0-day уязвимость в Bitmessage уже используется для атак и хищения средств из криптовалютных кошельков
Разработчики Bitmessage предупредили о критической уязвимости нулевого дня, которую уже эксплуатируют злоумышленники. Пробле…
Intel открывает программу вознаграждений за уязвимости для всех желающих и увеличивает выплаты
Компания Intel анонсировала публично доступную bug bounty программу и предложила всем желающим поискать уязвимости в своем с…
«Пираты» нашли уязвимость в платформе Crunchyroll и стримят аниме бесплатно
В популярной стриминговой платформе Crunchyroll, которой пользуются более 20 млн человек по всему миру, обнаружили уязвимост…
В Skype обнаружена уязвимость, позволяющая получить SYSTEM-привилегии, но патча еще нет
Независимый эксперт обнаружил опасную брешь в Skype, которая позволяет атакующему повысить свои привилегии до уровня SYSTEM.…
Уязвимость в Telegram использовалась для многоцелевых атак и майнинга
Эксперты «Лаборатории Касперского» опубликовали информацию об уязвимости в Windows-клиенте для Telegram. По данным специалис…
Компания Zerodium предлагает 45 000 долларов за уязвимости в Linux
Один из самых известных брокеров уязвимостей на рынке, компания Zerodium, сообщила, что до конца марта 2018 года у ИБ-специа…
Хранить вечно. Разбираем и эксплуатируем ошибку в интерпретаторе PHP
В самом конце января в багтрекере PHP появилось описание интересного бага: некоторые сайты можно вывести из строя, забив все свободное место временными файлами. Уязвимость до сих пор не устранена. Давай посмотрим, как ее эксплуатировать.
В macOS обнаружен баг, позволяющий похищать данные посредством функции для создания скриншотов
Основатель компании Fastlane Tools Феликс Краузе (Felix Krause) обнаружил, что практически любое приложение в системе может …
В популярных моделях роутеров Netgear обнаружили множество серьезных проблем
Специалисты компании Trustwave раскрыли информацию сразу о нескольких серьезных уязвимостях, обнаруженных в ПО роутеров Netg…
Обновление для WordPress сломало функцию автоматических обновлений
Ранее на этой неделе мы предупреждали об опасном баге, который позволяет «уронить» практически любой сайт, работающий под уп…
Компания Intel выпустила новые патчи для уязвимости Spectre, но только для процессоров Skylake
Продолжается работа над патчами для уязвимости Spectre: разработчики компании Intel подготовили первую партию исправленных м…
Эксплуатируй, GoAhead! Выполняем произвольный код в веб-сервере GoAhead
GoAhead — это популярный встраиваемый веб-сервер компании Embedthis, который используется в продуктах Oracle, IBM, HP и других известных производителей. Я думаю, не нужно говорить, какие перспективы открывает возможность исполнять произвольный код на сотнях тысяч устройств, где они работают. Давай разберемся, как это делается.
Патчи для уязвимости в Cisco ASA оказались неэффективными
Разработчики компании Cisco выпустили новые патчи для критической проблемы CVE-2018-0101, обнаруженной недавно. Как оказалос…
Исследователь продемонстрировал обход защиты от шифровальщиков в Windows 10
Специалист компании SecurityByDefault обнаружил, что функцию Controlled Folder Access, которая должна защищать пользователей…
ИБ-специалист адаптировал эксплоиты АНБ для всех версий Windows
Сотрудник компании RiskSense Шон Диллон (Sean Dillon) модифицировал инструменты EternalChampion, EternalRomance и EternalSyn…
Ошибка в популярном расширении Grammarly для Chrome привела к утечке данных 22 млн пользователей
Специалист Google Project Zero обнаружил, что популярное расширение Grammarly, предназначенное для проверки правописания в C…
Разработчики аппаратных кошельков Ledger обнаружили уязвимость во всех своих продуктах
Аппаратные кошельки считаются одним из наиболее надежных способов хранения криптовалюты. Но разработчики популярных кошелько…
DoS-уязвимость в WordPress позволяет «уронить» практически любой сайт, и патча для нее нет
Независимый исследователь обнаружил критическую уязвимость, которая представляет опасность для всех версий WordPress, вышедш…
Java против утечек. Боремся с memory leaks в веб-службе
В прошлой статье мы рассмотрели утечки памяти, которые возникают при остановках и переустановках веб-приложений, написанных на Java. Речь шла о выводе логов Spring через Log4j2. Сейчас я расскажу, как можно легко и просто получить утечки памяти, используя Log4j2 в веб-службах, и на этот раз конец истории будет не таким радужным.
В роутерах Asus обнаружили сразу несколько опасных проблем
Сразу несколько компаний и независимых ИБ-специалистов за последнее время раскрыли данные об уязвимостях, найденных в различ…
Новую 0-day уязвимость в Adobe Flash используют хакеры, но патча пока нет
Специалисты южнокорейского KR-CERT предупредили об обнаружении новой уязвимости в Adobe Flash. Эксперты сообщают, что брешь …
Инженеры Mozilla устранили критическую RCE-уязвимость Firefox UI
Состоялся релиз Firefox 58.0.1, в котором была устранена опасная уязвимость, позволявшая потенциальному атакующему выполнить…
ИБ-специалисты обнаружили более 130 вредоносных образцов кода, использующих уязвимости Meltdown и Spectre
Эксперты по информационной безопасности предупреждают, что скоро всех нас могут ждать большие проблемы. По данным компаний A…
Cisco исправила критическую уязвимость в Adaptive Security Appliance
Компания Cisco выпустила патчи, устраняющие критическую уязвимость в продуктах, работающих под управлением ПО Adaptive Secur…
«Тревожные кнопки» большинства производителей можно с легкостью вывести из строя
Сотрудник компании Duo Security опубликовал отчет, посвященный уязвимостям в так называемых «аварийных кнопках» различных пр…
Deleaker, не болей! Ломаем защиту в обход VMProtect и пишем proxy DLL
Не так давно на глаза мне попалась программа Deleaker. Софтина, из описания на сайте, предназначена для поиска в приложениях утечек памяти, GDI-ресурсов и незакрытых хендлов. А мне стало интересно, как у нее обстоят дела с защитой от взлома.
Ядовитая гифка. Эксплуатируем уязвимость в расширении gd для PHP
Все любят забавные гифки, но особый юмор — это повесить сервер на PHP при помощи специально сформированного файла GIF. Успешная эксплуатация бага, который мы разберем, приводит процесс в состояние бесконечного цикла. Создав множество таких процессов, атакующий исчерпает ресурсы системы. Жертвой может стать любой сервис, который производит манипуляции с картинками, написан на PHP и использует библиотеку gd или libgd.
Дактилоскопический сканер Lenovo можно обмануть с помощью жестко закодированного пароля
Инженеры Lenovo выпустили экстренное обновление для приложения-сканера отпечатков пальцев, которое работает с устройствами T…
Microsoft выпустила внеплановый патч, отключающий защиту от уязвимости Spectre
Продолжается борьба с проблемными обновлениями, которые должны были защищать пользователей от уязвимостей Meltdown и Spectre…
Критическая уязвимость фреймворка Electron угрожает безопасности Windows-приложений
Разработчики популярного фреймворка Electron предупредили об устранении критической уязвимости, позволявшей злоумышленнику у…
0-day баг в Cleverence Mobile SMARTS Server используется для добычи криптовалюты
Аналитики компании «Доктор Веб» обнаружили в серверных приложениях Cleverence Mobile SMARTS Server уязвимость нулевого дня, …
Баг в Blizzard Update Agent угрожал безопасности миллионов пользователей
Специалист Google Project Zero Тевис Орманди (Tavis Ormandy) обнаружил опасную уязвимость в составе Blizzard Update Agent, и…
Intel, HP, Dell и другие предупреждают: не стоит устанавливать некоторые патчи для Spectre и Meltdown
Компания Intel и многие крупные производители предупредили, что обновления для исправления уязвимости Spectre (Variant 2) по…
Борьба с уязвимостями Meltdown и Spectre продолжается
Мир узнал об уязвимостях Meltdown и Spectre только три недели тому назад, но проблем вокруг них возникает все больше. Теперь…
Исследователи заработали более 100 000 долларов, взломав смартфон Pixel
Группа специалистов получила более 100 000 долларов от компании Google за создание цепочки эксплоитов, позволяющей удаленно …
Плохая логика. Выполняем произвольный код в популярном сервере приложений Oracle WebLogic
Новая уязвимость в Oracle WebLogic позволяет выполнять произвольные команды на целевой системе любому атакующему без какой-либо авторизации. Разберемся, что именно должен делать атакующий и почему это работает.
Реклама
Как AntiShell Web Shell Hunter помогает искать вредоносные веб-шеллы
Большинство атак на корпоративные ресурсы подразумевают внедрение веб-шеллов — кода, который дает возможность управлять пораженными машинами извне сети. AntiShell Web Shell Hunter — это защитное средство, которое включает в себя целый набор механизмов для выявления веб-шеллов.
Ботнеты атакуют устройства для майнинга и переключают свое внимание на криптовалюту
Сразу несколько новостей об атаках майнинговой малвари принесли последние дни. Так, криптовалютой заинтересовались операторы…
В торрент-клиенте Transmission обнаружена уязвимость, ведущая к исполнению произвольного кода
Специалисты Google Project Zero обнаружили опасную уязвимость в популярном приложении Transmission.
Большинство производителей обозначили свои позиции относительно патчей для Meltdown и Spectre
Так как уязвимостям Meltdown и Spectre подвержено все и вся, рассказать о своих планах по выпуску исправлений пришлось практ…
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
- доступ к платным материалам сайта
- доступ ко всем номерам PDF
4000 р.
на год
на год
920 р.
на месяц
на месяц
Материалы для подписчиков
Трюки
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире