Проблемы с десериализацией добрались до Ruby
Связанные с десериализацией уязвимости уже давно представляют угрозу для Java, .NET и PHP. Теперь такая же проблема коснулас…
Инженеры Cisco удалили из своих продуктов уже седьмой бэкдор в этом году
В свитчах Cisco Small Business обнаружен дефолтный аккаунт, дающий полный доступ к устройству.
Баг в Steam позволял узнать ключи активации для любой игры
Уязвимость, связанная с платформой Steamworks, позволяла узнать все CD-key для любой игры.
Фото, видео и бортовые журналы дронов DJI были доступны третьим лицам
Специалисты Check Point нашли серьезные проблемы в инфраструктуре DJI, позволявшие получить доступ к чужим данным.
Ноябрьский набор обновлений для Android: критические уязвимости и отказ от библиотеки Libxaac
Ноябрьское обновление для Android содержит исправления для десятков уязвимостей, включая критические RCE-баги.
XSS-уязвимость в Evernote позволяла читать файлы и выполнять произвольные команды
В Evernote для Windows исправили уязвимость, допускавшую проведение stored XSS атак.
Баг в WordPress и уязвимость в плагине WooCommerce приводят к полной компрометации сайта
Недочет в системе управления привилегиями плагинов, в сочетании с уязвимостью в WooCommerce представляют опасность для сайто…
Обнаружена новая RCE-уязвимость в браузере Edge
ИБ-специалист рассказал в Twitter о 0-day уязвимости в Microsoft Edge и продемонстрировал работу PoC-эксплоита.
Уязвимости в популярных моделях SSD позволяют обойти шифрование
SSD, поддерживающие аппаратное шифрование, оказались под угрозой из-за уязвимостей в спецификациях ATA Security и TCG Opal.
Миллионы устройств с поддержкой BLE уязвимы перед удаленными атаками из-за проблемы Bleedingbit
Эксперты обнаружили две критические уязвимости в BLE-чипах производства компании Texas Instruments. Баги представляют опасно…
Google Home Hub можно вывести из строя с помощью простого cURL запроса
API недавно запущенного «умного» дисплея Google Home Hub позволяет управлять им с любых устройств, расположенных в той же бе…
Серьезную проблему в Cisco ASA и FTD уже эксплуатируют хакеры
Новой DoS-уязвимости повержены ASA 9.4+ и FTD 6.0+. Патча для проблемы пока нет.
Из-за логической ошибки в документах Microsoft Word встраивание видео ведет к исполнению кода
Исследователи обнаружили проблему в Microsoft Office 2016 и выше, из-за которой злоумышленник может злоупотребить опцией Onl…
Десктопный клиент Telegram хранит чаты в незашифрованном виде
ИБ-специалист, недавно нашедший уязвимость в мессенджере Signal, решил исследовать Telegram и обнаружил похожую проблему и в…
Баг в Windows 10 UWP давал сторонним разработчикам доступ ко всем файлам пользователей
Проблема в Windows 10 позволяет приложениям UWP (Universal Windows Platform) получить доступ к файловой системе без разрешен…
Ботнет DemonBot атакует уязвимые серверы Hadoop
Эксперты Radware обнаружили ботнет DemonBot, заражающий DDoS-малварью уязвимые установки Hadoop с неверно настроенным YARN.
Новая уязвимость угрожает многим дистрибутивам Linux и BSD
Различные вариации Linux и BSD, использующие X.Org Server, уязвимы перед проблемой повышения привилегий.
У мессенджера Signal проблемы: незашифрованные сообщения на диске и ключи шифрования в открытом виде
В защищенном мессенджере обнаружили несколько багов, угрожающих безопасности переписки.
Захват Ваканды. Ломаем виртуальную машину с VulnHub
Сегодня мы займемся взломом виртуальных машин с VulnHub — ресурса, который предоставляет образы операционных систем с сервисами, в которых «зашиты» уязвимости. Он создавался, чтобы каждый мог получить практический опыт в области цифровой безопасности и сетевого администрирования. Все, что необходимо: скачать образ виртуалки, правильно настроить сеть и запустить.
В кампании MageCart задействованы уязвимости как минимум в 20 расширениях для Magento
Исследователь пытается идентифицировать все уязвимые расширения для Magento, которые эксплуатирует кампания MageCart.
Еще одну 0-day уязвимость в Windows раскрыли через Twitter
ИБ-спецалист SandboxEscaper уже во второй раз опубликовал в Twitter информацию о 0-day уязвимости в Windows, приложив ссылку…
Многочисленные уязвимости в FreeRTOS угрожают безопасности IoT-устройств
Исследователи нашли множество проблем в операционной системе FreeRTOS, что ставит под угрозу как домашние IoT-устройства, та…
Разработчики Branch.io исправили одну XSS-уязвимость, но патч лишь создал новую
Разработчики branch.io устранили найденный недавно XSS-баг, но их корректировки лишь создали новую проблему.
Опубликованы сканеры и эксплоиты для уязвимости в библиотеке libssh
Индустрия отреагировала на обнаружение критического бага в libssh, и исследователи пишут сканеры и эксплоиты.
Баг в библиотеке live555 неопасен для VLC и MPlayer
Аналитики Cisco ввели сообщество и СМИ в заблуждение, создав впечатление, что уязвимость в библиотеке live555 угрожает VLC и…
В Drupal исправили несколько уязвимостей, включая две RCE
Разработчики Drupal устранили ряд багов в 7 и 8 ветках CMS, включая две проблемы, допускающие удаленное исполнение кода.
0-day баг в популярном jQuery плагине эксплуатировали как минимум несколько лет
Баг обнаружили в плагине jQuery File Upload. Под угрозой оказались сотни, а возможно, тысячи проектов.
Эксплоиты в десятку. Обзор самых интересных докладов с мировых ИБ-конференций
В последние годы мы отучились воспринимать Windows как нечто невероятно дырявое. Эта операционка определенно стала более стойкой к хакерским атакам, и основной поток ненависти пользователей она теперь собирает с помощью своих глючных апдейтов. Впрочем, последние доклады с ИБ-конференций показывают, что и с безопасностью у нее все далеко не идеально.
Найден способ подменить относительный идентификатор RID и повысить привилегии в Windows
Специалист компании CSL нашел способ подменять RID в Windows, что позволяет получить права админа и добиться устойчивого при…
Данные пользователей Tumblr «утекали» через виджет рекомендованных блогов
Блогинговая платформа Tumblr сообщила о баге, из-за которого личные данные пользователей подвергались опасности.
Опасные баги позволяют перехватить контроль над роутерами D-Link
Восемь моделей роутеров D-Link уязвимы перед атаками, но лишь две из них получат исправления.
Критическая уязвимость в библиотеке libssh угрожает тысячам серверов
Баг в библиотеке Libssh позволяет легко обойти аутентификацию и получить контроль над уязвимым сервером.
Инженеры Oracle исправили более 300 багов в своих продуктах
Oracle устранила более 300 уязвимостей в своих решениях, однако это не самый большой пакет патчей в истории компании.
Баг в Branch.io поставил под угрозу XSS-атак Tinder, Shopify, Yelp
Порядка 685 000 000 пользователей Tinder, Shopify, Yelp и других сервисов оказались в опасности из-за уязвимости Branch.io.
Уязвимость нулевого дня в Windows эксплуатировали в странах Ближнего Востока
Обнаружена серия целевых атак на Ближнем Востоке. Злоумышленники применяли новый эксплоит, который использовал уязвимость ну…
Уязвимость в Microsoft JET недавно была исправлена, но оказалось, что не до конца
Баг, обнаруженный специалистами Trend Micro Zero Day Initiative в конце сентября был исправлен в рамках октябрьского «вторни…
Найдена уязвимость RCE в браузере Edge, PoC есть в открытом доступе
Для срабатывания бага достаточно зайти на веб-страницу, и на компьютере выполнится вредоносный код.
В WhatsApp нашли уязвимость, которая срабатывает при ответе на звонок
Во время видеовызова жертва получает неправильный пакет RTP, что и приводит к ошибке и сбою в работе мобильного приложения.
Эксплуатируем Open Redirect. Как открытый редирект используют для фишинга и DDoS
Уязвимости типа Open Redirect позволяют перенаправить пользователя на фишинговый сайт или заставить скачать руткит под видом полезного ПО. Несмотря на всю опасность этих уязвимостей, закрывать их не спешат даже в Google. Давай разберемся, почему так вышло и как работают разные атаки с Open Redirect.
Защиту от рансомвари Windows 10 можно обойти с помощью инъекции DLL
Имея доступ к компьютеру жертвы, можно внедрить вредоносную DLL в Explorer и обойти защиту. В Microsoft не считают это багом…
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
- доступ к платным материалам сайта
- доступ ко всем номерам PDF
4000 р.
на год
на год
920 р.
на месяц
на месяц
Материалы для подписчиков
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире