Уязвимости

Новости

Срочные патчи Adobe устранили критические проблемы в Acrobat и Reader

Разработчики Adobe исправили 14 уязвимостей в Acrobat и Reader, а также удалили компоненты Flash из новых версий своих проду…

Новости

В Chrome исправили еще одну 0-day уязвимость. На этот раз в версии для Android

Инженеры Google устранили третью уязвимость нулевого дня в Chrome за последние недели. Теперь пользователям Android-устройст…

Xakep #259

Взлом

Уязвимости в OAuth. Глава из книги «Ловушка для багов. Полевое руководство по веб-хакингу»

OAuth — это открытый протокол, который упрощает и стандартизирует безопасную авторизацию в вебе, на мобильных устройствах и в настольных приложениях. Он позволяет регистрироваться без указания имени пользователя и пароля и часто применяется для входа с помощью Facebook, Google, LinkedIn, Twitter и т. д. Уязвимости в OAuth, учитывая их распространенность, заслуживают обсуждения.

Новости

Oracle выпустила экстренный патч для критического бага WebLogic

Инженеры компании Oracle были вынуждены выпустить «патч для патча», так как обнаружили, что недавно выпущенное исправление д…

Новости

CERT запустил Twitter-бота, придумывающего имена для уязвимостей

Специалисты координационного центра CERT (CERT/CC) запустили специального Twitter-бота, который будет «придумывать» случайн…

Новости

Специалисты Google Project Zero обнаружили 0-day уязвимость в ядре Windows

Специалисты Google Project Zero рассказали о проблеме нулевого дня в ядре Windows. Сообщается, что данный баг может использо…

Новости

Критическая уязвимость в Oracle WebLogic уже находится под атаками

Разработчики Oracle предупреждают: исправленная недавно критическая уязвимость CVE-2020-14882, набравшая 9,8 баллов из 10 по…

Xakep #258

Взлом

NPM Hijacking. Встраиваем произвольный код в приложения на Node.js

С веб‑страниц JavaScript пришел на серверы, а с серверов — на десктопы, и старые баги заиграли новыми красками. В этой статье я покажу, как работает NPM Hijacking (Planting) — уязвимость Node.js, которая нашлась во многих популярных приложениях, среди которых Discord и VS Code.

Новости

Разработчики Qnap предупредили об опасных багах в QTS

Компания Qnap выпустила обновление для своей операционной системы QTS, сообщив об исправлении сразу двух уязвимостей, связан…

Новости

Уязвимость в Discord позволяла удаленно выполнить произвольный код

Разработчики Discord исправили критическую уязвимость в декстопной версии своего приложения. Нашедший баг исследователь зара…

Новости

АНБ опубликовало список уязвимостей, наиболее популярных у китайских хакеров

На этой неделе Агентство национальной безопасности США опубликовало список с подробным описанием 25 уязвимостей, которые чащ…

Новости

Проблема Zerologon представляет угрозу для некоторых NAS производства Qnap

Представители Qnap предупредили, что уязвимость Zerologon (CVE-2020-1472), исправленная Microsoft в рамках августовского «вт…

Новости

Разработчики WordPress принудительно обновили уязвимый плагин

На крайние меры были вынуждены пойти разработчики WordPress на этой неделе. Более миллиона сайтов использовали версию плагин…

Новости

Многие мобильные браузеры уязвимы перед спуфингом адресной строки

Аналитики компании Rapid7 обнаружили, что семь популярных мобильных браузеров позволяют вредоносным сайтам изменять свой URL…

Новости

В Google Chrome исправлена 0-day уязвимость, находящаяся под атаками

Инженеры Google выпустили обновленную версию Google Chrome (86.0.4240.111), в которой исправили уязвимость нулевого дня, нах…

Новости

Теперь JScript в Internet Explorer можно отключить

Разработчики компании Microsoft добавили в Windows новую функцию, которая позволяет системным администраторам отключать комп…

Новости

Microsoft выпустила экстренные патчи для Windows и Visual Studio

Октябрьский «вторник обновлений» уже миновал, и теперь Microsoft представила внеплановые исправления для двух RCE-уязвимосте…

Новости

Критический баг угрожает устройствам SonicWall

Эксперты компании Tripwire предупредили, что почти 800 000 устройств SonicWall, доступные через интернет, уязвимы перед новы…

Новости

Уязвимость в Jira позволяла получить конфиденциальную информацию о пользователях

Специалист Positive Technologies обнаружил баг, который позволял определить наличие в системе учетной записи с тем или иным …

Новости

Эксперты Google и Intel предупредили об опасных Bluetooth-багах в Linux

Исследователи предупреждают о серьезных Bluetooth-уязвимостях, которые угрожают всем версиям ядра Linux, кроме самой последн…

Новости

Компания Adobe устранила очередную критическую уязвимость во Flash Player

В этом месяце, в рамках «вторника обновлений», компания Adobe устранила всего один критический недостаток в своей продукции …

Новости

Microsoft исправила 87 уязвимостей, включая 21 RCE-баг

Октябрьский «вторник обновлений» принес исправления для 21 уязвимости удаленного выполнения кода (RCE) в таких продуктах, ка…

Новости

Для атак на правительственные сети проблему Zerologon объединяют с VPN-уязвимостями

Американские правоохранители предупредили, что хакеры получают доступ к правительственным сетям, комбинируя уязвимость Zerol…

Новости

Команда исследователей обнаружила 55 уязвимостей в продуктах Apple и заработала 288 000 долларов

Группа из пяти исследователей потратила три месяца и сотни человеко-часов на поиски уязвимостей на сайтах Apple. Но за обна…

Новости

Microsoft выплатила 374 000 долларов за уязвимости в Azure Sphere

Microsoft выплатила ИБ-исследователям вознаграждения на сумму 374 300 долларов США в рамках конкурса Azure Sphere Security R…

Новости

Разработчики Qnap исправили баг, приводивший к захвату контроля над устройством

Инженеры компании Qnap устранили две критические уязвимости в приложении Helpdesk, которые позволяли злоумышленникам захвати…

Новости

Мужские пояса верности Cellmate оказались уязвимы для атак и опасны для пользователей

Аналитики Pen Test Partners изучили крайне необычный девайс: мужской пояс верности Cellmate, производства китайской компании…

Новости

Мошенники используют Zoom для рассылки фишинговых писем

Исследователи Group-IB заметили, что злоумышленники активно эксплуатируют бренд сервиса для видеоконференций Zoom и присылаю…

Новости

Джейлбрейкеры уверяют, что научились ломать чипы Apple T2

Исследователи утверждают, что, объединив два эксплоита, изначально разработанных для взлома iPhone (checkm8 и Blackbird), он…

Новости

Эксперты CyberArk Labs выявили баги в популярных антивирусах

Согласно отчету CyberArk Labs, высокие привилегии антивирусного ПО делают его более уязвимыми. В итоге защитные решения могу…

Новости

В платформе для знакомств Grindr исправили баг, позволявший захватывать чужие аккаунты

Злоумышленники могли легко захватить любую учетную запись Grindr, если знали адрес электронной почты пользователя.

Новости

IoT-ботнет Ttint эксплуатирует 0-day уязвимости в роутерах Tenda

Эксперты китайской компании Qihoo 360 обнаружили новый IoT-ботнет, весьма интересный с технической точки зрения и обладающий…

Новости

Google создаст специальную команду для поиска багов в особо важных приложениях

Компания Google набирает команду ИБ-специалистов, чьей задачей будет изучение важных приложений для Android на предмет уязви…

Новости

В HP Device Manager нашли скрытый бэкдор

Исследователи обнаружили ряд проблем в HP Device Manager, включая бэкдор, слабое шифрование и возможность повышения привилег…

Xakep #258

Взлом

Сканирование уязвимостей. Глава из книги «Kali Linux. Тестирование на проникновение и безопасность»

Сканирование уязвимостей — процесс выявления и анализа критических недостатков безопасности в целевой среде. Иногда эту операцию называют оценкой уязвимости. Сканирование уязвимостей — одна из основных задач программы выявления и устранения этих недостатков. С его помощью можно проанализировать все элементы управления безопасностью ИТ-инфраструктуры.

Новости

В маршрутизаторах Cisco устранены серьезные уязвимости, находящие под атаками

Разработчики Cisco устранили две активно используемые хакерами DoS-уязвимости в IOS XR, под управлением которой работают мар…

Новости

Инженеры Qnap объяснили, как защититься от AgeLocker

Летом текущего года шифровальщик AgeLocker стал атаковать NAS компании Qnap. Эксперты компании разобрались в том, как вредон…

Новости

Уязвимость в Instagram позволяла захватить контроль над чужим устройством

Эксперты Check Point обнаружили опасную уязвимость в Instagram, которая позволяла захватить учетную запись пользователя и пр…

Новости

Microsoft предупреждает: обнаружены атаки на уязвимость Zerologon

Инженеры компании Microsoft предупреждают, что хакеры начали эксплуатировать проблему Zerologon, исправленную в рамках авгу…

Xakep #258

Взлом

Секрет виджета. Эксплуатируем новую опасную уязвимость в форуме vBulletin

Примерно год назад я писал об уязвимости в форуме vBulletin, которая давала любому пользователю возможность выполнять произвольные команды в системе и была больше похожа на бэкдор. Разработчики оперативно исправили баг, но в конце августа 2020 года была найдена возможность обойти патч и вновь воспользоваться этой уязвимостью.

25 лет «Хакеру»!

Еженедельный дайджест

Партнерам

«Хакер» в соцсетях

Материалы для подписчиков

Из рубрики «Взлом»

Трюки

Последние новости

Исходники macOS-стилера Banshee попали в открытый доступ

Zello просит пользователей сменить пароли

Исследователи обнаружили первый в истории Linux-буткит Bootkitty

Группировка RomCom применяет в атаках уязвимости нулевого дня в Firefox и Windows

В рамках операции Serengeti арестованы более 1000 человек