Страницы: [1] 2 3 4 5 6 7 8 9 10 11 12 13 14 15 » #
Google Pixel взломали за 60 секунд
На этой неделе прошла крупная конференция специалистов в области кибербезопасности PwnFest 2016. В ходе нее специалисты продемонстрировали обнаруженные ими критические уязвимости в программном обеспечении, которые могут привести к получению тотального контроля над устройством. Ранее, например, хакеры нашли два способа взлома браузера Microsoft Edge на Windows 10. Испытание на стойкость провалил и новый смартфон Google Pixel: на внедрение и успешный запуск вредоносного кода на смартфоне у команды... Уязвимости // 14.11.2016 DiMan // Просмотров: 16455 // Рейтинг: - // Комментариев: 2
«-----------------------------------»
В CMS Joomla обнаружена критическая 0-day уязвимостьВо вторник 14 декабря команда разработки Joomla выпустила срочное обновление безопасности, закрывающее 0-day уязвимость, которая открывает злоумышленникам возможность удаленного исполнения кода. Хакеры уже активно пытаются атаковать уязвимые сайты. Что случилось По сообщению ИБ-компании Sucuri, эта ошибка уже эксплуатируется киберпреступниками — исследователям удалось обнаружить свидетельства успешных попыток ее использования еще 12 декабря. В лог-файлах веб-серверов скомпрометированных сайтов присутствовали... Уязвимости // 16.12.2015 DiMan // Просмотров: 18649 // Рейтинг: - // Комментариев: 2
«-----------------------------------»
LinkedIn закрыла хранимую XSS-уязвимостьРазработчики социального сервиса LinkedIn устранили постоянную уязвимость межсайтового скриптинга, эксплуатация которой открывала возможность для распространения червя на форумах техподдержки. Обнаруживший ее ИБ-исследователь с удовлетворением отметил, что фатальная ошибка была исправлена всего за три часа.
Со слов Рохита Дуа (Rohit Dua), данная брешь присутствовала на портале службы техподдержки LinkedIn; для ее эксплуатации пользователю нужно было выполнить вход в соцсеть, пройти на форум... Уязвимости // 25.11.2015 DiMan // Просмотров: 2935 // Рейтинг: - // Комментариев: -
«-----------------------------------»
Баг в приложении Gmail для Android позволяет любому отправлять поддельные сообщенияИсследователь безопасности обнаружил интересную лазейку в приложении для Android Gmail, которое позволяет любому послать электронное письмо, которое похоже, что его послал кто-то другой, потенциально открывая двери для фишеров. Это - что-то, что мы называем e-mail spoofing – а именно подделка почтового заголовка так, чтобы электронная почта, выглядела так, будто она пришла от кого-то другого, нежели от того кто её отправил. Обычно для подмены адреса электронной почты, нападаюшему нужно:
...
«-----------------------------------»
Хакеры могут удаленно записывать и прослушивать звонки из вашего телефона Samsung GalaxyЕсли Вы владелец телефона Samsung Galaxy – в особенности S6, S6 Edge или Note 4 – есть вероятность, что квалифицированный хакер сможет удаленно перехватить Ваши голосовые вызовы и прослушать их или даже записать все Ваши телефонные разговоры. Два исследователя безопасности, Дэниел Комэроми из Сан-Франциско и Нико Голд из Берлина, продемонстрировали точно то же самое во время конференции по безопасности в Токио. Дуэт продемонстрировал нападение man-in-the-middle (MITM) на трубке Samsung только...
«-----------------------------------»
CSRF-уязвимость VK Open Api, позволяющая злоумышленнику без ведома пользователя получать Access Token’ы сторонних сайтов, на которых реализована авторизация через VKОбнаружена серьезная уязвимость, связанная с неправильным применением JSONP в VK Open Api. Уязвимость позволяла сайту злоумышленника получать Access Token другого сайта, если на нём используется авторизация через библиотеку VK Open API. На данный момент уязвимый код поправили, репорт на HackerOne закрыли, вознаграждение выплатили (1,500$). Как это выгляделоВ принципе, процесс получения пользовательского Access Token'а страницей злоумышленника происходил по стандартной схеме эксплуатации CSRF-уязвимости:... Уязвимости // 17.11.2015 DiMan // Просмотров: 2566 // Рейтинг: - // Комментариев: -
«-----------------------------------»
Cisco исправляет серьезные недостатки в безопасности беспроводных устройствCisco выпустила несколько обновлений программного обеспечения для решения ряда критических и высокой степени тяжести уязвимостей некоторых компонентов безопасности и беспроводных устройств компании. Самым серьезным из недостатков, раскрытых в среду, является уязвимость команды к инъекции (CVE-2015-6298) на воздействие процесса генерации сертификата в веб-интерфейсе администрирования Cisco Web Security Appliance (WSA). Уязвимость, вызванная неподходящей проверкой параметра, может эксплуатироваться...
«-----------------------------------»
Уязвимость удаленного выполнения кода, обнаруженная на серверах приложений JavaНесколько популярных продуктов Java затронула серьезная уязвимость, которая может эксплуатироваться злоумышленниками, чтобы удаленно выполнять произвольный код. В посте блога, опубликованного в пятницу, FoxGlove Security продемонстрировала, как слабые места десериализации в JAVA-приложениях могут эксплуатироваться для выполнения кода удаленно через популярные Java библиотеки Apache Commons Collections. Основываясь на предыдущем исследовании Габриэля Лоуренса и Криса Фрохофф из Qualcomm, исследователи...
«-----------------------------------»
В Joomla исправили баг, который ставил под угрозу безопасность миллионов сайтовМиллионы сайтов, работающих на CMS Joomla, могут быть взломаны, причем злоумышленник получает административный доступ к взломанному сайту. Это — следствие уязвимости в Joomla, которую исправили только на прошлой неделе (само собой, далеко не все сайты обновились, с тем, чтобы получить это исправление бага). Под управлением Joomla сейчас работает около 2,8 миллионов сайтов. Уязвимость, связанная с SQL-инъекцией, была исправлена на прошлой неделе, с выходом новой версии Joomla 3.4.5. Уязвимость позволяла... Уязвимости // 26.10.2015 DiMan // Просмотров: 2253 // Рейтинг: - // Комментариев: -
«-----------------------------------»
Drupal.org взломанЭксперты по безопасности Drupal.org обнаружили факт несанкционированного проникновения в базу пользователей Drupal.org и groups.drupal.org.
Как отметили специалисты,взлом осуществлен из-за неустраненной уязвимости в стороннем ПО, установленном на сервере association.drupal.org. В результате эксплуатации бреши, злоумышленники получили доступ к информации о пользователях, их адреса электронной почты, страны проживания, указанные при регистрации, а также хэши паролей.
Аналитики также отмечают, что расследование...
«-----------------------------------»
Хак для JetDirect: уязвимы миллионы принтеров
Хакер Себастьян Гуерреро (Sebastián Guerrero) из компании ViaForensics подробно описал в своём блоге (исп. яз.) уязвимости в технологии JetDirect, которая используется
большинством производителей сетевых принтеров для подключения принтера к
локальной сети.
JetDirect — технология, разработанная компанией Hewlett-Packard,
позволяющая непосредственно подключать принтер к локальной
вычислительной сети. Соединение обычно осуществляется по TCP 9100.
Принтер, подключённый по JetDirect, становится...
«-----------------------------------»
Хакеры обнаружили уязвимости в iOS 6
Для выполнения джейлбрейка хакерам не хватает первичного выполнения кода.Двое хакеров рассказали о том, что они разрабатывают джейлбрейк для последней версии мобильной операционной системы Apple– iOS 6. Один из хакеров под псевдонимом Pod2g заявил в своей учетной записи в Twitter, что им удалось найти «новые уязвимости» в iOS 6, однако пока им не хватает первичного выполнения кода для выполнения джейлбрейка. Pod2g сотрудничает с Дэвидом Вонгом (David Wang), известным под псевдонимом @planetbeing... Уязвимости // 22.01.2013 Engel // Просмотров: 5790 // Рейтинг: - // Комментариев: 1
«-----------------------------------»
Уязвимость в skype, позволяющая угнать любой аккаунтМесяца два назад я писал об этой критической уязвимости в skype support, но она до сих пор не исправлена. Сразу скажу, что саму уязвимость я целиком не знаю, но в последнее время начались массовые угоны аккаунтов. Для реализации атаки необходимо лишь знать логин скайпа и e-mail жертвы, к которому привязан этот логин(в 90% случаев найти e-mail жертвы не проблема). Proof-of-Concept я не знаю. Но делается по достаточно незамысловатой схеме: -Регистрируется новый скайп на e-mail жертвы. -Запрашивается...
«-----------------------------------»
Хакеры эксплуатируют уязвимость нулевого дня в Adobe ReaderЭксперты компании Group IB обнаружили уязвимость в Adobe Reader версий X и XI, которая активно эксплуатируется вирусописателями. Эта уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе, для чего жертве необходимо открыть специально сформированный PDF файл в браузере или в Adobe Reader. По данным исследователей, эта уязвимость эксплуатируется в отдельных модификациях банковских троянов, таких как Zeus, Spyeye, Carberp, Citadel. Стоимость эксплоита к подобной...
«-----------------------------------»
Apple устранила ряд уязвимостей в iOSмериканская корпорация выпустила обновление прошивки для своих мобильных устройств. Компания Apple обновила прошивку своих мобильных устройств iOS до версии 6.0.1, устранив при этом ряд уязвимостей. В платформе исправлены две уязвимости, позволявшие злоумышленнику получить доступ к ключу OSBundleMachOHeaders и определенным данным в приложении Passbook. Помимо этого в iOS был обновлен Webkit, содержавший две уязвимости, которые позволяли злоумышленнику выполнить произвольный код на целевой системе...
«-----------------------------------»
На портале Министерства транспорта США обнаружены три критические уязвимостиУчастники хакерской группировки «The Wiki Boat Brazil» предоставили POC-код для проведения CSRF атаки на ресурс. Согласно сообщению представителей группы хакеров, называющих себя «The Wiki Boat Brazil», им удалось обнаружить три критические уязвимости на web-сайтах Министерства транспорта (Department of Transportation, DoT) США. Как следует из сообщения на портале группировки, такие web-сайты, как dot.gov, environment.fhwa.dot.gov и fhwa.dot.gov могут быть скомпрометированы посредством проведения...
«-----------------------------------»
Mozilla устранила две уязвимости в FirefoxВ браузере устранены 2 уязвимости XSS атаки и одну уязвимость раскрытия важных данных. Mozilla Foundation выпустила обновление безопасности Firefox 16.0.2, в котором устранила 3 уязвимости. Второе за последние две недели исправление в Firefox устраняет две уязвимости, позволяющие осуществить XSS атаку, а также одну уязвимость раскрытия важных данных, которая позволяет обойти ограничения безопасности и осуществить кросс-доменное чтение объекта Location. Уязвимости были устранены также в ESR версии...
«-----------------------------------»
Microsoft выпустила временное решение для уязвимости 0-дня в Internet ExplorerПользователям Microsoft Internet Explorer версий 7, 8 и 9 рекомендуется в кратчайшие сроки установить временное решение. Корпорация Microsoft выпустила временное решение для устранения критической уязвимости (CVE-2012-4969) в Microsoft Internet Explorer версий 7, 8 и 9. Пользователям браузера рекомендуется в кратчайшие сроки установить решение Fix it с сайта производителя. Напомним, что на прошлой неделе исследователь безопасности Ерик Романг (Eric Romang) в ходе изучения одного из серверов, скомпрометированных... Уязвимости // 21.09.2012 D-512 // Просмотров: 5064 // Рейтинг: - // Комментариев: -
«-----------------------------------»
Уязвимость в ISC BIND позволяет вызывать отказ в обслуживанииПроизводитель рекомендует обновить текущую версию сервера, либо дождаться релиза новых версий существующих веток. Internet Systems Consortium (ISC) сообщила об уязвимости в сервере доменных имен BIND, которая позволяет вызвать аварийное прекращение работы. Уязвимость CVE-2012-4244 существует из-за ошибки DNS сервера, которая возникает, если поле RDATA в DNS-записи превышает 64 Кб. Производитель отмечает, что уязвимыми являются все версии BIND, с 9.0.x по 9.9.1-P2, однако ветки 9.4 и 9.5 обновляться...
«-----------------------------------»
Более половины существующих Android устройств содержат известные уязвимостиИсследователи заключили, что производители мобильных устройств очень медленно выпускают обновления безопасности. По данным компании Duo Security, больше половины устройств на базе Android содержат известные уязвимости, потому что поставщики часто очень сильно задерживают выпуск обновлений. «С тех пор, как мы запустили наше решение для поиска уязвимостей, нами были собраны результаты из более чем 20 000 устройств на базе Android. Руководствуясь собранной информацией, мы считаем, что больше половины...
«-----------------------------------»
Страницы: [1] 2 3 4 5 6 7 8 9 10 11 12 13 14 15 » # |
Разместить рекламу 
