Через уязвимость в vBulletin взломаны форумы для секс-работников
Болгарский хакер скомпрометировал несколько форумов, включая итальянские и нидерландские ресурсы для секс-работников (в этих…
0-day уязвимость в iTunes использовалась для распространения вымогателя
Шифровальщик BitPaymer распространялся, используя уязвимость нулевого дня в iTunes для Windows, которая помогала обойти анти…
Аудит выявил критический баг в эмуляторе терминала iTerm2 для macOS
Спонсируемый Mozilla аудит выявил критическую уязвимость в эмуляторе терминала iTerm2, которая приводит к удаленному выполне…
Уязвимость Drupalgeddon2 по-прежнему эксплуатируют хакеры
Эксперты Akamai предупреждают, что даже полтора года спустя уязвимость Drupalgeddon2 активно применяется для атак на крупные…
Как приручить руткит. Предотвращаем загрузку вредоносных модулей в Linux
Даже спустя двадцать с лишним лет (с 1997 года) руткиты на основе модулей ядра Linux все еще представляют вполне реальную угрозу. Несмотря на столь большой срок, наиболее частым советом при заражении «ядерным» руткитом до сих пор остается полная переустановка системы. Неужели нельзя без этого обойтись? Иногда можно.
Опубликован эксплоит для старых версий Joomla CMS
Уязвимость, обнаруженная специалистом Hacktive Security, распространяется на все версии Joomla с 3.0.0 до 3.4.6, выпущенные …
RCE-уязвимость в продуктах D-Link не будет исправлена
Хотя в ряде маршрутизаторов D-Link обнаружили серьезную уязвимость, приводящую к выполнению удаленного кода, она не будет ис…
Уязвимости Urgent/11 оказались опаснее, чем считали эксперты
Специалисты предупреждают, что уязвимости Urgent/11, информация о которых была обнародована летом текущего года, представляю…
Баг в Signal позволял подслушивать пользователей
Разработчики Signal устранили баг в мессенджере, который во многом похож на уязвимость, найденную в FaceTime в начале текуще…
0-day уязвимость в Android опасна для устройств Samsung, Xiaomi, Pixel и так далее
Аналитики команды Google Project Zero обнаружили в ядре Android опасный баг, перед которым уязвимы многие устройства, включа…
Выполнить произвольный код в WhatsApp можно с помощью GIF
Разработчики WhatsApp для Android исправили в своем приложении опасный баг. При помощи обычного файла GIF на уязвимом устрой…
«Крепче за баранку держись!» Кто и как обманывает «умные» автомобили
Совсем недавно у всех на слуху была громкая новость: случилась беда, «Тесла» рулит не туда! Как же после этого доверять «умным» машинам? Чтобы разобраться в серьезности угрозы для перспективной технологии, мы изучим архитектуру системы, историю вопроса, основные уязвимые точки и векторы атаки — а также посмотрим конкретные случаи.
Обнаружены 8 серьезных уязвимостей в VoIP-компонентах Android
Исследователи обнаружили восемь уязвимостей в VoIP-компонентах Android. Баги могут использоваться для несанкционированных вы…
Уязвимость в vBulletin использовали для взлома форумов Comodo. Пострадали 245 000 пользователей
Хотя разработчики vBulletin уже выпустили патч для свежей 0-day проблемы, обновление пока установили далеко не все, а злоумы…
Мошенники использовали баги в браузерах для показа миллиарда рекламных объявлений
Хак-группа eGobbler эксплуатировала уязвимости в Chrome для iOS, а также десктопных версиях Chrome и Safari, чтобы показыват…
В Exim устранена еще одна критическая уязвимость
Разработчики обновили Exim до версии 4.92.3, исправив критическую DoS-уязвимость, которая в теории позволяла злоумышленнику …
Атака PDFex позволяет извлекать данные из зашифрованных файлов PDF
Атака PDFex успешно работает против 27 решений для просмотра PDF, включая такие популярные продукты, как Adobe Acrobat, Foxi…
Свежую уязвимость в vBulletin уже используют ботнеты
0-day уязвимость в vBulletin, подробности о которой были опубликованы на прошлой неделе, уже взяли на вооружение операторы б…
Полет пчелы. Как работают сети ZigBee и как искать уязвимости в них
ZigBee — один из протоколов, который используют для домашней автоматизации. Его поддержкой наделяют умные лампочки, беспроводные выключатели, датчики движения и прочие устройства, которые повышают комфорт. Но насколько они безопасны? В этой статье я расскажу, как устроен ZigBee, и покажу, при помощи каких устройств и программ перехватывать его сигнал для изучения.
В iOS нашли уязвимость, связанную со сторонними клавиатурами
С релизом iOS 13.1 в операционной системе обнаружилась проблема, затрагивающая сторонние клавиатуры в iOS 13 и iPadOS.
Для 0-day бага в vBulletin появился патч, но уязвимость эксплуатировали годами
Неприятная ситуация вокруг RCE-уязвимости в форумном движке vBulletin продолжает развиваться. Как оказалось, эксперты Zerodi…
Опубликован эксплоит для неисправленной 0-day уязвимости в vBulletin
Уязвимость нулевого дня в vBulletin затрагивает десятки тысяч сайтов. Патча для этой проблемы пока нет.
Из-за бага хакеры могут получить удаленный доступ к файлам D-Link DNS-320
NAS-устройства D-Link DNS-320 ShareCenter были уязвимы перед багом, который позволяет удаленно получить полный контроль над …
Microsoft экстренно устранила 0-day уязвимости в составе IE и Microsoft Defender
Разработчики Microsoft выпустили срочные патчи для проблем CVE-2019-1367 и CVE-2019-1255, тем самым устранив две уязвимости …
Баг в реестре контейнеров Harbor позволяет любому получить права администратора
Специалисты Palo Alto Networks предупредили, что используя уязвимость в реестре контейнеров Harbor, любой пользователь может…
ВзломДля начинающих
В королевстве PWN. Препарируем классику переполнения буфера в современных условиях
Сколько раз и в каких только контекстах не писали об уязвимости переполнения буфера! Однако в этой статье я постараюсь предоставить универсальное практическое «вступление» для энтузиастов: от существующих на данный момент механизмов безопасности компилятора GCC до точечных особенностей разработки бинарных эксплоитов для срыва стека.
Опубликованы детали 0-day уязвимости в phpMyAdmin
ИБ-специалист опубликовал PoC-эксплоит и рассказал об уязвимости нулевого дня, затрагивающей все версии phpMyAdmin, вплоть д…
Опубликован список 25 самых опасных угроз по версии MITRE
Представители MITRE подготовили обновленный список из 25 наиболее опасных проблем и недочетов в ПО, которые приводят к возни…
GitHub теперь может присваивать уязвимостям идентификаторы CVE
Компания Microsoft приобрела инструмента для анализа кода Semmle, а GitHub стал CVE Numbering Authority, то есть теперь може…
125 уязвимостей обнаружены в роутерах и NAS популярных брендов
Аналитики Independent Security Evaluators вновь провели анализ SOHO-роутеров и устройств NAS в рамках проекта SOHOpelessly B…
Большинство атак приходится порты 22, 80 и 443
Специалисты компании Alert Logic проанализировали атаки на 4000 своих клиентов и перечислили в своем отчет основные слабые с…
В LastPass исправили баг, приводивший к утечке учетных данных
На прошлой неделе разработчики обновили менеджер паролей LastPass. Как выяснилось теперь, обновление исправило опасный баг, …
Раскрыты детали уязвимости в Chrome OS, связанной с функцией built-in security key
Пользователям Chromebook рекомендуют как можно скорее обновить свои устройства из-за критической уязвимости в эксперименталь…
Атака Simjacker использовалась для слежки за владельцами SIM-карт на протяжении двух лет
Исследователи описали атаку Simjacker, которая использует SMS-сообщения для передачи инструкций SIM Toolkit и S@T Browser на…
ВзломХардкор
Универсальный перехват. Как обойти SSLPinning раз и навсегда и читать трафик любого приложения
Очень часто исследование внутренней работы прикладных программ можно свести к исследованию их трафика, и чаще всего передается он по протоколам семейства HTTP. Но каждое приложение может по-своему защищаться от «прослушки». Сегодня мы постараемся выяснить, что общего есть у всех подходов к защите и как эту общую часть можно использовать для создания универсального метода перехвата HTTPS.
Файлы VHD и VHDX помогают обманывать антивирусы, а также защиту Gmail и Chrome
Образы дисков VHD и VHDX могут использоваться для обхода защитных решений и доставки малвари на целевую машину.
Некоторые роутеры D-Link и Comba раскрывают учетные данные в формате простого текста
Специалисты Trustwave обнаружили ряд уязвимостей в сетевом оборудовании производства D-Link и Comba Telecom. Баги позволяют …
В рамках сентябрьского «вторника обновлений» Microsoft устранила два 0-day бага
В этом месяце разработчики Microsoft исправили 80 уязвимостей, 17 из которых получили статус критических. Также две проблемы…
Уязвимость NetCAT угрожает серверным процессорам Intel
Исследователи опубликовали подробности об уязвимости NetCAT, которая угрожает всем процессорам Intel, поддерживающим Data-Di…
Apple утверждает, что Google преувеличила опасность, говоря о массовых взломах iOS
Представители Apple заявляют, что специалисты Google, недавно сообщившие о массовой компрометации пользователей iOS, длившей…
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
- доступ к платным материалам сайта
- доступ ко всем номерам PDF
4000 р.
на год
на год
920 р.
на месяц
на месяц
Материалы для подписчиков
Трюки
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире