RCE

Уязвимость в Instagram позволяла захватить контроль над чужим устройством

Эксперты Check Point обнаружили опасную уязвимость в Instagram, которая позволяла захватить учетную запись пользователя и превратить его телефон в шпионский…

Секрет виджета. Эксплуатируем новую опасную уязвимость в форуме vBulletin

Примерно год назад я писал об уязвимости в форуме vBulletin, которая давала любому пользователю возможность выполнять произвольные команды в системе…

Исследователь обнаружил критические уязвимости и в Slack и получил за это 1750 долларов

Специалист Evolution Gaming рассказал, как в начале 2020 года он нашел ряд критических багов в Slack, которые позволяли без особого…

Microsoft исправила 2 уязвимости нулевого дня, находившиеся под атаками

В состав августовского «вторника обновлений» вошли исправления для 120 уязвимостей в продуктах Microsoft. В их числе были две 0-day уязвимости:…

Большая дыра в BIG-IP. Как работает новая уязвимость в продуктах компании F5

BIG-IP — это кон­трол­лер дос­тавки при­ложе­ний, который исполь­зуют в круп­ней­ших ком­пани­ях вро­де бан­ков и опе­рато­ров сотовой свя­зи. Уяз­вимость в нем,…

Разработчики повторно исправили опасную RCE-уязвимость в vBulletin

В сентябре 2019 года анонимный ИБ-исследователь обнаружил опасную уязвимость нулевого дня в форумном движке vBulletin. Баг позволял выполнить любую PHP-команду…

Более 40 роутеров Netgear не получат патчей для RCE-бага

В июне текущего года специалисты предупреждали, что 79 моделей маршрутизаторов Netgear уязвимы перед серьезным багом, который может позволить хакерам удаленно…

Уязвимость в плагине wpDiscuz для WordPress ведет к выполнению произвольного кода

Аналитики компании Wordfence обнаружили опасную уязвимость в плагине wpDiscuz, установленном на 70 000 сайтов. Эксплуатация проблемы позволяет удаленно выполнить произвольный…

В Windows-клиенте Zoom обнаружили 0-day уязвимость

Специалисты компании Acros Security предупредили об опасном баге в приложении для видеоконференций Zoom. Уязвимость представляет угрозу для Windows 7, Windows…

Дыры в дыре. Как работают уязвимости в Pi-hole, которые позволяют захватить Raspberry Pi

В Pi-hole — популярной программе для блокировки рекламы и нежелательных скриптов — за последнее время нашли целых три уязвимости. Две из…

Начались атаки на уязвимость в F5 BIG-IP, в сети уже доступен PoC-эксплоит

Данные об опасной уязвимости в F5 BIG-IP были раскрыты лишь на прошлой неделе, а хакеры уже атакуют уязвимые устройства.

F5 исправила критическую уязвимость в BIG-IP

Эксперт Positive Technologies выявил критическую уязвимость в конфигурационном интерфейсе популярного контроллера доставки приложений BIG-IP.

Microsoft выпустила экстренные патчи для багов в Windows Codecs Library

Разработчики Microsoft опубликовали внеплановых обновления безопасности для исправления двух уязвимостей в составе Windows Codecs Library.

Adobe исправила 18 критических багов в своих продуктах

На этой неделе разработчики Adobe выпустили внеочередной набор патчей и исправили 18 критических уязвимостей в своих продуктах, включая After Effects,…

Сотни миллионов IoT-устройств в опасности из-за уязвимостей Ripple20

Исследователи рассказали о 19 уязвимостях, влияющих на библиотеку, которая лежит в основе многих IoT-устройств.

В VLC Media Player 3.0.11 исправлена опасная RCE-уязвимость

Разработчики VideoLan выпустили VLC Media Player 3.0.11 для Windows, Mac и Linux. В составе этого релиза была исправлена серьезная уязвимость,…

Опубликован RCE-эксплоит для проблемы SMBGhost

В открытом доступе появился первый RCE-эксплоит для уязвимости CVE-2020-0796, также известной под названиями SMBGhost, CoronaBlue, NexternalBlue и BluesDay.

Читай и выполняй. Как работает эксплоит новой уязвимости в GitLab

В конце марта 2020 года в популярном инструменте GitLab был найден баг, который позволяет перейти от простого чтения файлов в…

Компания Adobe выпустила экстренные патчи для нескольких RCE-уязвимостей

Разработчики Adobe опубликовали внеплановые патчи для Character Animation, Premiere Rush, Audition и Premiere Pro. Дело в том, что в продуктах…

Тысячи устройств Qnap уязвимы перед удаленными атаками

Еще в прошлом ноябре разработчики Qnap обновили прошивки своих устройств, исправив четыре критические уязвимости. Теперь обнаруживший их эксперт рассказал о…

Microsoft исправила 111 уязвимостей в своих продуктах

Майский «вторник обновлений» стал третьим по объему за все время: исправлено 111 уязвимостей, 13 из которых были критическими.

Из-за уязвимостей в двух плагинах опасность угрожает миллиону сайтов на WordPress

Критические уязвимости в WordPress-плагинах Elementor Pro и Ultimate Addons for Elementor могут использоваться для удаленного выполнения произвольного кода и полной…

Поисковый сервис Algolia взломан из-за уязвимостей в SaltStack Salt

Стало известно еще об одной компании, пострадавшей от уязвимостей в SaltStack Salt. Теперь жертвой взлома стал поисковый сервис Algolia.

Уязвимости в SaltStack Salt поставили под угрозу множество дата-центров

В опенсорсном фреймворке SaltStack Salt, широко использующемся в дата-центрах и облачных серверах, обнаружили две критические уязвимости, допускающие удаленное выполнение произвольного…

Исследователь получил 20 000 долларов за критический баг в GitLab

Иб-специалист Уильям Боулинг (William Bowling) заработал 20 000 долларов, обнаружив критическую уязвимость в GitLab. Баг позволял добиться выполнения произвольного кода…

Критические уязвимости исправлены в Magento, Adobe Illustrator и Bridge

Разработчики Adobe выпустили внеплановые патчи, исправляющие серьезные ошибки в составе таких продуктов, как Bridge, Illustrator и Magento.

Microsoft выпустила внеочередной патч для опасной уязвимости в Microsoft Office

Разработчики устранили уязвимость удаленного выполнения кода в библиотеке Autodesk FBX, которая интегрирована в Microsoft Office и Paint 3D.

Специалисты продемонстрировали эксплоит для RCE-уязвимости SMBGhost

Эксперт из Ricerca Security разработал и продемонстрировал RCE-эксплоит для уязвимости CVE-2020-0796, также известной как SMBGhost.

Microsoft исправила три 0-day уязвимости, уже находившиеся под атаками

Апрельский «вторник обновлений» принес исправления для 113 уязвимостей в 11 продуктах Microsoft, причем некоторые из них уже находились под атаками.

Более 350 000 серверов Microsoft Exchange все еще уязвимы перед критическим багом

Хакеры начали эксплуатировать проблему CVE-2020-0688 еще в начале марта 2020 года, однако более 80% серверов Microsoft Exchange по-прежнему работают без…

Баги в предустановленном HP Support Assistant угрожают машинам под управлением Windows

Эксперт обнаружил множество уязвимостей в утилите HP Support Assistant, предустановленной на всех компьютерах HP, продававшихся после октября 2012 года.

Кот-призрак. Как эксплуатировать новую RCE-уязвимость в веб-сервере Apache Tomcat

Сегодня я покажу уязвимость в Apache Tomcat, которая позволяет читать файлы на сервере и в некоторых случаях выполнять произвольный код…

Всем версиям Windows угрожают две уязвимости нулевого дня

Microsoft предупреждает, что в составе Adobe Type Manager Library (atmfd.dll) обнаружены две 0-day уязвимости, которые уже используют хакеры. Исправлений пока…

Adobe исправила 9 критических багов в составе Acrobat и Reader

Ранее в этом месяце компания Adobe пропустила «вторник обновлений», но теперь наверстывает упущенное, выпуская исправления для 13 различных багов, 9…

Две уязвимости в продуктах Trend Micro уже эксплуатируют злоумышленники

Разработчики Trend Micro исправили две 0-day уязвимости в своих продуктах, а также еще три критических бага, до которых пока не…

Из-за опасного бага Avast отключает JavaScript-движок в своем антивирусе

Специалист компании Google обнаружил опасную проблему в одном из компонентов антивируса Avast. В итоге разработчики были вынуждены временно отключить JavaScript-движок,…

Хакеры сканируют сеть в поисках уязвимых серверов Microsoft Exchange

Злоумышленники ищут серверы Microsoft Exchange, уязвимые перед проблемой CVE-2020-0688, которую Microsoft исправила две недели назад.

Свежая 0-day уязвимость Zyxel влияет и на брандмауэры компании

Критическая проблема нулевого дня, набравшая 10 баллов из 10 возможных по шкале оценки уязвимостей CVSS, оказалась опасна не только для…

Уязвимость нулевого дня исправлена в NAS компании Zyxel

Критическая уязвимость CVE-2020-9054 затрагивает несколько моделей NAS компании и позволяет удаленно выполнить произвольный код. Хуже того, проблему уже эксплуатируют хакеры.

Для проблемного обновления Windows 10 появился неофициальный патч

Недавно пользователи Windows 10 обнаружили, что обновление KB4532693 вызывает множество проблем, вплоть до потери данных. Однако оно связно с исправлением…