Разработчики Cisco забыли удалить тестовый интерфейс из IronPort AsyncOS
Разработчики Cisco предупредили о критической уязвимости в Cisco IronPort AsyncOS для Email Security Appliances.
Zerodium заплатит 1,5 млн долларов за 0-day уязвимости в iOS 10
Известный брокер уязвимостей, компания Zerodium, пересмотрел свои тарифы за уязвимости в iOS.
Вскрываем Windows. Легкие способы получить права админа на рабочем компьютере
Понятно, что ограничения важны для безопасности и снижения нагрузки на эникейщиков, но когда ты приходишь на работу и обнаруживаешь, что на компьютере что-то запрещено, а в Сети — заблокировано, это воспринимается практически как вызов. В этой статье я расскажу, какие бывают методы ограничений и как с ними бороться.
Опасный Китай. Как ломают китайские смартфоны
Полгода назад мы уже писали о лотерее с покупкой устройств из Китая, выигрыш в которой — сносно работающий смартфон за относительно небольшие деньги. Казалось бы, что тут еще можно добавить? Тем не менее нельзя считать тему мобильных устройств из Китая полностью раскрытой, не проведя исследование в еще одной немаловажной области: безопасности тех данных, которые хранятся в смартфоне.
Экстренные патчи, выпущенные OpenSSL, устранили одни уязвимости и привнесли новые
На прошлой неделе разработчики OpenSSL выпустили ряд исправлений, однако патчи создали новые проблемы пользователям.
Подмена прошивки МФУ Epson позволяет атаковать компанию через факс-модем устройства
Исследователи придумали, как подменить прошивку МФУ и использовать для проникновения в сеть компании модем девайса.
Механизм верификации паролей для бекапов в iOS 10 в 2500 раз слабее предыдущего
Специалисты компании Elcomsoft обнаружили, что в iOS 10 были ослаблены механизмы защиты, и взлом бекапов стал куда проще.
Баги в продуктах Kerio Control могут привести к полной компрометации организации
Специалисты SEC Consult обнаружили кучу проблем в продуктах компании Kerio Technologies.
Исследователь заработал $16 000, обнаружив уязвимость в Facebook Business Manager
Исследователь из Индии нашел способ, позволяющий взломать Facebook Pages и получить контроль над любой страницей.
Китайские исследователи продемонстрировали удаленный взлом Tesla Model S
Эксперты компании Tencent Keen Security Lab взломали движущийся автомобиль Tesla Model S с расстояния 20 километров.
Microsoft отказалась признать, что проблема в работе Exchange является уязвимостью
Практически все клиенты Microsoft Exchange раскрывают пароли пользователей в виде открытого текста.
22 сентября разработчики OpenSSL выпустят патчи сразу для нескольких уязвимостей
Представители OpenSSL сообщили, что 22 сентября 2016 года будут выпущены OpenSSL 1.1.0a, 1.0.2i и 1.0.1u.
Обзор эксплоитов #212. Многочисленные уязвимости в продуктах NUUO, Netgear и JetBrains
В сегодняшнем обзоре мы пройдемся по многочисленным уязвимостям в продуктах компании NUUO, которая занимается разработкой систем для камер наблюдения. Помимо этого, разберем несколько уязвимостей, которым были подвержены популярные среды разработки компании JetBrains (PyCharm, IntelliJ IDEA, WebStorm и другие): удаленное выполнение кода и раскрытие файлов.
Обнаружен CSRF-баг, позволяющий компрометировать кошельки Monero и похищать деньги
В последнее время упоминания о криптовалюте Monero стали встречаться в сети очень часто. Это неудивительно, ведь на сегодня …
В браузере Tor исправлен баг привязки сертификатов, в Firefox уязвимость устранят позже
Разработчики Tor Project представили новую версию браузера Tor (6.0.5), в которой была устранена критическая уязвимость, кас…
Хакеры активно эксплуатируют брешь в модуле Drupal, обнаруженную еще в июле
В июле 2016 года разработчики популярной CMS Drupal представили патчи для ряда RCE-уязвимостей в составе трех различных мод…
Ничто не идеально: в мессенджере Signal обнаружено и устранено сразу три уязвимости
Приложение Signal считается одним из наиболее защищенных мессенджеров на сегодняшний день, не даром Эдвард Сноуден рекомендо…
0-day баг в IE и Edge, исправленный два дня назад, использовался хакерами с 2014 года
Исследователи компании Proofpoint опубликовали подробности о критической уязвимости, которая была устранена в браузерах Inte…
Баг в Android позволяет извлечь метаданные из приложений и узнать личность жертвы
Бельгийский исследователь Арне Свиннен рассказал о том, что недавно он помог разработчикам Google устранить неприятный баг в…
В MySQL найдены две 0-day уязвимости, патчей для них пока нет
Исследователь из Польши, Давид Голунски, обнаружил в MySQL сразу два критических 0-day бага. Проблемы распространяются на My…
Сентябрьское обновление для Android состоит из трех наборов патчей для 55 уязвимостей
Компания Google представила сентябрьский набор патчей для Android. На этот раз обновления были разделены сразу на три катего…
Разбор эксплоита: повреждение памяти в скриптовом движке Windows
Патчи к Windows — замечательный источник пусть и уже закрытых, но по-прежнему интересных уязвимостей. Мы разберем патч MS16-051, который латает уязвимость, приводящую к повреждению памяти в скриптовом движке. Эксплоит позволяет использовать ее для выполнения произвольного кода.
Коммерческая спайварь Pegasus опасна для macOS и Safari, Apple выпустила патчи
В конце августа 2016 года стало известно о существовании коммерческой и легальной спавайри Pegasus, которая была создана ком…
В браузере «Яндекса» исправлен CSRF-баг, позволявший похитить все данные пользователя
Исследователь компании Netsparker рассказал в блоге о том, как он, с декабря 2015 года, добивался исправления уязвимости CSR…
(Без)умная розетка. Анализируем уязвимости умной розетки TP-Link HS110 Wi-Fi
Желание управлять всем вокруг с телефона вполне понятно для любого, кто хоть как-то связан с IT. Именно поэтому пару лет назад в наших домах стали появляться умные чайники, лампочки и прочие «кофеварки на Linux». А это, в свою очередь, означало, что рано или поздно подобные устройства попадут под прицелы исследователей ИБ — это лишь вопрос времени. Сегодня мы рассмотрим уязвимости в одном из таких устройств — умной Wi-Fi-розетке TP-Link HS110 Wi-Fi.
Google отказалась исправить баг на странице логина, приводящий к скачиванию малвари
Независимый исследователь Айдан Вудс (Aidan Woods) обнаружил уязвимость на странице авторизации Google, которую компания не …
В Kaspersky Internet Security исправлены баги, приводившие к крашу антивируса
Исследователи Cisco Talos сообщили, что в продукции «Лаборатории Касперского», а именно в Kaspersky Internet Security, был о…
Исследователи слили данные об уязвимостях в медицинском оборудовании на сторону
В прошлый четверг, 25 августа 2016 года, исследователи стартапа MedSec и представители инвестиционной фирмы Muddy Waters Cap…
Исследователь придумал способ массового взлома аккаунтов Facebook
Независимый исследователь из Калифорнии, Гуркират Синх (Gurkirat Singh), в своем блоге дал ответ на животрепещущий для многи…
Атака Sweet32 позволяет извлекать данные из HTTPS и OpenVPN
Исследователи из Французского государственного института исследований в области информатики и автоматики (INRIA) опубликовал…
Найдена коммерческая спайварь Pegasus, использующая три 0-day бага для взлома iOS
Эксперты компаний Citizen Lab и Lookout Security сообщают беспрецедентном случае и обнаружении уникального коммерческого шпи…
Обзор эксплоитов #211. Инъекция PHP-кода в IPS и хранимая XSS в Django CMS
Сегодняшний обзор эксплоитов порадует тебя удаленным выполнением кода в IP.Board, а также расскажет, где кроется хранимая XSS в Django CMS — популярной системе управления контентом, основанной на Django. Welcome!
Американские порты были атакованы из-за уязвимости ПО Navis WebAccess к SQL-инъекциям
Подразделение US-CERT, занимающееся проблемами индустриальных систем управления (ICS-CERT), сообщает, что в приложении Navis…
Эксперт компании IOActive нашел множество уязвимостей в роутерах фирмы BHU
Исследователь компании IOActive решил проверить работу роутеров китайского производителя BHU, выбрав для испытаний модель uR…
Плагин Ninja Forms для WordPress уязвим для SQL-инъекций, в опасности 600 000 сайтов
Как известно, сайты, работающие под управлением Wordpress и других популярных и бесплатных CMS, часто становятся целями для …
В GnuPG и библиотеке Libgcrypt исправили критический баг, существующий с 1998 года
17 августа 2016 года разработчики GnuPG сообщили об устранении критической уязвимости, которой повержены все версии GnuPG, в…
IoT-розетки сливают учетные данные от Wi-Fi и почты, а также пригодны для DDoS-атак
Исследователи компании Bitdefender изучили умные розетки неназванного, но популярного на рынке производителя. Оказалось, что…
Баг FalseCONNECT в процедурах аутентификации прокси приводит к перехвату HTTPS-трафика
Продукты компаний Apple, Microsoft, Oracle и так далее содержат уязвимость FalseCONNECT, которая позволяет атакующему провес…
WWW: Hacksplaining — интерактивные уроки по взлому веб-сайтов и его предотвращению
Как ты знаешь из чтения журнала «Хакер», видов уязвимостей не так уж много, и подходов к ним — тоже. Разработчики сайта Hacksplaining.com решили сделать полезное дело и каталогизировать все уязвимости. Мало того — они сочинили наглядное объяснение к каждой!
Баг в Chrome и Firefox позволял подменить URL, используя арабские символы
Независимый исследователь Рафай Балоч (Rafay Baloch) обнаружил баг, суммарно принесший ему $5000 по bug bounty программам G…
Бумажный спецвыпуск
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
- доступ к платным материалам сайта
- доступ ко всем номерам PDF
4500 р.
на год
на год
450 р.
на месяц
на месяц
Материалы для подписчиков
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире