Microsoft прекращает разработку RDCMan из-за бага
Компания Microsoft прекратила разработку приложения Remote Desktop Connection Manager (RDCMan) после обнаружения в нем уязви…
WordPress-плагин Popup Builder поставил под угрозу 100 000 сайтов
Более 100 000 сайтов оказались уязвимы перед атаками из-за проблем в популярном плагине для WordPress.
ВзломХардкор
Досим ModSecurity. Как работает критический баг в популярном WAF
В ModSecurity — известном WAF для Apache, IIS и nginx — нашли критическую уязвимость, которая приводит к отказу в обслуживании. Причем завершает работу не только сама библиотека, но и приложения, которые ее вызывают. Давай разберемся, в чем ошиблись разработчики ModSecurity и как эксплуатировать эту лазейку при пентестах.
С 2014 года баг позволяет похищать 2ФА коды из приложения Google Authenticator
Приложение Google Authenticator позволяет другим приложениям делать скриншоты своих одноразовых кодов. Впервые инженерам Goo…
Microsoft выпустила патч для уязвимости с потенциалом червя
Исправление для бага CVE-2020-0796, не вошедшее в состав «вторника обновлений», настоящее время уже распространяется для си…
Из-за опасного бага Avast отключает JavaScript-движок в своем антивирусе
Специалист компании Google обнаружил опасную проблему в одном из компонентов антивируса Avast. В итоге разработчики были вын…
Современная оперативная память по-прежнему уязвима перед атаками Rowhammer
Исследователям удалось обойти защиту TRR, что делает современную оперативную память уязвимой перед атаками Rowhammer.
Мартовские патчи Microsoft: новый баг в Windows SMBv3 имеет потенциал червя
«Вторник обновлений» принес не только исправления, но и тревожное известие о новой уязвимости с потенциалом червя, которая п…
Из-за новых атак LVI процессорам Intel снова понадобятся аппаратные исправления
У процессоров Intel опять проблемы: от атак Load Value Injection (LVI), связанных с уязвимостью Meltdown, нельзя полностью з…
Процессоры AMD, выпущенные за последние девять лет, уязвимы перед двумя атаками
Эксперты сообщили, что процессоры AMD уязвимы перед атаками Collide + Probe и Load + Reload. Обе проблемы влияют на безопасн…
Исследователи нашли около 700 проблемных поддоменов Microsoft, включая mybrowser.microsoft.com
Исследователи предупреждают, что более 600 легитимных поддоменов компании Microsoft могут быть использованы для фишинговых а…
Процессоры Intel подвержены неустранимой уязвимости
Эксперты Positive Technologies сообщают, что ошибка в неперезаписываемой области памяти (ROM) чипсета потенциально позволяет…
Уязвимость позволяла осуществлять омографические атаки
Исследователи Soluble обнаружили, что ошибка со стороны компании Verisign позволяла регистрировать домены с использованием о…
NVIDIA исправила серьезные DoS-уязвимости в своем драйвере и не только
Разработчики NVIDIA устранили ряд проблем в драйверах компании, а также в составе NVIDIA Virtual GPU Manager.
Эксперты продолжают обнаруживать уязвимости в плагинах для WordPress
Атаки на уязвимые плагины для WordPress становятся настоящим трендом, а проблемных плагинов обнаруживают все больше.
В 2019 году компания Intel устранила 236 уязвимостей, но только 11 из них касались процессоров
На прошедшей недавно в США конференции RSA 2020 компания Intel поделилась интересной статистикой. Оказывается, лишь 5% уязви…
Уязвимость Ghostcat опасна для всех версий Apache Tomcat, вышедших за 13 лет
Новая проблема позволяет злоумышленникам читать файлы и устанавливать бэкдоры на уязвимых серверах.
ВзломДля начинающих
Hack the web! Как проверить сайт на уязвимости и как их эксплуатируют
Взлом сайтов — один из самых распространенных типов атак. Если тебе интересно, как взламывают сайты и на что нужно обратить внимание, чтобы защитить свой ресурс, то эта статья для тебя. Здесь я разберу самые начала пентеста веб-приложений и на примерах покажу, как работать с популярными движками.
Проблема Kr00k опасна для Wi-Fi устройств с чипами Broadcom и Cypress
Уязвимость Kr00k может использоваться для перехвата и дешифровки Wi-Fi трафика (WPA2). Проблеме подвержены любые устройства,…
Уязвимость нулевого дня исправлена в NAS компании Zyxel
Критическая уязвимость CVE-2020-9054 затрагивает несколько моделей NAS компании и позволяет удаленно выполнить произвольный …
Инженеры Google исправили 0-day уязвимость в Chrome, которая уже находилась под атаками
Разработчики Google выпустил обновление для браузера Chrome, которое устраняет три ошибки, включая уязвимость нулевого дня, …
Новая уязвимость в LTE угрожает практически всем современным смартфонам
Эксперты из Рурского университета сообщили о проблеме IMP4GT, которой подвержены практически все современные устройства с по…
Adobe выпустила внеплановые патчи для критических уязвимостей в After Effects и Media Encoder
Компания Adobe выпустила два срочных патча для критических уязвимостей, которые могут привести к удаленному выполнению произ…
Опасные уязвимости в WordPress-плагинах ThemeREX и ThemeGrill используются для атак
Уязвимости нулевого и первого дня в популярных плагинах для WordPress уже находятся под атаками. С их помощью злоумышленники…
Уязвимости SweynTooth угрожают множеству продуктов с поддержкой BLE
Группа исследователей из Сингапура выявила ряд опасных проблем в SDK для Bluetooth Low Energy (BLE), которые разрабатываются…
Samsung вносит поправки в ядро Android, но они лишь ухудшают безопасность
Специалист Google Project Zero заявил, что механизмы безопасности, добавленные инженерами Samsung в ядро Android, не только …
82% уязвимостей в веб-приложениях содержатся в исходном коде
Эксперты Positive Technologies проанализировали состояние защищенности веб-приложений и выяснили, что в 9 случаях из 10 злоу…
Microsoft призвала администраторов Exchange отключить SMBv1 для защиты от малвари
Компания Microsoft настоятельно рекомендует администраторам отключить протокол SMBv1 на серверах Exchange, так как им активн…
Adobe устранила 42 бага, 34 из которых были критическими
Февральские обновления Adobe суммарно исправляют 42 уязвимости в Framemaker, Acrobat и Reader, Flash Player, Digital Edition…
Серверы Jenkins могут использоваться для амплификации DDoS-атак
Разработчики Jenkins предупредили, что недавно исправленная уязвимость CVE-2020-2100 может применяться для усиления DDoS-ата…
В утилите SupportAssist, установленной на устройствах Dell, снова нашли проблему
Специалисты Cyberark обнаружили уязвимость в утилите SupportAssist, предустановленной на большинстве компьютеров Dell под уп…
Около 80% организаций установили исправления для уязвимости в Citrix
Уязвимость CVE-2019-19781, которая затрагивает ряд версий Citrix Application Delivery Controller (ADC), Citrix Gateway, а та…
Вымогатель RobbinHood устанавливает на компьютеры жертв уязвимые драйверы Gigabyte
Эксперты Sophos рассказали об интересной тактике, которую применяют операторы шифровальщика RobbinHood. Чтобы отключить защи…
Критический Bluetooth-баг в Android не требует взаимодействия с пользователем
Разработчики Google выпустили февральские обновления дл Android. Среди них – исправление критической уязвимости в Bluetooth-…
Умные лампочки Philips Hue позволяют заразить сеть малварью
Специалисты Check Point предупредили, что злоумышленники могут использовать уязвимости в протоколе ZigBee для доставки малва…
В сети Министерства обороны США нашли майнинговую малварь
Сервер Jenkins, принадлежащий Министерству обороны США, был заражен майнинговым вредоносом для добычи Monero.
Критические уязвимости в Cisco Discovery Protocol угрожают миллионам устройств
Специалисты Armis обнаружили сразу пять серьезных уязвимостей в составе Cisco Discovery Protocol.
Проблема в WhatsApp позволяла получить доступ к локальным файлам
Facebook устранила критическую уязвимость в WhatsApp. Баг позволял читать файлы из локальной файловой системы, как на macOS,…
Dropbox выплатила более миллиона долларов по программе bug bounty
Компания Dropbox сообщила, что выплаты исследователям за найденные уязвимости перешагнули отметку в миллион долларов.
Эксперты обманули автопилот Tesla при помощи проектора за 300 долларов
Исследователи заставили Tesla Model X поверить, что 2D-проекции людей, машин и дорожных знаков абсолютно реальны.
Бумажный выпуск
Материалы для подписчиков
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире