Данные пользователей Tumblr «утекали» через виджет рекомендованных блогов
Блогинговая платформа Tumblr сообщила о баге, из-за которого личные данные пользователей подвергались опасности.
Опасные баги позволяют перехватить контроль над роутерами D-Link
Восемь моделей роутеров D-Link уязвимы перед атаками, но лишь две из них получат исправления.
Критическая уязвимость в библиотеке libssh угрожает тысячам серверов
Баг в библиотеке Libssh позволяет легко обойти аутентификацию и получить контроль над уязвимым сервером.
Инженеры Oracle исправили более 300 багов в своих продуктах
Oracle устранила более 300 уязвимостей в своих решениях, однако это не самый большой пакет патчей в истории компании.
Баг в Branch.io поставил под угрозу XSS-атак Tinder, Shopify, Yelp
Порядка 685 000 000 пользователей Tinder, Shopify, Yelp и других сервисов оказались в опасности из-за уязвимости Branch.io.
Уязвимость нулевого дня в Windows эксплуатировали в странах Ближнего Востока
Обнаружена серия целевых атак на Ближнем Востоке. Злоумышленники применяли новый эксплоит, который использовал уязвимость ну…
Уязвимость в Microsoft JET недавно была исправлена, но оказалось, что не до конца
Баг, обнаруженный специалистами Trend Micro Zero Day Initiative в конце сентября был исправлен в рамках октябрьского «вторни…
Найдена уязвимость RCE в браузере Edge, PoC есть в открытом доступе
Для срабатывания бага достаточно зайти на веб-страницу, и на компьютере выполнится вредоносный код.
В WhatsApp нашли уязвимость, которая срабатывает при ответе на звонок
Во время видеовызова жертва получает неправильный пакет RTP, что и приводит к ошибке и сбою в работе мобильного приложения.
Защиту от рансомвари Windows 10 можно обойти с помощью инъекции DLL
Имея доступ к компьютеру жертвы, можно внедрить вредоносную DLL в Explorer и обойти защиту. В Microsoft не считают это багом…
Эксплуатируем Open Redirect. Как открытый редирект используют для фишинга и DDoS
Уязвимости типа Open Redirect позволяют перенаправить пользователя на фишинговый сайт или заставить скачать руткит под видом полезного ПО. Несмотря на всю опасность этих уязвимостей, закрывать их не спешат даже в Google. Давай разберемся, почему так вышло и как работают разные атаки с Open Redirect.
Разрешено все! Изучаем новую крутую технику обхода CSP
Политика защиты контента (CSP) — это механизм, встроенный в браузеры, который позволяет защититься от XSS-атак. Например, если в заголовке CSP указано загружать изображения только с текущего домена, то все теги со сторонними доменами будут проигнорированы. Но как провести полноценную атаку с кражей данных, если ничего нельзя отправлять на другие ресурсы?
Уязвимость роутеров MikroTik оказалась серьезной и позволяет повышать права до рута
Еще прошлую версию бага использовали для запуска малвари-майнера, и уязвимых девайсов остаются десятки тысяч.
Под угрозой компрометации оказались аккаунты 50 000 000 пользователей Facebook
Компания Facebook объявила о компрометации нескольких десятков миллионов пользовательских учетных записей. Неизвестные злоум…
Cisco исправила 14 опасных уязвимостей в своих продуктах
Разработчики Cisco опубликовали патчи более чем для 20 уязвимостей в своих продуктах. Большинство проблем исправлено в сост…
Баг Mutagen Astronomy представляет угрозу для Red Hat Enterprise Linux, CentOS и Debian
Новую проблему в ядре Linux выявили специалисты Qualys Research Labs. Уязвимость, связанная с функцией create_elf_tables() и…
Обнаружены семь новых модулей для VPNFilter
Аналитики Cisco Talos обнаружили новые модули для малвари VPNFilter, впервые замеченной еще весной текущего года. Учитывая с…
Mitsubishi отзывает более 68 000 автомобилей из-за софтверных проблем
Компания Mitsubishi объявила, что отзывает из продажи 68 000 автомобилей, так как в них обнаружены два опасных софтверных ба…
Разработчики Cisco удалили из Video Surveillance Manager жестко закодированные учетные данные
Разработчики Cisco сообщают, что исправили уязвимость в Video Surveillance Manager (VSM). Баг представлял собой жестко закод…
Уязвимость в macOS Mojave позволяет обойти новые механизмы защиты приватности
Сразу после выхода новой версии macOS известный ИБ-специалист и сооснователь Digita Security Патрик Вордл (Patrick Wardle) с…
Пространство для эксплуатации. Как работает новая RCE-уязвимость в Apache Struts 2
Во фреймворке Apache Struts 2, виновном в утечке данных у Equifax, нашли очередную дыру. Она позволяет злоумышленнику, не имея никаких прав в системе, выполнить произвольный код от имени того пользователя, от которого запущен веб-сервер. Давай посмотрим, как эксплуатируется эта уязвимость.
