Уязвимости

Электронная психобумага. Критическая уязвимость в Java позволяет подделывать электронные подписи и ключи

Всех, кто использует относительно новые версии Java-фреймворка Oracle, в минувшую среду ждал неприятный сюрприз: критическая уязвимость в Java, которая позволяет легко подделывать сертификаты и подписи TLS, сообщения двухфакторной аутентификации и данные авторизации. Исследователь из компании ForgeRock Нил Мэдден опубликовал в сети подробное описание уязвимости, с тезисами которого мы сегодня тебя познакомим.

Новости

В прошлом году Google Project Zero обнаружила рекордные 58 уязвимостей нулевого дня

Специалисты команды Google Project Zero назвали 2021 год рекордным на 0-day уязвимости, использовавшиеся хакерами, поскольку…

Новости

Патч, выпущенный Amazon для Log4Shell, позволял повысить привилегии

Специалисты предупреждают, что хотпатч, выпущенный компанией Amazon для защиты от нашумевшей проблемы Log4Shell, сам предста…

Новости

В контроллерах Mitsubishi обнаружены множественные уязвимости

Эксперты Positive Technologies обнаружили ряд проблем в моноблочных компактных контроллерах Mitsubishi FX5U серии MELSEC iQ-…

Новости

Свежий баг в Windows Print Spooler уже находится под атаками

Специалисты Агентства по инфраструктуре и кибербезопасности США (CISA) предупредили, что уязвимость в компоненте Windows Pri…

Новости

Уязвимости в Lenovo UEFI затрагивают более 100 моделей ноутбуков

Lenovo опубликовала бюллетень безопасности и предупредила о трех уязвимостях, которые затрагивают ее UEFI, который использую…

Новости

В Chrome снова нашли 0-day уязвимость и выпустили экстренный патч

Разработчики Google обновили браузер Chrome Windows, Mac и Linux до версии 100.0.4896.127, чтобы исправить серьезную уязвимо…

Новости

Эксперты предупреждают об опасности бага в Microsoft RPC

Исследователи обеспокоены из-за уязвимости CVE-2022-26809, которую Microsoft недавно исправила в Windows RPC. Дело в том, чт…

Новости

Критический баг в WordPress-плагине Elementor угрожает 500 000 сайтов

Критическая уязвимость, устраненная недавно в плагине Elementor для WordPress, позволяла аутентифицированным пользователям з…

Xakep #277

Взлом

ShadowCoerce. Как работает новая атака на Active Directory

В этой статье я покажу, как работает атака ShadowCoerce, которая использует службу теневого копирования (VSS) и позволяет принудить учетку контроллера домена Active Directory авторизоваться на узле злоумышленника. А это, как ты догадываешься, может привести к захвату домена.

Новости

Критические уязвимости в HP Teradici PCoIP угрожают 15 млн эндпоинтов

Компания HP предупредила о критических уязвимостях, исправленных в клиенте и агенте Teradici PCoIP для Windows, Linux и macO…

Новости

В продуктах Microsoft устранено 126 уязвимостей, включая две проблемы нулевого дня

В рамках апрельского «вторника обновлений» было исправлено более 120 багов, затрагивающих Windows, Defender, Office, Exchang…

Новости

Разработчики Nginx изучили сообщения о критической уязвимости в веб-сервере

Хакерская группировка BlueHornet сообщила, что в ее распоряжении есть работающий эксплоит для уязвимости в Nginx 1.18. Разра…

Новости

Проблема Spring4Shell используется для установки Mirai

Эксперты компании Trend Micro сообщают, что недавно обнаруженная проблема Spring4Shell с начала апреля активно используется …

Новости

Apple оставила без исправлений критические баги в macOS Big Sur и Catalina

На прошлой неделе Apple исправила две активно эксплуатируемые уязвимости в macOS Monterey, но аналитики Intego подчеркивают,…

Новости

В PEAR исправлен баг 15-летней давности

В PEAR (сокращение от PHP Extension and Application Repository) обнаружена уязвимость 15-летней давности, которая позволяла …

Новости

Критический баг в GitLab позволяет захватывать чужие аккаунты

В GitLab устранили критическую уязвимость, которая позволяла удаленным злоумышленникам получать доступ к учетным записям пол…

Новости

Apple выпустила экстренные патчи для 0-day уязвимостей в iOS, iPadOS и macOS

Разработчики Apple выпустили патчи для устранения двух уязвимостей нулевого дня, которые могли использоваться для компромета…

Новости

В Java-фреймворке Spring обнаружили критическую 0-day уязвимость

В популярном фреймворке была обнаружена критическая уязвимость, получившая имя Spring4Shell. Баг допускает удаленное выполне…

Новости

Уязвимости Wyze Cam позволяют получить удаленный доступ к сохраненным видео

Компания Bitdefender рассказала об уязвимости, обнаруженной в камерах безопасности Wyze Cam. Оказалось, баг существует в код…

Новости

В Sophos Firewall устранили RCE-уязвимость

Разработчики Sophos предупредили, что RCE-уязвимость, связанная с Sophos Firewall, уже активно используется в атаках.

Новости

Проблемы в рендеринге URL позволяют обманывать пользователей WhatsApp, Signal, iMessage

Более трех лет особенности работы рендеринга URL-адресов в мессенджерах iMessage, WhatsApp, Signal и многих других позволяли…

Новости

Баг в автомобилях Honda позволяет удаленно завести и открыть машину

ИБ-специалисты обнаружили, что баги в некоторых моделях автомобилей Honda и Acura позволяют атакующему разблокировать автомо…

Новости

В Western Digital My Cloud OS исправили критическую уязвимость

Компания Western Digital выпустила новую версию My Cloud OS, где исправлена уязвимость, которую ранее использовали для удале…

Новости

Северокорейские хакеры использовали 0-day баг в Chrome

Северокорейские правительственные хакеры эксплуатировали уязвимость нулевого дня для удаленного выполнения кода в браузере G…

Новости

Баги в Dell BIOS затрагивают множество устройств серий Alienware, Inspiron, XPS и Vostro

В Dell BIOS были обнаружены пять новых уязвимостей, которые, в случае успешной эксплуатации, могут привести к выполнению код…

Новости

RCE-уязвимости угрожают многим моделям принтеров HP

Компания HP опубликовала информацию о трех критических уязвимостях, затрагивающих сотни моделей принтеров LaserJet Pro, Page…

Новости

Сбербанк призвал пользователей временно отказаться от обновления ПО

В пресс-службе Сбербанка заявили, что участились случаи «внедрения в свободно распространяемое ПО провокационного медиаконте…

Новости

Устранены уязвимости в решениях для резервного копирования Veeam

Специалисты Positive Technologies сообщают, что обнаружили и помогли устранить уязвимости в решениях для резервного копирова…

Новости

Qnap предупредила, что уязвимость Dirty Pipe затрагивает большинство NAS компании

Тайваньская компания Qnap предупреждает пользователей, что недавно обнаруженная в Linux проблема Dirty Pipe, позволяющая зло…

Новости

Около 30% критических уязвимостей в плагинах для WordPress остаются без исправлений

Аналитики компании Patchstack выпустили отчет, посвященный безопасности WordPress в 2021 году. К сожалению, картина получила…

Новости

Уязвимости в APC Smart-UPS позволяют удаленно повреждать устройства

Обнаружены три критические 0-day уязвимости, получившие общее название TLStorm. Баги позволяют хакерам установить полный кон…

Новости

Исследователи рассказали, как усилить DDoS-атаку в 4 млрд раз

Эксперты компании Akamai обнаружили уникальный вектор усиления DDoS-атак, который позволяет добиться отражения или усиления …

Новости

Microsoft исправила 71 уязвимость и три 0-day бага в своих продуктах

На этой неделе компания Microsoft выпустила мартовский набор патчей и устранила три уязвимости нулевого дня, в общей сложнос…

Новости

16 опасных уязвимостей исправлены в UEFI устройств HP

Компания Binarly, специализирующаяся на безопасности прошивок, обнаружила более десятка уязвимостей, затрагивающих UEFI на у…

Новости

Уязвимость Dirty Pipe позволяет получить root-права почти во всех дистрибутивах Linux

Раскрыты данные об уязвимости локального повышения привилегий в Linux, получившей название Dirty Pipe. Для проблемы, которая…

Новости

Экстренное обновление для Firefox устранило две 0-day уязвимости

В минувшие выходные разработчики Mozilla выпустили экстренное обновление безопасности для Firefox. Срочные патчи устранили в…

Новости

Компания Google выплатила более 100 000 долларов за уязвимости, исправленные в Chrome 99

Компания Google представила стабильную версию браузера Chrome 99, в которой было исправлено 28 уязвимостей, 21 из которых б…

Новости

Злоупотребление различными API выросло на 600% за 2021 год

Аналитики Salt Security предупреждают о резком росте атак на API за последний год. При этом подчеркивается, что большинство …

Новости

Миллионы устройств Samsung подвержены аппаратной криптографической проблеме

Группа ученых из Тель-Авивского университета раскрыла подробности уже исправленных аппаратных уязвимостей, которые затрагива…

Бумажный спецвыпуск

Еженедельный дайджест

Партнерам

«Хакер» в соцсетях

Материалы для подписчиков