Уязвимости

Microsoft исправила семь критических уязвимостей, включая 0-day в Windows

Декабрьский «вторник обновлений» включает в себя патчи для 36 уязвимостей, включая проблему нулевого дня, которая уже использовалась злоумышленниками.

Новая атака Plundervolt представляет угрозу для процессоров Intel

Процессоры Intel получили исправления в связи с обнаружением новой Plundervolt, которая влияет на целостность данных в Intel SGX.

NordVPN запустил программу bug bounty

После недавней компрометации NordVPN объявил о запуске собственной программы bug bounty.

Исправлена уязвимость в ESXi, принесшая исследователю 200 000 долларов

Разработчики VMware исправили критическую уязвимость в ESXi, которая была раскрыта на прошедшем недавно в Китае соревновании Tianfu Cup.

В OpenBSD обнаружены уязвимости повышения привилегий и обхода аутентификации

В OpenBSD обнаружены и исправлены четыре серьезные уязвимости, благодаря которым можно было повысить привилегии в системе, а также осуществить обход…

Google исправила более 40 проблем в Android, включая критическую DoS-уязвимость

На этой неделе инженеры Google выпустили декабрьские обновления для Android, среди которых был патч для критической DoS-уязвимости.

Уязвимость позволяет злоумышленникам прослушивать и перехватывать VPN-соединения

Исследователи обнаружили уязвимость, затрагивающую Linux, Android, macOS и другие ОС на основе Unix. Проблема позволяет прослушивать, перехватывать и вмешиваться в…

В веб-сервере GoAhead устранена критическая уязвимость

Исследователи Cisco Talos обнаружили две уязвимости в веб-сервере GoAhead, в том числе критическую проблему, которую можно использовать для удаленного выполнения…

Аналитик HackerOne случайно предоставил исследователю доступ к частным отчетам

Аналитик платформы HackerOne поделился сессионными cookie с посторонним, в результате чего тот получил возможность читать и изменять чужие сообщения об…

Уязвимость StrandHogg представляет угрозу для Android-устройств и уже находится под атаками

ИБ-специалисты предупреждают, что как минимум 36 вредоносных приложений эксплуатируют уязвимость StrandHogg, которая опасна даже для полностью обновленных устройств на Android.

«Лаборатория Касперского» исправила несколько уязвимостей в своих продуктах

Независимый исследователь Владимир Палант обнаружил ряд проблем в продуктах «Лаборатории Касперского». Фактически из-за этих уязвимостей сайты могли злоупотреблять функциональностью защитных…

Тысячи приложений подвержены тому же багу, что недавно был исправлен в WhatsApp

Специалисты Trend Micro обнаружили, что недавно исправленная в WhatsApp уязвимость CVE-2019-11932, которая позволяла выполнить произвольный код при помощи файла GIF,…

Детские умные часы M2 раскрывают личные данные и информацию о местоположении

Эксперты AV-TEST предупреждают, что бюджетные умные часы SMA-WATCH-M2, предназначенные для детей, никак нельзя считать безопасными.

Некоторые продукты Fortinet поставляются с жестко закодированными ключами

Разработчики компании Fortinet 10-18 месяцев устраняли проблему жестко закодированных ключей, обнаруженных в составе FortiOS for FortiGate и FortiClient для Mac…

Опубликован эксплоит для RCE-проблемы в Apache Solr

Уязвимость в Apache Solr, которую изначально считали практически безвредной, оказалась гораздо опаснее.

Эксперт обошел защиту Microsoft Kernel Patch Protection

Исследователь представил PoC-эксплоит для обхода защитной функции Microsoft Kernel Patch Protection (KPP), более известной под названием PatchGuard.

Ботнет Roboto атакует серверы Linux с уязвимым Webmin

Специалисты Qihoo 360 Netlab изучили ботнет Roboto, появившийся летом текущего года и эксплуатирующий уязвимость в Webmin.

В популярном WordPress-плагине Jetpack исправили критическую уязвимость

Более двух лет в коде плагина Jetpack, установленного более 5 000 000 раз, присутствовала критическая уязвимость.

Давно исправленные баги по-прежнему опасны для многих популярных приложений из Google Play Store

Эксперты компании Check Point обнаружили, что многие популярные приложения из Google Play Store, включая Facebook, Instagram и WeChat, по-прежнему уязвимы…

Павел Дуров раскритиковал WhatsApp и призвал пользователей удалить мессенджер

Недавно в WhatsApp была обнаружена очередная уязвимость, и Павел Дуров, пользуясь случаем, призвал пользователей отказаться от WhatsApp и удалить мессенджер.

Разработчики Google исправили уязвимость, связанную с динамическими сообщениями в Gmail

ИБ-специалист заработал 5000 долларов, выявив XSS-уязвимость, связанную с динамическими сообщениями в Gmail.

Mozilla расширяет bug bounty программу и увеличивает размер вознаграждений

В честь пятнадцатилетия браузера Firefox организация Mozilla решила расширить свою программу вознаграждений за уязвимости, включив в нее целый ряд новых…

Google и Samsung исправили баг, позволявший приложениям следить за пользователями через камеру

Цепочка уязвимостей позволяла злоумышленникам перехватывать контроль над камерой устройства, а затем скрыто делать снимки или записывать видео, даже в том…

Уязвимость в WhatsApp позволяет удаленно скомпрометировать устройство пользователя

В WhatsApp недавно устранили критическую ошибку, при помощи которой злоумышленникам могли удаленно скомпрометировать устройство и похитить защищенные сообщения чата и…

Уязвимости в чипах Qualcomm приводят к раскрытию критических данных на устройствах

Эксперты Check Point обнаружили, что проблемы в Qualcomm Secure Execution Environment (QSEE) угрожают десяткам миллионов Android-устройств.

Разработчики Windows и Linux рассказывают, как отключить Intel TSX для борьбы с Zombieload 2

Разработчики ОС отреагировали на раскрытие данных об уязвимости Zombieload 2.

Исследователи выявили 37 уязвимостей в популярных реализациях VNC

Эксперты «Лаборатории Касперского» изучили различные реализации системы удаленного доступа Virtual Network Computing (VNC) и выявили множество проблем.

В антивирусных продуктах McAfee нашли опасный баг

Специалисты компании SafeBreach обнаружили опасный баг, затрагивающий McAfee Total Protection, Anti-Virus Plus и Internet Security. Уязвимость помогает обойти защитные механизмы…

Вторник обновлений: Microsoft исправила 0-day уязвимость в Internet Explorer

В этом месяце Microsoft устранила 74 уязвимости в своих продуктах, 13 из которых были оценены как критические, а одна уже…

Некоторые процессоры Intel уязвимы перед новой версией проблемы Zombieload

Уязвимость Zombieload 2 затрагивает процессоры Intel, выпущенные после 2013 года, с условием, что они поддерживают Intel TSX.

В Magento исправили RCE-уязвимость

Разработчики популярной ecommerce-платформы рекомендуют пользователям срочно обновиться, так как в Magento исправили уязвимость, позволяющую злоумышленнику выполнить произвольный код.

Эксплоит для BlueKeep исправят, чтобы он не провоцировал BSOD

Патч для процессорной проблемы Meltdown мешал корректной работе эксплоита для уязвимости BlueKeep. Разработчики уже занимаются исправлением модуля Metasploit.

Форумы ZoneAlarm взломаны из-за уязвимости в vBulletin

Форумы компании ZoneAlarm, принадлежащей Check Point, были взломаны, и пользовательские данные попали в руки злоумышленников.

Microsoft предупреждает, что атаки BlueKeep могут стать серьезнее

Хотя недавно проблему BlueKeep начали эксплуатировать для распространения майнеров, специалисты уверены, что в будущем ситуация может ухудшиться.

NVIDIA исправила уязвимости в GeForce Experience и драйверах

Инженеры NVIDIA выпустили обновления безопасности, устранив множество уязвимостей в своих продуктах.

Лазейка в Webmin. Как работает бэкдор в панели управления сервером

В популярной панели управления сервером Webmin обнаружилась уязвимость, которая больше всего похожа на оставленную кем-то закладку. Атакующий в результате может…

Умные дверные звонки Amazon ставят под угрозу пароли от Wi-Fi

Инженеры Amazon выпустили исправление для дверных звонков Ring Video Doorbell Pro, так как те содержали опасную уязвимость.

Уязвимость в Libarchive угрожает многим дистрибутивам Linux

Специалисты Google обнаружили опасный баг в составе библиотеки Libarchive. Проблема представляет угрозу для многих дистрибутивов Linux, но не затрагивает Windows…

Проблему BlueKeep начали эксплуатировать для реальных атак, с ее помощью распространяют майнер

Эксперты предупредили, что проблему BlueKeep эксплуатируют злоумышленники. К счастью, пока активен не саморазмножающийся червь: при помощи уязвимости распространяется лишь криптовалютный…

Google исправила 0-day уязвимость в Chrome

Инженеры Google выпустили Chrome 78.0.3904.87, где исправлена уязвимость нулевого дня, уже находящаяся под атаками.