уязвимость

Продукты Fortinet, Microsoft и Ivanti в фокусе анализа за прошлый месяц. В феврале эксперты Positive Technologies отнесли к трендовым еще восемь уязвимостей. Это уже использовавшиеся в кибератаках уязвимости и те, эксплуатация которых прогнозируется в ближайшее время. К трендовым...

Facebook заплатила рекордную сумму специалисту за нахождение уязвимости, которая давала доступ к любому аккаунту. Непальский исследователь кибербезопасности Самип Арьял вошел в историю, обнаружив уязвимость в системе сброса пароля Facebook*, которая позволяла злоумышленнику без всяких...

Каждая третья успешная атака на компании связана с эксплуатацией уязвимостей. Эксперты Positive Technologies провели анализ современных киберугроз за IV квартал 2023 года. Результаты показали, что в трех из четырех успешных атак на организации в этот период злоумышленники использовали...

AI-ассистенты не способны оценивать семантику и безопасность кода. Специалисты по безопасности из компании Snyk провели исследование, которое показало, что инструмент для автоматического написания кода GitHub Copilot способен генерировать код с уязвимостями, если в исходном проекте уже...

Предустановленная утилита подрывает безопасность миллионов пользователей Ubuntu. Исследователи из Aqua Security обнаружили критическую уязвимость , позволяющую злоумышленникам взламывать системы на базе Linux . Речь идёт об эксплуатации встроенной в дистрибутив Ubuntu утилиты...

Критическая брешь в DNSSEC требует пересмотра ключевых стандартов безопасности Интернета. Немецкий национальный исследовательский центр прикладной кибербезопасности ATHENE обнаружил критическую уязвимость в системе безопасности доменных имён ( DNSSEC ), которая может привести к серьёзным...

Apple поблагодарила хакера, арестованного за взлом систем компании. Исследователь в области кибербезопасности, ранее сообщавший о нескольких уязвимостях в продуктах Apple , обвиняется в проникновении во внутреннюю инфраструктуру Apple и обмане корпорации на сумму $2,5 млн. за счет подарочных...

CVE-2024-23832 требует незамедлительных действий от администраторов. Децентрализованная социальная сеть Mastodon раскрыла серьёзную уязвимость в безопасности, которая позволяет злоумышленникам притворяться другими пользователями и захватывать их аккаунты. «Из-за недостаточной проверки...

Отказ в обслуживании, устаревшее ПО - есть на что обратить внимание. Команда разработчиков анонимной сети Tor опубликовала отчёт по итогам второй инспекции , осуществлённой компанией Radically Open Security с апреля по август 2023 года. В рамках проверки были изучены код для обеспечения...

Критическая уязвимость в системной библиотеке вновь поднимает вопрос о безопасности Linux. Непривилегированные злоумышленники могут получить root -доступ к нескольким основным дистрибутивам Linux в конфигурациях по умолчанию, используя недавно раскрытую уязвимость локального повышения...

Cisco призывает пользователей срочно принять меры безопасности. Cisco выпустила обновления для устранения критической уязвимости, затрагивающей продукты Unified Communications and Contact Center, которая может позволить неаутентифицированному удаленному злоумышленнику выполнить произвольный...

Почему администраторы не спешат с обновлением, рискуя защитой своих сетей? Критическая Zero-click уязвимость CVE-2023-7028 (оценка CVSS 10.0), о которой мы уже сообщали на прошлой неделе, обнаружена исследователями в более чем 5 300 экземплярах GitLab , доступных из Интернета. Несмотря...

Apple выпустила обновления с исправлением очередной ошибки в своих продуктах. Apple выпустила обновления безопасности для iOS, iPadOS, macOS, tvOS и веб-браузера Safari, чтобы устранить уязвимость нулевого дня ( zero-day ), которая стала объектом активной эксплуатации. Уязвимость...

Некоторые методы взлома до сих пор актуальны. Чего ждёт Microsoft? Компания Varonis , специализирующаяся на кибербезопасности, обнаружила новую уязвимость в продуктах Microsoft , а также несколько методов атаки, позволяющих злоумышленникам получить хэши паролей пользователей...

Программист попал в ловушку Modern Solution и стал козлом отпущения. В Германии IT-консультант был оштрафован на €3 000 за обнаружение и сообщение об уязвимости базы данных интернет-магазина, которая раскрыла данные почти 700 000 клиентов. В июне 2021 года специалист, известный как Хендрик...

Сразу 6 уязвимостей в оборудовании PAX дают злоумышленникам полный карт-бланш на мошенничество. Группа исследователей из польской компании STM Cyber обнаружила серьёзные уязвимости в платёжных терминалах, производимых китайской компанией PAX . С их помощью киберпреступники могут выполнять...

Прошлогодняя утечка SSH-ключа вынудила компанию стать бдительнее. Недавно GitHub исправил уязвимость CVE-2024-0200 в Enterprise Server, связанную с небезопасным отражением ( Unsafe Reflection ), которая позволяла злоумышленникам выполнять удалённый код на незащищённых серверах. Эта...

Сразу 9 уязвимостей в Tianocore EDK II обеспечивают хакерам полную свободу злонамеренных действий. Исследователи из французской компании Quarkslab обнаружили множество серьёзных уязвимостей в Tianocore EDK II , открытой реализации спецификации UEFI , которые могут быть использованы для...

Свыше 7000 заражённых страниц обеспечивают вредоносную активность против простых пользователей. Тысячи WordPress -сайтов, использующих уязвимую версию плагина Popup Builder, были скомпрометированы вредоносной программой под названием Balada Injector. Впервые задокументированная...

Bitdefender предупреждает о новых рисках для владельцев IoT-устройств. Компания Bitdefender выявила уязвимость в широко распространённой модели домашнего Wi-Fi термостата Bosch BCC100. Эта уязвимость позволяет злоумышленникам удалённо манипулировать настройками устройства, включая...

Juniper Networks призывает клиентов как можно скорее обновить свои брандмауэры и коммутаторы. Компания Juniper выпустила обновления для устранения критической уязвимости удалённого выполнения кода ( RCE ) в своих брандмауэрах серии Juniper SRX и коммутаторах серии Juniper EX ...

CISA предупреждает о новой угрозе после публикации эксплойта к старой уязвимости. Исследователи сообщают о серьёзной угрозе: преступники, занимающиеся распространением вирусов-вымогателей, получили в своё распоряжение рабочий эксплойт для уязвимости в системе Microsoft SharePoint . Этот...

Aqua Security раскрывает слабые места в популярных продуктах Apache. Исследователи в области кибербезопасности обнаружили новый тип атаки, эксплуатирующей недостатки в конфигурации программного обеспечения Hadoop и Flink от Apache для развёртывания майнеров криптовалют в целевых системах...

Федеральные агентства США обязаны обновить устаревший софт до конца января. Агентство кибербезопасности и безопасности инфраструктуры США ( CISA ) внесло в свой каталог известных эксплуатируемых уязвимостей ( KEV ) критический недостаток безопасности, затрагивающий Microsoft SharePoint...

Проблема с клонированием Bluetooth-соединений наконец устранена. Компания Apple выпустила обновление прошивки для Magic Keyboard, чтобы устранить уязвимость безопасности под идентификатором CVE-2024-0230 (первоначально раскрытую как CVE-2023-45866 ), которая позволяла злоумышленникам...