Сегодня мы займемся взломом виртуальных машин с VulnHub — ресурса, который предоставляет образы операционных систем с сервисами, в которых «зашиты» уязвимости. Он создавался, чтобы каждый мог получить практический опыт в области цифровой безопасности и сетевого администрирования. Все, что необходимо: скачать образ виртуалки, правильно настроить сеть и запустить.
В защищенном мессенджере обнаружили несколько багов, угрожающих безопасности переписки.
Исследователь пытается идентифицировать все уязвимые расширения для Magento, которые эксплуатирует кампания MageCart.
ИБ-спецалист SandboxEscaper уже во второй раз опубликовал в Twitter информацию о 0-day уязвимости в Windows, приложив ссылку…
Исследователи нашли множество проблем в операционной системе FreeRTOS, что ставит под угрозу как домашние IoT-устройства, та…
Разработчики branch.io устранили найденный недавно XSS-баг, но их корректировки лишь создали новую проблему.
Индустрия отреагировала на обнаружение критического бага в libssh, и исследователи пишут сканеры и эксплоиты.
Аналитики Cisco ввели сообщество и СМИ в заблуждение, создав впечатление, что уязвимость в библиотеке live555 угрожает VLC и…
Разработчики Drupal устранили ряд багов в 7 и 8 ветках CMS, включая две проблемы, допускающие удаленное исполнение кода.
В последние годы мы отучились воспринимать Windows как нечто невероятно дырявое. Эта операционка определенно стала более стойкой к хакерским атакам, и основной поток ненависти пользователей она теперь собирает с помощью своих глючных апдейтов. Впрочем, последние доклады с ИБ-конференций показывают, что и с безопасностью у нее все далеко не идеально.
Баг обнаружили в плагине jQuery File Upload. Под угрозой оказались сотни, а возможно, тысячи проектов.
Специалист компании CSL нашел способ подменять RID в Windows, что позволяет получить права админа и добиться устойчивого при…
Блогинговая платформа Tumblr сообщила о баге, из-за которого личные данные пользователей подвергались опасности.
Восемь моделей роутеров D-Link уязвимы перед атаками, но лишь две из них получат исправления.
Баг в библиотеке Libssh позволяет легко обойти аутентификацию и получить контроль над уязвимым сервером.
Oracle устранила более 300 уязвимостей в своих решениях, однако это не самый большой пакет патчей в истории компании.
Порядка 685 000 000 пользователей Tinder, Shopify, Yelp и других сервисов оказались в опасности из-за уязвимости Branch.io.
Обнаружена серия целевых атак на Ближнем Востоке. Злоумышленники применяли новый эксплоит, который использовал уязвимость ну…
Баг, обнаруженный специалистами Trend Micro Zero Day Initiative в конце сентября был исправлен в рамках октябрьского «вторни…
Для срабатывания бага достаточно зайти на веб-страницу, и на компьютере выполнится вредоносный код.
Во время видеовызова жертва получает неправильный пакет RTP, что и приводит к ошибке и сбою в работе мобильного приложения.
Имея доступ к компьютеру жертвы, можно внедрить вредоносную DLL в Explorer и обойти защиту. В Microsoft не считают это багом…
Уязвимости типа Open Redirect позволяют перенаправить пользователя на фишинговый сайт или заставить скачать руткит под видом полезного ПО. Несмотря на всю опасность этих уязвимостей, закрывать их не спешат даже в Google. Давай разберемся, почему так вышло и как работают разные атаки с Open Redirect.
Политика защиты контента (CSP) — это механизм, встроенный в браузеры, который позволяет защититься от XSS-атак. Например, если в заголовке CSP указано загружать изображения только с текущего домена, то все теги со сторонними доменами будут проигнорированы. Но как провести полноценную атаку с кражей данных, если ничего нельзя отправлять на другие ресурсы?
Еще прошлую версию бага использовали для запуска малвари-майнера, и уязвимых девайсов остаются десятки тысяч.
Компания Facebook объявила о компрометации нескольких десятков миллионов пользовательских учетных записей. Неизвестные злоум…
Разработчики Cisco опубликовали патчи более чем для 20 уязвимостей в своих продуктах. Большинство проблем исправлено в сост…
Новую проблему в ядре Linux выявили специалисты Qualys Research Labs. Уязвимость, связанная с функцией create_elf_tables() и…
Аналитики Cisco Talos обнаружили новые модули для малвари VPNFilter, впервые замеченной еще весной текущего года. Учитывая с…
Компания Mitsubishi объявила, что отзывает из продажи 68 000 автомобилей, так как в них обнаружены два опасных софтверных ба…
Разработчики Cisco сообщают, что исправили уязвимость в Video Surveillance Manager (VSM). Баг представлял собой жестко закод…
Сразу после выхода новой версии macOS известный ИБ-специалист и сооснователь Digita Security Патрик Вордл (Patrick Wardle) с…
Во фреймворке Apache Struts 2, виновном в утечке данных у Equifax, нашли очередную дыру. Она позволяет злоумышленнику, не имея никаких прав в системе, выполнить произвольный код от имени того пользователя, от которого запущен веб-сервер. Давай посмотрим, как эксплуатируется эта уязвимость.
Специалисты компаний Sucuri и Malwarebytes выявили массовую компрометацию сайтов, работающих под управлением WordPress. Взло…
Эксперты Trend Micro Zero Day Initiative (ZDI) обнародовали информацию о неисправленной уязвимости в составе Microsoft Jet D…
Российское кибероружие, построенное на утекших у АНБ эксплоитах, маскировалось под вирус-вымогатель, но главной целью NotPetya было выведение из строя промышленных объектов. Одной из жертв стал крупнейший морской грузоперевозчик — Maersk. История о его заражении и устранении последствий не просто полна захватывающих подробностей, но во многом показательна.
Разработчики Adobe выпустили патчи для Windows и macOS версий продуктов Acrobat и Reader, в общей сложности устранив семь уя…
ИБ-эксперт компании Securify рассказал о проблеме в NAS компании Western Digital, которую разработчики не могут исправить с …
Количество смарт-контрактов в блокчейне Ethereum только за первую половину 2018 года выросло в два раза по сравнению с 2017-м. Соответственно, растет и множество уязвимостей, векторов атак на децентрализованные приложения. В этой статье мы попробуем упорядочить уязвимости аналогично OWASP Top 10. Кода тебя ждет немало, так что готовься — легко не будет. :)
Инженеры Google, работающие над созданием операционной систсемы Android, обнаружили, что устройства компании Honeywell уязви…
Сайт защищен Qrator —
