Обновление для маршрутизаторов Juniper SRX опасно и открывает root-доступ к устройству
Компания Juniper выпустила небезопасное обновление для маршрутизаторов SRX, из-за которого устройства доступны любому желающ…
Федеральная торговая комиссия подала в суд на D-Link из-за небезопасности IoT-устройств
Интернет вещей и его проблемы начали привлекать внимание властей. В США подали в суд на тайваньского производителя D-Link.
Обзор эксплоитов #215. Уязвимости Wget, aria2 и LSASS.EXE
Сегодня мы разберем уязвимости в популярных утилитах для скачивания файлов — Wget и aria2. При соблюдении некоторых условий атакующий может выполнить произвольный код. Также разберем ошибку в LSASS.EXE, которая позволяет как минимум перевести систему в режим перезагрузки, а как максимум — получить повышение привилегий.
0-day уязвимость в роутерах NETGEAR WNR2000 позволяет захватить контроль над устройством
Педро Риберио обнаружил ряд уязвимостей в роутерах NETGEAR WNR2000, которые позволяют полностью скомпрометировать девайс.
Исследователь взломал развлекательные системы Panasonic, используемые в самолетах
Сотрудник IOActive обнаружил уязвимости в системах Panasonic Avionics, которыми пользуются 13 крупных авиакомпаний.
Приручаем WAF’ы. Как искать байпасы в современных Web Application Firewalls и что с ними делать
Фильтр, который в реальном времени блокирует вредоносные запросы еще до того, как они достигнут сайта — важная часть безопасности веб-приложения. Тем не менее WAF’ы содержат множество ошибок. В этой статье мы изучим техники поиска байпасов WAF на базе регулярок и токенизации, а затем на практике рассмотрим, какие уязвимости существуют в популярных файрволах.
Более 8800 плагинов для WordPress содержат хотя бы одну уязвимость
Исследователи RIPS Technologies изучили 44 705 плагинов для WordPress и выяснили, что 8800 из них содержат хотя бы одну уязв…
Популярные дистрибутивы Linux уязвимы перед drive-by атаками через музыкальные файлы
Известный ИБ-эксперт Крис Эванс (Chris Evans) продемонстрировал 0-day уязвимость, опасную для Fedora и Ubuntu.
Исследователи доказали, что оснащать сейфовые замки Bluetooth – плохая идея
Специалисты компании Somerset Recon продемонстрировали, как можно найти и взломать сейфы с поддержкой Bluetooth.
Устройство за $300 похищает пароли от FileVault2 за считанные секунды
Исследователь продемонстрировал, как обойти систему шифрования дисков FileVault 2 на устройствах Apple.
Уязвимость в Joomla позволяет изменить пароль и перехватить контроль над сайтом
В Joomla нашли баг CVE-2016-9838, перед которым уязвимы все версии, начиная от 1.6.0 и заканчивая 3.6.4.
Исправлен очередной 0-day баг во Flash Player, но его уже взяли на вооружение хакеры
Компания Adobe устранила уязвимости в девяти своих продуктах, в том числе 0-day баг во Flash Player.
Компания Netgear расширила список проблемных роутеров
На днях US-CERT предупредил, что пара роутеров Netgear содержат опасную уязвимость, но проблемных моделей оказалось больше.
Специалисты Trustwave нашли бэкдор в Skype для Mac OS X
Исследователи обнаружили в Skype Desktop API бэкдор, существовавший в коде более пяти лет.
В браузере Microsoft Edge найден баг, позволяющий подделать сообщения SmartScreen
Из-за уязвимости в Microsoft Edge мошенники могут подделывать сообщения, предупреждающие об опасном контенте.
US-CERT предупреждает, что использовать некоторые роутеры Netgear опасно
Эксперты предупреждают: как минимум две модели роутеров Netgear содержат опасную уязвимость.
XSS-уязвимость в почте Yahoo позволяла читать чужие письма
Исследователь заработал 10 000 долларов, обнаружив XSS-баг в почтовом сервисе Yahoo.
Операторы Mirai-ботнета утверждают, что скомпрометировали 3,2 млн роутеров
Авторы Annie (новой версии Mirai) похвастались журналистам, что их малварь заразила уже более трех миллионов роутеров.
Эксперты обнаружили две неустранимые 0-day уязвимости в десятках моделей IP-камер
Исследователи CyberReason предупреждают, что сотни тысяч IP-камер могут стать частью ботнетов, и исправить это невозможно.
HP отключила FTP и Telnet для своих принтеров из соображений безопасности
Компания HP анонсировала, что новые модели принтеров для бизнес-сектора будут поставляться с отключенным FTP и Telnet.
Плановое обновление Android окончательно устранило проблему Dirty Cow
На этой неделе компания Google представила декабрьский набор обновлений для Android, исправивший 74 уязвимости.