Тысячи сайтов на WordPress взломаны и содержат редиректы на фальшивую техподдержку
Специалисты компаний Sucuri и Malwarebytes выявили массовую компрометацию сайтов, работающих под управлением WordPress. Взло…
Эксперты Trend Micro раскрыли детали неисправленной 0-day уязвимости в Microsoft JET
Эксперты Trend Micro Zero Day Initiative (ZDI) обнародовали информацию о неисправленной уязвимости в составе Microsoft Jet D…
Эхо кибервойны. Как NotPetya чуть не потопил крупнейшего морского перевозчика грузов
Российское кибероружие, построенное на утекших у АНБ эксплоитах, маскировалось под вирус-вымогатель, но главной целью NotPetya было выведение из строя промышленных объектов. Одной из жертв стал крупнейший морской грузоперевозчик — Maersk. История о его заражении и устранении последствий не просто полна захватывающих подробностей, но во многом показательна.
Adobe выпустила патчи для уязвимостей в Reader и Acrobat
Разработчики Adobe выпустили патчи для Windows и macOS версий продуктов Acrobat и Reader, в общей сложности устранив семь уя…
Устройства My Cloud компании Western Digital более года уязвимы перед проблемой обхода аутентификации
ИБ-эксперт компании Securify рассказал о проблеме в NAS компании Western Digital, которую разработчики не могут исправить с …
Безопасность смарт-контрактов. Топ-10 уязвимостей децентрализованных приложений на примере спецификации DASP
Количество смарт-контрактов в блокчейне Ethereum только за первую половину 2018 года выросло в два раза по сравнению с 2017-м. Соответственно, растет и множество уязвимостей, векторов атак на децентрализованные приложения. В этой статье мы попробуем упорядочить уязвимости аналогично OWASP Top 10. Кода тебя ждет немало, так что готовься — легко не будет. :)
Разработчики Android нашли серьезный баг в устройствах Honeywell
Инженеры Google, работающие над созданием операционной систсемы Android, обнаружили, что устройства компании Honeywell уязви…
Злоумышленники могут взломать камеры наблюдения через 0-day уязвимость Peekaboo
Специалисты Tenable обнаружили критическую уязвимость в оборудовании компании Nuuo, являющейся одним из лидеров в области ре…
Мошенники из группировки Partnerstroka блокируют курсор пользователей Google Chrome
Исследователи Malwarebytes рассказали о мошеннической группе Partnerstroka, которая блокирует пользователей Google Chrome на…
Баг в антивирусе Webroot SecureAnywhere для macOS позволял выполнить вредоносный код на уровне ядра
Специалисты Trustwave SpiderLabs опубликовали подробности о локально эксплуатируемом баге в антивирусе Webroot SecureAnywher…
Майнинговый червь WannaMine по-прежнему атакует крупные компании
Аналитики компании Cybereason предупредили, что вредонос WannaMine по-прежнему активен и заражает сети крупных компаний.
Простой CSS-код заставляет iPhone перезагружаться
В сети был опубликован proof-of-concept эксплоит для проблемы в движке WebKit, используемом браузером Safari. После загрузки…
Более двух миллиардов устройств все еще уязвимы перед проблемой BlueBorne
Исследователи Armis подвели итог, спустя год после обнаружения проблемы BlueBorne, в состав которой вошли восемь уязвимосте…
Перед новой вариацией атаки cold boot уязвимы почти все современные компьютеры
Специалисты компании F-Secure обнаружили новый вектор использования так называемых «атак методом холодной перезагрузки» (Col…
Microsoft исправила более 60 уязвимостей в своих продуктах, включая 0-day проблему
В рамках сентябрьского «вторника обновлений» разработчики Microsoft исправили 62 уязвимости, включая 17 критических. Также б…
Публикация PoC-эксплоита для популярного WordPress-плагина породила волну массовых сканов
Атакующие сканируют интернет в поисках уязвимых установок плагина Duplicator для WordPress, так как в конце августа исследов…
Браузеры Edge и Safari уязвимы перед подделкой данных в строке адреса
Независимый ИБ-эксперт Рафай Балоч (Rafay Baloch) обнаружил, что браузеры Edge и Safari уязвимы перед проблемой подделки дан…
Инженеры McAfee не могут устранить баг в True Key, несмотря на выпуск двух патчей
Специалисты Exodus Intel сообщают, что инженеры McAfee до сих пор не исправили проблему эскалации привилегий в менеджере пар…
Взломать «умный» брелок Tesla сумели за две секунды
Используя оборудование общей стоимостью 600 долларов, исследователи из Левенского католического университета научились взлам…
Бумажный спецвыпуск
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
- доступ к платным материалам сайта
- доступ ко всем номерам PDF
4500 р.
на год
на год
950 р.
на месяц
на месяц
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире