Исследователи предупреждают: рассчитывать на надежность STARTTLS не стоит
Объединенная команда исследователей из компании Google, Университета Мичигана, Иллинойсского университета в Урбане-Шампейне …
EFF сообщает: подключиться к системам распознавания номерных знаков может любой
Фонд электронных рубежей (EFF) предупреждает, что автоматизированные системы распознавания номерных знаков автомобилей (ALPR…
Обработка смайликов «ВКонтакте» позволяла выполнить вредоносный код
Исследователь компании ONsec Дмитрий Бумов уже не раз находил уязвимости в социальной сети «ВКонтакте» и получал вознагражде…
Через HSTS и HPKP можно шпионить за пользователями Chrome и Firefox
На конференции Toorcon 2015 независимая исследовательница Ян Жу (Yan Zhu) продемонстрировала эксплуатацию двух багов, при по…
Свежая уязвимость в Joomla уже активно используется хакерами
Joomla 3.4.5 была выпущена в прошлый четверг, 22 октября 2015 года. В новой версии CMS были устранены сразу три серьезные уя…
Фитнес-трекер Fitbit можно взломать за 10 секунд, но разработчики Fitbit с этим не согласны
Сотрудница ИБ-компании Fortinet утверждает, что взломать популярный фитнес-трекер Fitbit можно всего за 10 секунд, превратив…
Тысячи сайтов на платформе Magento подверглись атаке
Популярная система управления интернет-магазинами Magento, которую используют более 200 000 компаний по всему миру, подвергл…
Обнаружен ряд незакрытых уязвимостей в продуктах Seagate и Western Digital
Две разные группы экспертов, не сговариваясь, опубликовали информацию о том, что устройства компаний Seagate и Western Digit…
Заразные пингвины. История вирусописательства для *nix-систем в цифрах
Для многих пользователей UNIX-систем словосочетание «вирус для Linux или BSD» звучит странно. Мы настолько привыкли к тому, что вирусов в наших системах нет, что уже начали верить, будто их не существует в природе. Между тем первый в истории компьютерный вирус был написан для 4.3BSD, а знаменитый червь Морриса поражал UNIX-системы через уязвимость в sendmail. Так есть вирусы или нет? Попробуем разобраться.
Авторы 1Password прислушались к критике и меняют формат хранения данных
Позавчера сотрудник Microsoft Дэйл Майерс (Dale Myers) обнаружил, что популярный менеджер паролей 1Password хранит метаданны…
Устранена критическая 0day-уязвимость в Adobe Flash
На прошлой неделе эксперты компании Trend Micro сообщили о критическом 0day-баге, который затрагивал абсолютно все версии Ad…
1Password хранит данные в незашифрованном виде
Инженер компании Microsoft Дэйл Майерс (Dale Myers) обнаружил неприятную особенность в работе популярной программы для хране…
Помощникам Siri и Google Now можно отправлять удаленные беззвучные команды
Французы из Национального агентства безопасности информационных систем (ANSSI) обнаружили баг, при помощи которого хакер мож…
88% Android-устройств подвержены критическим уязвимостям
Если у кого-то еще остались сомнения в том, что безопасности на платформе Android не существует, их развеет новое исследован…
Уязвимость в IE распространялась на все версии Windows
13 октября компания Microsoft выпустила сразу 6 бюллетеней безопасности, суммарно исправив 31 уязвимость в своих продуктах. …
Обнаружен 0day-эксплоит для обновленного Adobe Flash
Компания Adobe отчаянно стремится закрыть все дырки в решете под названием Flash. Только вчера, 13 октября 2015 года, вышел …
«Лаборатория Касперского» закрыла еще одну уязвимость, найденную Орманди
Похоже, сотруднику Google и члену Project Zero Тэвису Орманди (Tavis Ormandy) понравилось искать баги в ПО «Лаборатории Касп…
$24000 заработал исследователь, нашедший уязвимость в системе Live.com
Microsoft удостоила исследователя, нашедшего критическую уязвимость в аутентификационном механизме Live.com, вознаграждением…
WordPress уязвим к усиленным брутфорс-атакам
Специалисты компании Sucuri обнаружили уязвимость в популярнейшей CMS. На этот раз речь идет не об очередном «дырявом» плаги…
Серьезную уязвимость в роутерах Netgear уже эксплуатируют хакеры
В роутерах компании Netgear обнаружена серьезная уязвимость, позволяющая изменить настройки DNS, минуя аутентификацию. Эксплоит опубликован, багу подвержено более 5000 устройств, но компания еще не выпустила исправление.
Безопасность сайтов Microsoft оставляет желать лучшего
Блогер из Пекина, известный как ramen-hero, нашел интересный нюанс в работе онлайновых сервисов Microsoft, таких как Outlook…
Роутеры Huawei – настоящее решето, но исправлять уязвимости компания не собирается
Независимый специалист Пирр Ким (Pierre Kim) обнаружил в роутерах компании Huawei целый набор уязвимостей, о которых детальн…
Cisco прервала деятельность хакеров, использующих Angler Exploit Kit
Специалисты компании Cisco раскрыли масштабную хакерскую кампанию, основанную на использовании набора эксплоитов Angler. С п…
Endress+Hauser и CodeWrights закрыли уязвимость в ПО через 2,5 года после уведомления
Компания Digital Security, специализирующаяся на анализе защищенности систем и исследованиях в области ИБ, сообщила о закрыт…
Глава HTC Америка: «Гарантированные ежемесячные апдейты для Android-устройств, это нереалистично»
В то время как Google сдержала свое обещание и выпустила в составе ежемесячного обновления для устройств Nexus патч для уязв…
Обнаружен Stagefright 2.0, MP3 и MP4 опасны для Android
Казалось, уязвимость Stagefright, поставившая под угрозу почти миллиард Android-устройств, сплотила этот сегментированный ры…
Обойти Gatekeeper в OS X совсем просто, сообщает компания Synack
1 октября 2015 года, на конференции Virus Bulletin, прошедшей в Праге, директор ИБ-компании Synack Патрик Вордл (Patrick War…
Уязвимость в WinRAR ставит под угрозу порядка 500 млн пользователей
Иранский исследователь Мохаммад Реза Испаргам (Mohammad Reza Espargham) из компании Vulnerability-Lab нашел крайне неприятны…
Специалисты CERT обнаружили проблему с cookie во всех современных браузерах
Команда ученых из Computer Emergency Response Team (CERT) опубликовала отчет, согласно которому, реализация хранения и испол…
Баг в Imgur использовался для атак на пользователей имиджбордов
Администрация сервиса для хранения и обмена фото Imgur, совместно с руководителями имиджбордов 4chan и 8chan, сообщает об об…
Тэвис Орманди рассказал об уязвимостях в «Антивирусе Касперского»
В начале сентября сотрудник Google и член Project Zero Тэвис Орманди (Tavis Ormandy) рассказал об обнаружении уязвимостей в …
iOS 9 позволяет получить доступ к фотографиям и контактам, не вводя пароль
В iOS 9 обнаружена уязвимость, которая, при наличии физического доступа к устройству, позволяет обойти защиту операционной с…
Chrome падает из-за нескольких символов в URL
В Google Chrome, а также других браузерах, работающих на его движке, обнаружили очень простую и эффективную уязвимость. Дост…
Критическая уязвимость в Bugzilla позволяет воровать баги
Совсем недавно компания Mozilla сообщала о том, что некие злоумышленники сумели взломать аккаунт одного из привилегированных…
Easy Hack #200. Пароли админа Windows, уязвимости веб-фреймворков и ключи протокола Cisco
Представим себе типичную ситуацию: через какую-то уязвимость мы получили возможность удаленно выполнять команды на сервере с Windows. Высоких привилегий в ОС у нас нет, и порты зафильтрованы на внешнем файрволе. Подошел бы вариант с бэк-коннект шеллом, но ведь надо закачать наш шелл в ОС. И если под *nix-системы существует куча разных возможностей, то с виндой труднее...
Обзор эксплоитов #198. Выполнение кода за пределами виртуальной машины
Наш сегодняшний обзор будет посвящен уязвимостям, которые позволяют совершить побег из разнообразных песочниц. Одна из них затронула такую популярную виртуальную машину, как QEMU. В ходе ее эксплуатации можно выполнить произвольный код, который затронет хостовую машину. Другая же основана на встраиваемом языке Lua — она позволяет не просто выполнять код, но и читать память.
Matroska отправляет Android в кому
Два дня назад компания Zimperium Mobile Security рассказала, что 95% Android-устройств в мире уязвимы перед обычными MMS-соо…
Microsoft выпустила экстренный патч для почти всех версий Windows
Накануне выхода Windows 10, компания Microsoft была вынуждена выпустить внеплановое, срочное обновление, затронувшее почти в…
Новые техники обнаружения и эксплуатации XPath/XQuery injection
На сегодняшний день широкой общественности известен единственный boolean-based метод обнаружения и эксплуатации XPath/XQuery injection. В то же время XPath и XQuery — самые распространенные языки для работы с данными в формате XML. Поэтому, чтобы исправить такую несправедливость, я расскажу о других техниках обнаружения и эксплуатации XPath/XQuery injection.
Исследователю, обнаружившему баг в школьном ПО, угрожают судом
В любой непонятной ситуации подавайте на оппонента в суд. Похоже, именно таким принципом руководствуются в британской компан…
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
- доступ к платным материалам сайта
- доступ ко всем номерам PDF
4000 р.
на год
на год
920 р.
на месяц
на месяц
Материалы для подписчиков
Трюки
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире