Некоторые модели Samsung Galaxy принимают AT-команды даже при активной блокировке
Исследователи Роберто Палеари и Аристид Фаттори обнаружили в устройствах Samsung Galaxy странную особенность и никак не могу…
Обнародованы подробности о «разрекламированной» уязвимости Badlock
В конце марта 2016 года сотрудник компании SerNet и член команды Samba Core Team Стефан Метцмахер запустил настоящую PR-камп…
Баг в приложении iMessage для OS X позволял похитить всю историю чатов
Специалисты компании Bishop Fox рассказали, что в конце марта 2016 года инженеры Apple устранили опасную уязвимость в прилож…
Вредонос подменяет настройки DNS на домашних роутерах через мобильные устройства
Эксперты компании Trend Micro обнаружили JavaScript-малварь JS_JITON, которая атакует домашние роутеры весьма экзотичным спо…
Дистанционное банковское ограбление. PoC атаки на ДБО через ошибки конфигурации СУБД
В банковской защите применяются всевозможные токены, многофакторные авторизации, антифрод-системы — в общем, делается все, чтобы свести к минимуму вероятность несанкционированного перевода денег клиента злоумышленниками. Но, как показывает практика, этого не всегда бывает достаточно. Об одном таком случае и пойдет речь.
Очередной 0-day в Adobe Flash Player используется для распространения вымогателей
Всем, кто по какой-то причине до сих пор пользуется Adobe Flash Player, срочно пора обновиться. Компания Adobe представила о…
135 миллионов кабельных модемов можно перезагрузить удаленно
Похоже, в ближайшее время пранкеры всего мира смогут неплохо поразвлечься. Независимый исследователь Дэвид Лонжнекер, бывший…
Крупнейшая база биометрических данных уязвима для атак
Самое большое в мире собрание биометрических данных разных людей – это Сводная консульская база данных США. В ней хранится и…
Новая уязвимость в Android позволяет похищать пароли IMAP и сообщения мессенджеров
В понедельник, 4 апреля, двое исследователей выступили на конференции GI Sicherheit 2016 с рассказом о новой уязвимости в An…
Хакер нашел способ заказывать бесплатную пиццу в Domino и успешно его проверил
Британский исследователь Пол Прайс обнаружил ошибку в местном приложении Domino’s Pizza. Баг позволял исследователю заказыва…
Microsoft выплатила исследователю $13 000 за баг в системе аутентификации
Британский исследователь Джек Уиттон в очередной раз сорвал большой куш. В 2013 году он уже получал от Facebook $20 000 за о…
Найден новый способ обхода экрана блокировки на iPhone 6S и 6S Plus
Экран блокировки на аппаратах iPhone 6S и 6S Plus можно обойти, даже если они работают под управлением новейшей iOS 9.3.1. З…
В очередном обновлении для Android устранено 39 уязвимостей
Разработчики Google представили апрельское обновление для устройств Nexus. Суммарно кумулятивный апдейт устраняет 39 различн…
Исследователи считают, что не стоит доверять авторам расширений для Firefox
На конференции Black Hat Asia исследователи Ахмед Бюйюккайхан и Уильям Робертсон продемонстрировали новый вектор атак. Иссле…
Исследователь показал, как взломать полицейских дронов, имея аппаратуру за $40
Исследователь Нильс Роддей (Nils Rodday) из компании IBM рассказал на конференции Black Hat Asia, что дорогостоящие дроны, к…
Устранен баг, позволявший рассылать вредоносные письма с серверов PayPal
Компания PayPal исправила опасную уязвимость, которую обнаружил и помог устранить глава немецкой компании Vulnerability Lab …
Исследователь обошел все проверки Steam и опубликовал игру о сохнущей краске
Шестнадцатилетний исследователь из Великобритании Руби Нилон, также известный под ником rubiimeow, наглядно показал, что в п…
Вредоносный маркетинг. Колонка Дениса Макрушина
История кросс-платформенного вредоносного кода Adwind началась в январе 2012 года, когда один из пользователей хакерского форума сообщил, что разрабатывается новый комплекс для RAT. А в конце 2015 года эксперты зафиксировали атаку на банк в Сингапуре, и расследование обнаружило примечательный факт: при атаке использовался вредоносный код, корни которого уходят к тому самому сообщению на хакерском форуме...
Уязвимость в приложении Truecaller представляет опасность для 100 млн пользователей
Популярный сервис Truecaller позволяет пользователю с легкостью идентифицировать и сортировать любые телефонные номера. Это …
Удаление утилиты Kik привлекло внимание сообщества к серьезным проблемам менеджера пакетов Node.js
Неожиданное развитие получила история разработчика Азера Кочулу, который на прошлой неделе удалил из менеджера пакетов Node.…
В OS X обнаружена уязвимость, позволяющая обойти защитный механизм SIP
Исследователь компании SentinelOne Педро Вилача обнаружил серьезный баг в OS X. Уязвимость позволяет повысить локальные прив…
Из-за уязвимости сервис StartSSL позволял получить SSL-сертификат для любого домена
Независимый исследователь Осама Алманна (Osama Almanna) обнаружил уязвимость в популярном сервисе StartSSL (StartCom), котор…
Уязвимость Badlock обнаружена почти во всех версиях Windows и Samba
В наши дни присвоение имен серьезным уязвимостям уже практически стало традицией, баги даже обзаводятся официальными сайтами…
Uber запустил программу bug bounty с вознаграждениями до $10 000
Компания Uber пополнила ряды компаний, имеющих собственные программы поощрения исследователей за найденные уязвимости. В Ube…
Easy Hack: Как пропихнуть инъекцию через JSON/XML-заглушки для API
Как найти уязвимости там, где их ещё никто не искал? Попробуй перевести POST-запрос, например, для аутентификации в JSON- или XML-формат. Идея в том, что разработчики часто оставляют различные способы аутентификации, обычно, для дальнейшего использования сторонними приложениями. А так как эта функциональность не на виду, часто она не защищена от банальных инъекций. а если в дело вступает XML - чтение произвольных файлов на сервере практически гарантированно!
Для взлома уязвимы почти все устройства Android на базе процессоров Snapdragon
Эксперты компании Trend Micro обнаружили очень опасную проблему: два бага найдены на уровне ядра в процессорах компании Qual…
Создан новый эксплоит для уязвимости Stagefright
Страшная и ужасная уязвимость Stagefright вернулась. Хотя Android уже неоднократно патчили, справиться с проблемой до конца …
В Git обнаружены серьезные уязвимости
Исследователь Лаел Целлье (Laël Cellier) обнаружил в серверной и клиентской части Git две опасные проблемы, которые затрагив…
Новая малварь для iOS использует уязвимость в DRM системе Apple
У специалистов Palo Alto Networks плохие новости: они обнаружили новый троян для iOS —AceDeceiver. Он распространяется через…
Исследователи сумели взломать управляющий сервер шифровальщика Radamant
Автору шифровальщика Radamant определенно не везет. В декабре минувшего года эксперт Emsisoft Фабиан Восар (Fabian Wosar) уж…
Yahoo устранила баг, позволявший отправить письмо от имени любого пользователя
Компания Yahoo исправила уязвимость в своем почтовом сервисе. Проблему обнаружил сотрудник компании Vulnerability Lab Лорен…
Хостинг картинок Imgur мог использоваться для рассылки спама
Независимый исследователь Евгений Фарфель (Eugene Farfel, aesteral) обнаружил на популярном хостинге картинок Imgur критичес…
Уязвимость в библиотеке Libotr компрометирует Pidgin, Adium и другие IM
Специалист компании X41 D-Sec обнаружил серьезную уязвимость в библиотеке libotr, которую можно использовать для осуществлен…
Патч для Java двухгодичной давности оказался неэффективным
Польский исследователь из компании Security Explorations обнаружил, что патч для уязвимости CVE-2013-5838, выпущенный Oracle…
Устранено 23 уязвимости во Flash Player, одну из которых уже используют хакеры
Компания Adobe выпустила экстренное обновление для Flash Player, хотя всего два дня назад были выпущены плановые патчи для A…
Обзор эксплоитов №206. DVR Mvpower, QuickHeal и Baidu Browser
В сегодняшнем обзоре мы рассмотрим DoS уязвимость в антивирусе QuickHeal, посмотрим, как происходит процесс поиска и эксплуатации ошибки в браузере Baidu для Android, и закончим взглядом на серию уязвимостей в популярной веб-камере.
В Facebook исправили баг, позволявший сбросить чужой пароль
Индийский исследователь Ананд Пракаш (Anand Prakash) обнаружил уязвимость в Facebook, которая позволяла сбросить пароль любо…
Рекламные сети уязвимы перед простейшими XSS-атаками
Независимый специалист Рэнди Вестергрен (Randy Westergren) обнаружил, что многие рекламные сети подвержены одной и той же пр…
Атака DROWN поставила под угрозу треть всех сайтов, работающих с HTTPS
Проект OpenSSL представил обновленные версии 1.0.2g и 1.0.1s, в которых была устранена опасная уязвимость CVE-2016-0800. Дан…
Самые распространенные баги в опенсорсных приложениях: XSS и SQLi
Специалисты компании Netsparker опубликовали интересную статистику, которую компания собирает вот уже пять лет. Изучив 396 о…
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
- доступ к платным материалам сайта
- доступ ко всем номерам PDF
4000 р.
на год
на год
920 р.
на месяц
на месяц
Материалы для подписчиков
Трюки
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире