Эксплоиты и тесты производительности, связанные с уязвимостями Meltdown и...
Исследователи безопасности, выявившие уязвимости в системе спекулятивного выполнения команд современных процессоров, открыли доступ к рабочим протипам эксплоитов, созданным для демонстрации возможности...
View ArticleLet's Encrypt опубликовал описание атаки и план по устранению проблемы
Сервис Let's Encrypt опубликовал описание уязвимости, из-за которой сегодня утром был отключен метод проверки владения доменом TLS-SNI-01. Проблема была не на стороне Let's Encrypt и была вызвана...
View ArticleПредставлен метод атаки на групповой чат WhatsApp и Signal
Группа исследователей безопасности из Рурского университета опубликовала сведения о недоработках протокола в системе групповых чатов WhatsApp, позволяющих при получении доступа к серверу организовать...
View Article21 неисправленная уязвимость в системе 3D-моделирования Blender
В результате аудита кодовой базы свободной системы 3D-моделирования Blender исследователями безопасности из компании Cisco выявлена 21 уязвимость. Уязвимость позволяют атакующему выполнить произвольный...
View ArticleАтака на OpenSSH sftp, осуществляемая при некорректной настройке chroot
В реализации sftp из состава OpenSSH выявлена недоработка, которая при редком стечении настроек может привести к выполнению кода в режиме chroot. Суть проблемы в том, что при использовании...
View ArticleСбой антиспам-системы привёл к коллапсу в репозитории NPM
В репозитории NPM произошёл инцидент, напоминающий произошедшую в 2016 году историю с модулем left-pad, удаление которого привело к неработоспособности многих проектов из-за потери зависимости. На этот...
View ArticleУязвимость в Glibc, позволяющая поднять привилегии в системе
В стандартной библиотеке Glibc выявлена уязвимость (CVE-2018-1000001), вызванная переполнением через нижнюю границу буфера в функции realpath(), проявляющимся при возврате относительного пути системным...
View ArticleВ коммутаторах Lenovo и IBM выявлен бэкдор
Компания Lenovo сообщила о выявлении бэкдора (CVE-2017-3765) в операционной системе ENOS (Enterprise Network Operating System), которая поставляется в некоторых моделях коммутаторов Lenovo и IBM (Flex...
View ArticleВ SoftEther VPN найдено 11 уязвимостей
Гвидо Вренкен (Guido Vranken), в своё время выявивший несколько опасных уязвимостей в различых реализациях SSL/TLS и в OpenVPN, опубликовал результаты аудита мультипротокольного открытого VPN-сервера...
View ArticleУязвимость в BitTorrent-клиенте Transmission, позволяющая выполнить код
В BitTorrent-клиенте Transmission выявлена уязвимость (CVE-2018-5702), затрагивающая RPC-интерфейс, используемый для организации связи между бэкендом (рабочий процесс) и фронтэндом (интерфейс)....
View ArticleВ четырёх популярных дополнениях к Chrome выявлен вредоносный код
Исследователи из компании ICEBRG выявили четыре дополнения к Google Chrome, в которых присутствовали вредоносные вставки, позволяющие выполнять в браузере произвольный код, загружаемый со сторонних...
View ArticleОбновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением...
Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В январском обновлении в сумме устранено 237...
View ArticleВ ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI на...
Опубликованы корректирующие выпуски DNS-сервера BIND 9.11.2-P1, 9.10.6-P1 и 9.9.11-P1 c устранением уязвимости (CVE-2017-3145), которую можно использовать для инициирования отказа в обслуживании (крах...
View ArticleВредоносное ПО организует майнинг криптовалют на серверах с незакрытыми...
Исследователи из компании Checkpoint выявили вредоносное ПО RubyMiner, которое поражает незащищённые серверы Linux и Windows, и запускает код для майнинга криптовалют. Для распространения RubyMiner...
View ArticleУязвимость в приложениях на базе платформы Electron
В платформе Electron, позволяющей создавать обособленные приложения на основе движка Chromium и системы Node.js, выявлена уязвимость (CVE-2018-1000006), которая может привести к удалённому выполнению...
View ArticleВыпуск свободного антивирусного пакета ClamAV 0.99.3 с устранением уязвимостей
Доступен релиз свободного антивирусного пакета ClamAV 0.99.3, в котором устранено 7 уязвимостей, из которых три потенциально могут быть эксплуатированы для выполнения кода злоумышленника при обработке...
View ArticleМошенники смогли разместить на YouTube рекламу с кодом для майнинга криптовалюты
Компанией Trend Micro зафиксирована целенаправленная кампания по размещению баннеров с кодом для майнинга криптовалюты в сети DoubleClick с акцентированием размещения на сайте YouTube. Возможность...
View ArticleВ реализации VPN в Cisco ASA и Firepower выявлена критическая уязвимость
Компания Cisco предупредила об обнаружении опасной уязвимости (CVE-2018-0101) в реализации VPN, предлагаемой в продуктах Cisco Adaptive Security Appliance (ASA) и Firepower, которая позволяет...
View ArticleБолее 2000 сайтов под управлением WordPress оказались поражены кейлоггером
Исследователи из компании Sucuri выявили атаку по подстановке на незащищённые сайты под управлением WordPress JavaScript-кода с реализацией кейлоггера, перехватывающего пароли и друге вводимые данные,...
View ArticleУязвимость, позволяющая выполнить SQL-запрос в системе управления контентом...
Раскрыты сведения об уязвимости (CVE-2018-6376) в системе управления контентом Joomla, которая была устранена в обновлении 3.8.4 и помечена разработчиками Joomla как не представляющая опасность....
View Article
