Раскрыты детали уязвимости в WordPress 5.0.0
Саймон Скэннелл (Simon Scannell), в прошлом году предложивший метод атаки "PHP Phar deserialization", опубликовал сведения об уязвимости в системе управления контентом WordPress, позволяющей выполнить...
View ArticleКритическая уязвимость в системе управления web-контентом Drupal
В системе управления контентом Drupal выявлена критическая уязвимость (CVE-2019-6340), позволяющая удалённо выполнить произвольный PHP код на сервере. Уязвимости присвоен наивысший уровень опасности -...
View ArticleЛокальная root-уязвимость в реализации SCTP в ядре Linux
В реализации протокола SCTP, предлагаемой в ядре Linux, выявлена уязвимость (CVE-2019-8956), потенциально позволяющая локальному пользователю получить root привилегии в системе (выполнить код в...
View ArticleОбновление OpenSSL с устранением уязвимости в реализации TLS
Доступны корректирующие выпуски криптографической библиотеки OpenSSL 1.0.2r и 1.1.1b. В выпуске 1.0.2r устранена уязвимость (CVE-2019-1559), которая связана с некорректной обработкой нулевых байтов в...
View Article59.7% маршрутизаторов в домашних сетях имеют проблемы с безопасностью
Компания Avast опубликовала результаты (PDF) анализа безопасности устройств в домашних сетях и системах "умный дом". Анализ применяемых в домашних сетях маршрутизаторов показал, что 59.7%...
View ArticleАтака с использованием вредоносных устройств с интерфейсом Thunderbolt
Группа исследователей из Кембриджского университета представила новый вид атак Thunderclap (PDF), позволяющий получить доступ к содержимому всей памяти компьютера при подключении специально...
View ArticleМанипуляции с BMC позволяют контролировать серверы IBM Cloud после смены...
В серверах IBM Cloud выявлена проблема с безопасностью, позволяющая злоумышленнику заменить прошивку BMC-контроллера (Baseboard Management Controller). В контексте предоставления серверов IBM Cloud во...
View ArticleНа GitHub выявлено 73 репозитория с бэкдорами
Исследователи безопасности из команды "dfir it"выявили на GitHub цепочку учётных записей, предлагающих подложные репозитории с библиотеками и сборками различных проектов, включающими вредоносный код...
View ArticleАнализ запроса ненадлежащих полномочий в VPN-приложениях для Android
Издание Thebestvpn, специализирующееся на сравнении различных VPN-провайдеров, провело анализ полномочий, запрашиваемых приложениями для организации работы через VPN, поставляемыми в каталоге Google...
View ArticleSPOILER - новая атака на механизм спекулятивного выполнения CPU Intel
Группа исследователей из Вустерского политехнического института (США) и Любекского университета (Германия) раскрыли детали новой атаки SPOILER на механизм спекулятивного выполнения операций в...
View ArticleGoogle развеял домыслы в отношении 0-day уязвимости в Chrome
Первого марта компания Google опубликовала очередное обновление браузера Chrome 72.0.3626.121 с устранением уязвимости (CVE-2019-5786), позволяющей инициировать обращение к уже освобождённому блоку...
View ArticleУтечка 800 млн email через СУБД MongoDB сервиса подтверждения адресов
Исследователь безопасности Боб Дьяченко (Bob Diachenko).
View ArticleУязвимость в пакетном менеджере pacman, позволяющая выполнить код в ходе...
В пакетном менеджере pacman, применяемом в дистрибутиве Arch Linux, выявлена уязвимость (CVE-2019-9686), позволяющая добиться выполнения кода с правами root в момент установки пакета, в случае контроля...
View ArticleВ WordPress 5.1.1 устранена уязвимость, позволяющая получить контроль над сайтом
Опубликован корректирующий релиз системы управления web-контентом WordPress 5.1.1, в котором устранена CSRF-уязвимость, позволяющая совершить атаку на администратора сайта для выполнения кода на сервере.
View ArticleОбновление Ruby и Rails с устранением уязвимостей
Доступны корректирующие версии языка программирования Ruby 2.6.2 и 2.5.4, в которых устранено шесть уязвимостей в системе управления пакетами RubyGems.
View ArticleОколо миллиона TLS-сертификатов подлежат отзыву из-за проблем с энтропией
Проблемы с энтропией при генерации серийных номеров при помощи инструментария для удостоверяющих центров EJBCA привели к формированию более миллиона TLS-сертификатов, подлежащих отзыву. Наибольшее...
View ArticleОчередные критические уязвимости в Ghostscript
Продолжают находить критические уязвимости в Ghostscript, наборе инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF. Новые проблемы CVE-2019-3835 и...
View ArticleАнализ утечек конфиденциальных данных через репозитории на GitHub
Группа исследователей из Университета штата Северная Каролина.
View ArticleНа соревновании Pwn2Own 2019 продемонстрированы взломы Firefox, Edge, Safari,...
Подведены итоги второго дня соревнования Pwn2Own 2019, ежегодно проводимого в рамках конференции CanSecWest в Ванкувере. На соревновании были продемонстрированы рабочие техники эксплуатации ранее...
View ArticleОбновление Firefox 66.0.1 и Tor Browser 8.0.8 с устранением уязвимостей
Доступны корректирующие выпуски Firefox 66.0.1 и 60.6.1, а также Tor Browser 8.0.8, в которых устранены две критические уязвимости, позволяющие выполнить код при обработке специально оформленных...
View Article