Pull to refresh

Незакрытая критическая уязвимость в Firefox 3.5

Information Security *
Сайт threatpost.com посвященный информационной безопасности сообщает, ссылаясь на трекер узявимостей secunia.com, об обнаружении критической уязвимости в Firefox 3.5.

Уязвимость касается javascript и тега font и позволяет при попадании пользователя на страницу злоумышленника, через повреждение памяти (переполнение буфера), удаленно выполнить вредоносный код. Указанные сайты рекомендуют владельцам данного браузера отключить javascript до появления патча от Mozilla.
Total votes 129: ↑85 and ↓44 +41
Views 596
Comments 49

Критическая уязвимость в продуктах Apple не закрыта 7 месяцев

Information Security *
Опубликован эксплойт критической уязвимости для большинства продуктов Apple: компьютеров, ноутбуков, iPhone и даже Apple TV. Информация об уязвимости была известна с июня прошлого года, но Apple проигнорировала ее.

Уязвимость позволяет удаленному злоумышленнику выполнить произволный код на устройстве жертвы, которая посетила вредносный сайт в интернете.

Сообщается, что подобная уязвимость была обнаружена в системах OpenBSD, NetBSD, FreeBSD, но там она была закрыта.

via www.theregister.co.uk/2010/01/12/critical_osx_security_bug
Total votes 76: ↑53 and ↓23 +30
Views 597
Comments 42

IBM X-Force Threat Report: исправление цифр

Information Security *
Интересная история произошла с аналитическим отчётом IBM X-Force Threat Report, который традиционно выходит раз в полгода и посвящён анализу последних тенденций в области информационной безопасности. Среди прочего, они приводят статистику по количеству обнаруженных дыр (в их базе данных за I пол. 2010 года зарегистрировано около 4500 уязвимостей, кстати, рекордное число) и по количеству патчей. Таким образом, они составляют рейтинг, какой вендор лучше справляется с обнаруженными уязвимостями.

Новый отчёт вышел на прошлой неделе (скачать разрешают после регистрации, но можно попробовать прямую ссылку на PDF). Он интересен двумя вещами.

Во-первых, документ придётся переделать. Авторы из IBM уже сказали, что в ближайшие дни заменят PDF на FTP-сервере. Проблема в том, что две компании заявили протест по опубликованным цифрам в рейтинге «дырявых вендоров». Одна из этих компаний — Google.
Читать дальше →
Total votes 8: ↑6 and ↓2 +4
Views 689
Comments 1

Критическая уязвимость у смартфонов на базе Exynos

Apps4All corporate blog Information Security *
В ядре Android, а точнее в файле /dev/exynos-mem, который работает с мобильными процессорами Exynos 4210 и Exynos 4412, обнаружена критическая уязвимость (подвержены такие флагманы компании Samsung, как Samsung Galaxy S II, Samsung Galaxy S III и Samsung GALAXY Note II, кроме того уязвимость присутствует и на других аппаратах с этими процессорами – например Meizu MX). Любое приложение Android через нее может контролировать всю физическую память устройства.

Читать дальше →
Total votes 80: ↑77 and ↓3 +74
Views 55K
Comments 59

Критическая уязвимость в OpenSSL 1.0.1 и 1.0.2-beta

Information Security *Cryptography *

Несколько часов назад сотрудники The OpenSSL Project выпустили бюллетень безопасности, в котором сообщается о критической уязвимости CVE-2014-0160 в популярной криптографической библиотеке OpenSSL.

Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из-за этой маленькой ошибки одного программиста кто угодно получает прямой доступ к оперативной памяти компьютеров, чьи коммуникации «защищены» уязвимой версией OpenSSL. В том числе, злоумышленник получает доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде. При этом не остается никаких следов проникновения в систему.
Читать дальше →
Total votes 185: ↑175 and ↓10 +165
Views 146K
Comments 260

SecurityWeek 2: армия клонов, Google охотится на привидений, Blizzard патчится

«Лаборатория Касперского» corporate blog Information Security *
Новость
Судьба зловреда Exobot, с помощью которого злоумышленники добывали данные банковских карт пользователей еще с 2013 года, сложилась интереснее, чем у большинства подобных троянов — но весьма проблематично для экспертов безопасности. Авторы бота охотно сдавали его в аренду на любой срок, причем сервис оказался столь успешен коммерчески, что появилась даже вторая версия, переработанная практически с нуля. Что характерно, заказчики могли по своему желанию модифицировать троян с помощью контрольной панели, выбирая нужные им функции. Практически фабрика клонов со спецификациями на любой вкус.

А в прошедшем декабре организаторы этого центра клонирования во всеуслышание заявили, что собираются продать исходный код ограниченному кругу покупателей. Якобы они уже срубили с Exobot достаточно и выходят из бизнеса. Заявление звучит не очень логично, но может быть отчасти правдой: если им удалось сорвать большой куш, теперь добыча и собственная свобода перевешивают возможные выгоды. Но скорее всего, операторы Exobot постарались таким образом замаскировать желание уйти в тень и скрыться от пристального внимания. Как бы то ни было, после первых же продаж неприятности не заставили себя ждать: зловред пошел в серию.
Читать дальше →
Total votes 24: ↑22 and ↓2 +20
Views 5.2K
Comments 0

Adobe исправила критическую уязвимость во Flash перед прекращением поддержки

Information Security *Adobe Flash
image

В этом месяце Adobe устранила критическую уязвимость в составе Flash Player. Это одно из последних обновлений, поскольку в декабре поддержку плагина прекратят окончательно.
Читать дальше →
Total votes 8: ↑7 and ↓1 +6
Views 2.6K
Comments 1

Эксперт обнаружил критическую уязвимость в Windows 10. Однострочная команда повреждает NTFS на диске

System administration *Computer hardware Software


По информации Bleeping Computer, эксперт Джонас Л. предупредил о серьезной уязвимости в драйвере Windows NTFS во всех версиях Windows 10, начиная с 1803 и выше, включая 20H2.

Уязвимость можно активировать однострочной командой. Она мгновенно производит повреждение файловой системы NTFS на жестком диске. Сразу после ее отработки Windows 10 предлагает пользователю перезагрузить ПК, чтобы восстановить поврежденные записи и исправить индексацию на диске.

Данная уязвимость доступна не только из под администратора, ее может использовать любой пользователь Windows 10 с низкими привилегиями в системе. Уязвимость можно активировать удаленно, а также встраивать в HTML. В некоторых системах после ее отработки повреждается MFT.
Читать дальше →
Total votes 102: ↑100 and ↓2 +98
Views 69K
Comments 123

Баг Windows 10 с повреждением файловой системы NTFS исправили сторонним патчем

System administration *Software IT-companies
image

Разработчики компании OSR выпустили неофициальный патч против бага в Windows 10. Заплатка помогает предупредить и заблокировать активацию серьезной уязвимости в драйвере Windows NTFS во всех версиях Windows 10, начиная с 1803 и выше, включая 20H2, а также Windows XP.
Читать дальше →
Total votes 10: ↑9 and ↓1 +8
Views 13K
Comments 20

Microsoft предупредила клиентов о критической уязвимости в Azure Cosmos DB

Information Security *Database Administration *Microsoft Azure *Cloud services *

Microsoft предупредила тысячи своих клиентов о том, что в облачном сервисе компании Azure найдена критическая уязвимость. Она позволяет злоумышленникам читать, изменять или даже удалять документы из базы данных Cosmos DB Microsoft Azure.

Читать далее
Total votes 13: ↑12 and ↓1 +11
Views 1.9K
Comments 0

Apple закрыла в облачном хранилище iCloud критическую уязвимость Log4Shell

Information Security *GitHub *Cloud services *IT-companies


По информации 9to5Mac, Apple закрыла в облачном хранилище iCloud критическую уязвимость Log4Shell в библиотеке логирования Log4j, которую используют многие веб-приложения на Java.
Читать дальше →
Total votes 11: ↑11 and ↓0 +11
Views 2.8K
Comments 0

В ядре Linux нашли серьезную уязвимость, которая позволяет перезаписывать любые файлы в системе

Configuring Linux *Information Security *Software

Исследователи компании CM4all обнаружили самую опасную уязвимость ядра Linux за последние годы (CVE-2022-0847). Dirty Pipe позволяет перезаписать содержимое любого файла от имени непривилегированного пользователя.

Читать далее
Total votes 31: ↑30 and ↓1 +29
Views 13K
Comments 5

Samsung исправит критическую уязвимость смартфонов Galaxy S22

Information Security *Smartphones

Samsung признала наличие критической уязвимости Dirty Pipe, которая позволяет злоумышленникам получать зашифрованную информацию на смартфонах Galaxy. Среди затронутых устройств оказались новые флагманы Galaxy S22. Подробнее об уязвимости читайте в статье:

Читать далее
Total votes 4: ↑4 and ↓0 +4
Views 1.8K
Comments 0

GitLab закрыла критическую уязвимость, которая позволяла удаленно получать доступ к учетным записям пользователей

Information Security *Open source *System administration *IT-companies


По информации Bleeping Computer, GitLab закрыла критическую уязвимость CVE-2022-1162, которая позволяла удаленно получать доступ к учетным записям пользователей.
Читать дальше →
Total votes 6: ↑6 and ↓0 +6
Views 4.6K
Comments 1

Cloudflare выплатила белому хакеру $6 тыс. за критическую уязвимость в работе службы маршрутизации электронной почты

Information Security *IT Infrastructure *Network technologies *Web services testing *IT-companies


Cloudflare выплатила на площадке HackerOne белому хакеру Альберту Педерсену $6 тыс. за обнаружение критической уязвимости в работе бета-версии службы маршрутизации электронной почты компании.
Читать дальше →
Total votes 1: ↑1 and ↓0 +1
Views 2.7K
Comments 3

В GitLab обнаружили RCE-уязвимость, которая позволяет удалённо выполнять код на устройстве

Information Security *Open source *Git *

GitLab выпустил исправление для критической RCE-уязвимости CVE-2022-2884 (CVSS 9.9), которая позволяет авторизованному хакеру удалённо выполнить код на устройстве через GitLab Import API. Уязвимость затрагивает выпуски GitLab Community Edition (CE) и Enterprise Edition (EE).

Читать далее
Total votes 6: ↑6 and ↓0 +6
Views 1.4K
Comments 0

Microsoft обнаружила в TikTok для Android критическую уязвимость, которая позволяет красть аккаунты

Information Security *JavaScript *Development for Android *Mobile App Analytics *Social networks and communities

Microsoft обнаружила в приложении TikTok для Android серьёзную уязвимость, которая позволяла злоумышленникам взломать учётные записи пользователей одним щелчком мыши. Уязвимость уже была устранена, и никаких доказательств её эксплуатации не выявили. 

Читать далее
Total votes 4: ↑4 and ↓0 +4
Views 928
Comments 0