Сегодня мы разберем CSRF-уязвимость в популярном форуме phpBB, а также покажем пример поиска подобных ошибок в большом проекте. Далее разберем технологию обхода kASLR и изучим эксплоит, основанный на удаленном выполнении кода в Ruby on Rails.
Исследователи компании Context Information Security решили поискать уязвимости в камерах наружного наблюдения Motorola Focus…
Исследователь Google Project Zero Тевис Орманди (Tavis Ormandy) нашел проблему в очередном антивирусном продукте. Однако слу…
Компания Sucuri сообщает, что ресурсы, работающие под управлением Wordpress, в очередной раз стали мишенью для хакеров. Прот…
Исследователи компании Rapid7 в очередной раз доказали, что большинство «умных» гаджетов на самом деле сложно назвать умными…
«Проблемы» с нативной двоичной сериализацией в Java (да и не только) стали, наверное, одним из главных трендов 2015 года. На основе этой технологии были найдены критические уязвимости не просто в каком-то ПО, а в протоколах; зацепило и Android. Но технологии не ограничиваются только бинарной сериализацией (кроме нативной, есть еще целый пучок сторонних библиотек), есть и другие варианты. Один из них — XML-сериализация объектов.
Представим себе, что есть какая-то организация. И кто-то взломал ее и стащил документы. Если они будут опубликованы, то это даже плюс — в организации хотя бы узнают о взломе и смогут принять меры. Иначе у атакующих есть шанс хорошенько закрепиться и иметь доступ ко всей информации на протяжении многих лет.
Исследователи компании Check Point обнаружили серьезную уязвимость в онлайн-платформе eBay. Техника эксплуатации бага получи…
Исследователь Радослав Карпович (Radoslaw Karpowicz) обнаружил, что использование фреймворка Sparkle Updater представляет уг…
Инженер Facebook Алек Маффлет (Alec Muffet) привлек всеобщее внимание к проблеме, о которой ранее уже писали на Reddit и соо…
В конце прошлой недели разработчики проекта OpenSSL представили исправление двух уязвимостей, одна из которых была оценена к…
Специалисты компаний BugSec и Cynet обнаружили брешь в приложении Smart Notice, которое компания LG с 2014 года предустанавл…
Сотрудники компании FireEye заметили, что разработчики приложений для операционной системы iOS все чаще применяют для внесен…
Mozilla представила 44 версию браузера Firefox и Firefox Extended Release 38.6 для настольных ОС и мобильной платформы Andro…
Известный эксперт в области информационной безопасности Крис Викери (Chris Vickery), похоже, устал искать в сети уязвимые ба…
Чем умнее становятся современные автомобили, тем больше способов их взломать придумывают исследователи. Профессор Калифорний…
Компания Lenovo не впервые подвергается критике со стороны специалистов в области информационной безопасности. К примеру, на…
Разработчики популярнейшей платформы для интернет-магазинов Magento представили набор патчей, суммарно устраняющий 20 уязвим…
Специалисты Positive Technologies опубликовали подробности об уязвимости CVE-2016-1879 в FreeBSD, для которой недавно вышел …
В середине января 2015 года в коде операционной системы FortiOS был выявлен недокументированный бэкдор, который едва не прин…
В минувший вторник компания Apple выпустила патчи для iOS, OS X и обновление для браузера Safari. Суммарно в iOS быстро устр…
Сегодня мы разберем возможность выполнения своего кода в Linux и в Windows. В опенсорсной ОС провинился загрузчик GRUB: в нем нашли способ обойти авторизацию и добраться до консоли восстановления, причем уязвимость существует еще с 2009 года. В Windows «недокументированные возможности» нашли в стандартном медиаплеере: он при определенных условиях позволяет исполнять JavaScript.
Представители Google отреагировали на заявления компании Perception Point, два дня назад рассказавшей о критической уязвимос…
Компания Oracle представила январский набор патчей, и это обновление побило предыдущий рекорд с большим запасом: было исправ…
На конференции по вопросам информационной безопасности ShmooCon был представлен эксплоит под названием Hot Potato. Специалис…
Сотрудник финской компании Klikki Oy Йоуко Пюннёнен (Jouko Pynnönen) обнаружил XSS-уязвимость в веб-интерфейсе почтового сер…
В коде ядра Linux обнаружена опасная уязвимость CVE-2016-0728. Баг существует с 2012 года, и актуален для 32 и 64-битных сис…
Хотя LastPass пользуется немалой популярностью, сообщения о его проблемах с безопасностью в последнее время появляются часто…
В сентябре прошлого года глава компании Synack Патрик Вордл (Patrick Wardle) обнаружил способ обхода одной из ключевых ступе…
В минувший вторник Microsoft представила очередной пакет исправлений, который содержит девять бюллетеней безопасности. Шесть…
Разработчики выпустили обновление для клиентской части OpenSSH. Патч закрывает критическую брешь CVE-2016-0777, которая косн…
Похоже, компания Cisco не зря инициировала в декабре 2015 года аудит собственной продукции. Учитывая недавно произошедшую с …
Специалисты компании Pen Test Partners решили изучить устройство Ring – умный домофон, который подключается к домашней сети …
Независимый исследователь, известный под псевдонимом MLT, обнаружил на eBay критическую уязвимость. Баг позволяет осуществит…
Не только компании Juniper Networks «посчастливилось» обнаружить в коде своей операционной системы посторонний код, впоследс…
Цифровые медиаплееры EZCast работают по тому же принципу, что и устройства Chromecast компании Google. Эти HDMI-донглы удобн…
«Дорогая Trend Micro, wtf, о чем вы думали? Это нелепейший баг. Через пару минут пришлю развернутый отчет. Вздох», — таким п…
Компания Juniper Networks опубликовала новые данные о странном бекдоре, который обнаружили в коде операционной системы Scree…
Censys — новый поисковик по интернету вещей. Подобно Shodan, он опрашивает все публично доступные IP-адреса и протоколирует их отклики. В результате создается своеобразная карта интернета, на которой можно искать любые устройства с сетевым интерфейсом, изучать характер распространения уязвимостей или, выбрав критерии, смотреть за актуальным состоянием глобальной сети.
Сотрудник компании IOActive Фернандо Арнаболди (Fernando Arnaboldi) обнаружил сразу несколько проблем в системе обновления п…
Сайт защищен Qrator —
