Уязвимости

Секрет виджета. Эксплуатируем новую опасную уязвимость в форуме vBulletin

Примерно год назад я писал об уязвимости в форуме vBulletin, которая давала любому пользователю возможность выполнять произвольные команды в системе…

IBM: ботнет Mozi генерировал 90% всего IoT-трафика

Эксперты IBM обнаружили ботнет Mozi, основанный на коде малвари Mirai и Gafgyt. Исследователи утверждают, что в период с октября 2019…

Баг в Firefox для Android позволял атаковать браузеры через Wi-Fi

Инженеры Mozilla исправили уязвимость в Firefox для Android. Благодаря этому багу можно было вынудить пользователей в той же сети Wi-Fi…

Эксперты отмечают растущий интерес злоумышленников к Linux-системам

По данным «Лаборатории Касперского», все больше хакерских групп совершают целевые атаки на устройства на базе Linux с помощью специально разработанных…

Миллиарды устройств с Bluetooth уязвимы перед атакой BLESA

Миллиарды смартфонов, планшетов, ноутбуков и IoT-устройств, использующие Bluetooth Low Energy, уязвимы перед новой атакой BLESA (Bluetooth Low Energy Spoofing Attack).

Внеплановый патч для Adobe Media Encoder устраняет три уязвимости

Разработчики Adobe выпустили внеплановый патч для устранения трех уязвимостей, обнаруженных в Media Encoder.

Китайские хакеры эксплуатируют баги в F5, Citrix, Pulse Secure и Microsoft Exchange

Американские власти рассказали, какие уязвимости в последнее время чаще всего эксплуатируют китайские хакеры.

Проблема Zerologon может помочь захвату корпоративной сети

Выяснилось, что в прошлом месяце компания Microsoft исправила серьезнейшую уязвимость. Проблема носит имя Zerologon и позволяет захватывать Windows-серверы, работающие в…

Исследователь много лет держал в тайне баг в Bitcoin Core

Еще в 2018 году ИБ-специалист Брейдон Фуллер обнаружил опасную проблему в Bitcoin Core. Два года он хранил свою находку в…

Специалисты заработали 20 000 долларов на побеге из песочницы Chrome

Компания Google выплатила 20 000 долларов исследователям, которые сообщили об уязвимости, позволявшей совершить побег из песочницы в Chrome.

Инженеры Intel исправили критический баг в AMT и ISM

На этой неделе инженеры Intel выпустили исправления для Active Management Technology (AMT) и Intel Standard Manageability (ISM), устранив критическую уязвимость.

Уязвимости в PAN-OS угрожали безопасности внутренних сетей

Специалисты компании Positive Technologies обнаружили ряд уязвимостей в PAN-OS, операционной системе, использующейся межсетевыми экранами следующего поколения (NGFW) Palo Alto Networks.

Исследователь заработал 10 000 долларов, обнаружив XSS-уязвимость в Google Maps

Израильский ИБ-специалист Зохар Шахар рассказал о том, как он нашел XSS-уязвимость в Google Maps, а затем обнаружил, что в Google…

Microsoft исправила 129 уязвимостей, включая более 20 критических

Сентябрьский «вторник обновлений» принес исправления для 129 уязвимостей в 15 различных продуктах Microsoft, от Windows до ASP.NET. Инженеры компании уверяют,…

306 уязвимостей найдено в популярных приложениях для Android. Патчи получили лишь 18

Исследователи из Колумбийского университета создали инструмент CRYLOGGER, предназначенный для динамического анализа Android-приложений и обнаружения небезопасных криптографических практик.

Cisco исправили критическую RCE-уязвимость в Jabber для Windows

На этой неделе инженеры Cisco исправили ряд серьезных проблем в нескольких версиях Jabber для Windows. Один из багов позволял выполнять…

В роутерах MoFi Network присутствуют неисправленные бэкдоры

Инженеры канадской компании MoFi Network устранили шесть уязвимостей в своих устройствах, однако оставили неисправленными три жестко закодированных бэкдора.

Хакеры атакуют уязвимость, которой подвержены более 350 000 сайтов на WordPress

Обнаружена опасная проблема в плагине File Manager, который используют более 700 000 ресурсов. Эксперты сообщают, что около 52% этих сайтов…

RCE-баг трехлетней давности используется для установки бэкдоров на Qnap NAS

Исследователи из китайской компании Qihoo 360 предупреждают, что злоумышленники по-прежнему эксплуатируют уязвимость в прошивках устройств Qnap, которая была исправлена еще…

Иранские хакеры продают доступ к сетям взломанных компаний

Иранские «правительственные» хакеры из группировки Pioneer Kitten торгуют доступом к сетям скомпрометированных компаний, сообщают специалисты Crowdstrike.

Исследователь обнаружил критические уязвимости и в Slack и получил за это 1750 долларов

Специалист Evolution Gaming рассказал, как в начале 2020 года он нашел ряд критических багов в Slack, которые позволяли без особого…

В телеприставках Philips и Thomson обнаружены серьезные уязвимости

Инженеры Avast обнаружили серьезные проблемы в двух популярных телевизионных приставках компаний Thomson и Philips. Найденные уязвимости позволяют хранить малварь на…

Специалист Google Project Zero обнаружил три уязвимости в Apache Web Server

Разработчики Apache Foundation исправили три опасные уязвимости в составе веб-сервера Apache. Уязвимости были обнаружены экспертом Google Project Zero и могли…

Раскрыты детали уязвимости в Safari, хотя Apple еще не выпустила патч

Исследователь раскрыл подробности проблемы в браузере Safari. Баг позволяет похищать файлы с устройств пользователей.

Систему быстрых платежей использовали для кражи средств

Специалисты ФинЦЕРТ обнаружили, что злоумышленники использовали Систему быстрых платежей для хищения средств со счетов клиентов.

За 15 лет Zero-Day Initiative выплатила исследователям 25 000 000 долларов

Пионер в области программ bug bounty, платформа Zero-Day Initiative, в этом году отмечает 15-летний юбилей. В честь этой знаковой даты,…

Производители банкоматов Diebold Nixdorf и NCR исправили баги типа deposit forgery

Крупнейшие в мире производители банкоматов, компании Diebold Nixdorf и NCR, выпустили обновления программного обеспечения для своих устройств.

Microsoft выпустила внеплановый патч для Windows 8.1 и Server 2012

На этой неделе компания Microsoft выпустила внеплановые патчи, исправляющие проблемы эскалации привилегий в Windows Remote Access. Баги представляли опасность для…

В Gmail исправлена уязвимость, допускавшая email-спуфинг

Разработчики Google исправили серьезную уязвимость, влиявшую на Gmail и G Suite. Проблема позволяла атакующему имитировать любого пользователя Gmail и G…

Некоторые почтовые клиенты были уязвимы перед атаками через ссылки mailto

Ученые из двух немецких университетов обнаружили, что GNOME Evolution, KDE KMail, IBM/HCL Notes и старые версии Thunderbird были уязвимы перед…

ИБ-специалисты втайне «вакцинировали» компании от Emotet

Несколько месяцев назад специалисты компании Binary Defense, входящие в группу, Cryptolaemus обнаружили уязвимость в малвари Emotet. Эксперты втайне эксплуатировали баг…

Из-за багов данные пользователей Amazon Alexa были доступны для посторонних

Уязвимости некоторых поддоменов Amazon и Alexa позволяли хакерам управлять чужими учетными записями, устанавливать вредоносные навыки, получать доступ к голосовой истории…

В WYSIWYG-редакторе TinyMCE обнаружили опасный XSS-баг

В одном из наиболее популярных WYSIWYG-редакторов, TinyMCE, нашли уязвимость, которая может быть использована для повышения привилегий, хищения информации или захвата…

Google Project Zero предупреждает, что свежий патч для Windows LSASS неэффективен

Специалисты Google Project Zero пишут, что один из патчей Microsoft, выпущенный ранее на этой неделе, оказался неэффективен. Проблема эскалации привилегий…

На сетевом периметре 84% компаний выявлены уязвимости высокого риска

Эксперты Positive Technologies поделились результатами анализа защищенности сетевых периметров корпоративных информационных систем. В большинстве компаний были обнаружены уязвимости высокого уровня…

Citrix ожидает атак на свежие проблемы в XenMobile

На этой неделе инженеры компании Citrix выпустили ряд патчей для Citrix Endpoint Management. В компании сообщают, что хакеры очень скоро…

Смартфоны Samsung были уязвимы перед взломом из-за приложения Find My Mobile

На конференции DEF CON рассказали о ряде уязвимостей в приложении Find My Mobile, которое предустановлено на устройствах Samsung. Проблемы можно…

Microsoft исправила 2 уязвимости нулевого дня, находившиеся под атаками

В состав августовского «вторника обновлений» вошли исправления для 120 уязвимостей в продуктах Microsoft. В их числе были две 0-day уязвимости:…

На конференции DEF CON продемонстрировали эксплуатацию уязвимостей в Zoom

На конференции DEF CON 28 исследователь Мазин Ахмед наглядно продемонстрировал ряд проблем, затрагивающих популярное приложение для видеоконференций Zoom.

Разработчики повторно исправили опасную RCE-уязвимость в vBulletin

В сентябре 2019 года анонимный ИБ-исследователь обнаружил опасную уязвимость нулевого дня в форумном движке vBulletin. Баг позволял выполнить любую PHP-команду…