Сегoдня мы рассмотрим эксплуатацию критической 1day-уязвимости в популярной CMS Joomla, которая прогремела на просторах интернета в конце октября. Речь пойдет об уязвимостях с номерами CVE-2016-8869, CVE-2016-8870 и CVE-2016-9081. Все три происходят из одного кусочка кода, который пять долгих лет томился в недрах фреймворка в ожидании своего часа, чтобы затем вырваться на свободу и принести с собой хаос.
Специалисты Invincea предупреждают, что «умные» продукты Belkin WeMo вряд ли можно считать безопасными.
Microsoft недовольна, что Google раньше времени опубликовала данные о 0-day баге, и обещает выпустить патч в течение недели.
Рекомендуем почитать: Хакер #313. Вызов для Windows Содержание выпуска Подписка на «Хакер»-60% В середине октября 2016 года …
Яндекс.Браузер стал первым из российских продуктов, в международном сообществе по безопасности – CVE.
Критический баг, допускающий локальное повышение привилегий и побег из песочницы уже эксплуатируют хакеры.
Специалисты компании Sucuri предупреждают, что исправленные на прошлой неделе критические баги в Joomla уже под атакой.
Исследователи из компании enSilo разработали новый метод внедрения кода в легитимные процессы, назвав его AtomBombing.
Специалисты компании Corero Network Security зафиксировали DDoS-атаку, в ходе которой для усиления использовались серверы LD…
Разработчики представили срочное исправление для Adobe Flash Player, закрывающее брешь, которую уже используют хакеры.
Разработчики Joomla CMS представили версию 3.6.4, в которой были исправлены две критические уязвимости.
Специальные маячки, которые можно прикрепить к любому гаджету, ключам и другим предметами, содержат множество уязвимостей.
В начале недели Apple представила обновления для своих систем, устранившие десятки уязвимостей, включая RCE.
Сводная группа исследователей доказала, что атаку Rowhammer можно направить и против мобильных устройств.
Исследователь из Великобритании обнаружил на сайте PayPal уязвимость, позволяющую обойди двухфакторную аутентификацию.
Уязвимость Dirty COW, найденная недавно в ядре Linux, может использоваться для атак на Android.
Внимание к проблеме уязвимых IoT-устройств привлечено, и наконец последовала реакция от производителей.
Угроза от интернета вещей становится все реальнее, и аналитики ESET сообщают, что большинство роутеров настроены неправильно…
В ядре Linux выявлен баг CVE-2016-5195, позволяющий локальному атакующему повысить свои привилегии в системе.
«Лаборатория Касперского» рассказала о новой APT группировке FruityArmor, и эксплуатации свежей 0-day в Windows.
Исследователи White Fir Design предупредили, что хакеры используют 0-day баг для атак на сайты WordPress.
В сегодняшнем обзоре мы рассмотрим уязвимость в популярной библиотеке для аутентификации пользователей, которая применяется на конференциях для приема докладов. Не обойдем стороной и новое исследование IoT-устройства, проведенное командой Pen Test Partners, а потом разберем XSS-уязвимость в роутере TP-Link Archer.
Фонд OSTIF и специалисты компании Quarkslab завершили изучение кода популярного опенсорсного проекта VeraCrypt.
Главное управление полиции Японии предупреждает, что свежая уязвимость в BIND уже взята на вооружение хакерами.
Представители IBM вынудили исследователя Маурицио Агаззини убрать из открытого доступа код эксплоита.
Уязвимость в OpenSSH (CVE-2004-1653), обнаруженная еще в 2004 году, используется хакерами для компрометации IoT-девайсов.
Foxconn добавляет на Android-устройства отладочный режим, который позволяет обойти практически все защитные механизмы.
Октябрьский пакет обновлений от Microsoft принес 10 бюллетеней безопасности и исправления для 36 уязвимостей.
Исследователи обнаружили множество уязвимостей в устройства Avtech, но тайваньская компания не собирается их исправлять.
Обнаружены уязвимости в имплементации SSL/TLS, которую используют множество IoT-устройств.
Burp Intruder — популярный инструмент для комбинированных атак на параметры HTTP-запроса. Но кроме извлечения данных из HTML-ответов по простейшей регулярке, он не умеет никак их анализировать. Исправим это и прикрутим к Intruder свой кастомный процессинг ответов сервера на Python!
Исследователи обнаружили, что активация режима «частный доступ» в браузере Safari не способствует улучшению приватности.
Проблема, найденная в V8 JavaScript еще в 2015 году, до сих пор представляет опасность для многих Android-устройств.
Исследователь Росс МакКиллоп обнаружил, что из-за новой функции в iMessage происходит утечка пользовательских данных.
Специалисты Cisco Talos обнаружили в библиотеке OpenJPEG RCE-уязвимость.
Разработчики Cisco предупредили о критической уязвимости в Cisco IronPort AsyncOS для Email Security Appliances.
Известный брокер уязвимостей, компания Zerodium, пересмотрел свои тарифы за уязвимости в iOS.
Понятно, что ограничения важны для безопасности и снижения нагрузки на эникейщиков, но когда ты приходишь на работу и обнаруживаешь, что на компьютере что-то запрещено, а в Сети — заблокировано, это воспринимается практически как вызов. В этой статье я расскажу, какие бывают методы ограничений и как с ними бороться.
Полгода назад мы уже писали о лотерее с покупкой устройств из Китая, выигрыш в которой — сносно работающий смартфон за относительно небольшие деньги. Казалось бы, что тут еще можно добавить? Тем не менее нельзя считать тему мобильных устройств из Китая полностью раскрытой, не проведя исследование в еще одной немаловажной области: безопасности тех данных, которые хранятся в смартфоне.
На прошлой неделе разработчики OpenSSL выпустили ряд исправлений, однако патчи создали новые проблемы пользователям.
Сайт защищен Qrator —
