы с самозаверенными сертиф…
Поскольку недоверие к сторонним сервисам все растет, а цены на выделенные серверы с Linux нынче низки, развернуть собственное облачное хозяйство становится все более привлекательной идеей. Конечно, ты можешь деплоить все приложения сам, но проект под названием HomelabOS предлагает другой подход и стремится сделать серверный софт настолько же простым в обращении, как и десктопный.
Microsoft все же адаптирует для своей ОС защитную практику Retpoline, разработанную инженерами Google и позволяющую бороться…
Разработчики Adobe решили не дожидаться мартовского «вторника обновлений» и выпустили внеплановый патч для критической пробл…
На ежегодной конференции компании Check Point в Вене мы встретились с главой исследовательского подразделения компании Янивом Балмасом. Янив рассказал «Хакеру» о том, как штатные ресерчеры помогают Check Point быть в курсе новых угроз, а также раскрыл подробности недавнего взлома WinRAR, который проходил под его руководством.
После публикации PoC-эксплоита уязвимые устройства (RV110W, RV130W и RV215W) стали мишенью для атак.
ИБ-эксперты предупредили, что операторы вредоноса Troldesh атаковали около 50 крупных российских компаний, выдавая себя за п…
ИБ-специалисты продолжают наблюдать за активностью группировок, практикующих атаки MageCart. Эксперты RiskIQ рассказали о вы…
Инженеры Cisco исправили критическую уязвимость в веб-интерфейсах своих продуктов. Баг набрал 9,8 баллов из 10 возможных по …
В последнее время браузер Firefox претерпевал достаточно значительные изменения, хорошие и не очень: это и переход на движок Quantum, это и отказ от расширений типа XUL/XPCOM, и переход на WebExtensions, и еще масса других преобразований. Но что никак не изменилось — так это возможность сделать из него прекрасный хакерский браузер, если немного покрутить конфиги.
Компания Fox-IT рассказала о том, как мелкий баг в серверном компоненте Cobalt Strike помогал следить за злоумышленниками с …
Эксперты Check Point подсчитали, что в минувшем году каждая пятая организация пережила инцидент, связанный с нарушением безо…
Facebook по-прежнему не озаботилась локализацией баз данных пользователей в России, поэтому Роскомнадзор сообщил, что в отно…
Исследователи рассказали, что китайская хак-группа APT27 использует для своих операций публично доступные инструменты, некот…
Специалисты Cisco Talos предупредили о всплеске атак на незащищенные кластеры Elasticsearch. За атаками стоят как минимум 6 …
Эксперты компании EdgeSpot предупредили об активной уязвимости нулевого дня в браузере Chrome. Так как патча пока нет, специ…
Сегодня в выпуске: отключаем и удаляем предустановленный софт без root, разбираемся с форматом распространения приложений App Bundle, запускаем короутины в основном потоке без задержек, разбираемся в многопоточном программировании, учимся держать код в чистоте и порядке, изучаем новый механизм hot reload в Android Studio и, конечно же, берем на вооружение свежие библиотеки.
Сайт защищен Qrator —