Пользователи британских провайдеров пострадали от атак Mirai
Mirai продолжает доставлять неприятности. На этот раз пострадали пользователи UK Postal Office, TalkTalk и Kcom.
Обзор эксплоитов #214. Многочисленные уязвимости в D-Link DWR-932B и повышение привилегий в HP ThinPro OS
Сегодня мы разберем очередную уязвимость в роутере D-Link. На этот раз дыру нашли в прошивке модели DWR-932B, и о патче для нее на момент написания статьи ничего не известно. Также рассмотрим небольшую (по сложности, а не по разрушительной силе) уязвимость в тонких клиентах на HP ThinPro OS.
Эксперты обнаружили и эксплуатировали «смертельные» уязвимости в кардиостимуляторах
Профессионалы из областей медицины и информационной безопасности объединились для взлома кардиостимуляторов.
Исследователи придумали, как обойти блокировку активации на устройствах Apple
Даже на новейших iPhone и iPad можно обойти блокировку активации и разлочить устройство.
Опубликован эксплоит, позволяющий взломать 35 моделей камер наблюдения одним GET-запросом
С помощью нового эксплоита можно взломать более 35 моделей камер наблюдения, более чем семи разные производителей.
В Firefox обнаружена 0-day уязвимость, использующаяся для атак на пользователей Tor
Неизвестный опубликовал код эксплоита для 0-day уязвимости в почтовой рассылке Tor Project.
Ботнет на базе Mirai атаковал Deutsche Telekom и заразил почти миллион устройств
Mirai-ботнет атакует уязвимых пользователей телекоммуникационной компании Deutsche Telekom уже два дня.
Тысячи клиентов крупнейшего провайдера Ирландии используют уязвимые модемы Eir D1000
Исследователь предупредил, что пользователи крупнейшего провайдера в Ирландии работают с уязвимыми ADSL2+ модемами.
0-day уязвимость в InPage используется для атак на банки и правительственные ведомства
Исследователи «Лаборатории Касперского» раскрыли информацию о 0-day уязвимости в InPage.
Баги в механизме обновления WordPress ставят под угрозу треть всех сайтов в интернете
Исследователи в очередной раз говорят о небезопасности обновлений WordPress, однако разработчики не спешат к ним прислушатьс…
Еще один скрытый бэкдор обнаружен на 3 000 000 Android-девайсов
Софт еще одного китайского производителя вызвал серьезное беспокойство экспертов.
Через Cryptsetup можно получить доступ к root shell, если зажать Enter на 70 секунд
В утилите Cryptsetup, использующейся для шифрования жестких дисков, нашли баг, позволяющий обойти аутентификацию.
Опасный резолв. Разбираем на пальцах три мощных вектора атак через DNS
В эпоху появления доменных имен, когда людям стало лень запоминать IP-адреса для входа на тот или иной компьютер, были созданы те самые текстовые таблицы с алиасами IP-адресов. Но когда интернет начал распространяться по всему миру, доменов стало много и носить с собой эту таблицу оказалось неудобно. Так появилась современная реализация DNS-серверов.
Баг в iOS WebView заставляет iPhone звонить на произвольные номера
Независимый исследователь Коллин Маллинер (Collin Mulliner) обнаружил неприятный баг в компоненте WebView.
Хак-группа Fancy Bear выжала из 0-day уязвимости в ядре Windows все, что смогла
Специалисты Trend Micro рассказали, что хакеры Fancy Bear использовали 0-day уязвимости в Windows и Flash Player по полной.
FUCK UAC! 10 способов обхода системы User Account Control в Windows
В каждой версии Windows (начиная с Vista) есть стандартный компонент UAC (User Account Control). Он включен по умолчанию и не дает пользователю «выстрелить себе в ногу», запустив какую-нибудь малварь с правами админа. В этой статье мы расскажем, как использовать «контроль учетных записей» в своих целях — например, запустить любой код с правами администратора или даже как системный процесс.
Браузерный аддон Web Of Trust, установленный 140 млн раз, продавал данные пользователей
Расследование журналистов немецкого телеканала NDR выявило интересные файкты о MyWOT (WOT или Web Of Trust).
Более миллиарда Android и iOS устройств уязвимы перед атаками через OAuth 2.0 протокол
Специалисты Китайского университета Гонконга обнаружили, что использование технологии единого входа и OAuth 2.0 может быть н…
Исследователь обнаружил критические баги в MySQL, MariaDB и Percona
Польский исследователь Давид Голунски представил эксплоиты для 0-day багов в MySQL и рассказал о новой уязвимости.
Бумажный спецвыпуск
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
- доступ к платным материалам сайта
- доступ ко всем номерам PDF
4500 р.
на год
на год
450 р.
на месяц
на месяц
Материалы для подписчиков
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире