IBM попросила исследователя убрать PoC-код эксплоита для WebSphere из открытого доступа
Представители IBM вынудили исследователя Маурицио Агаззини убрать из открытого доступа код эксплоита.
Старая SSH-уязвимость используется для атак на IoT-устройства
Уязвимость в OpenSSH (CVE-2004-1653), обнаруженная еще в 2004 году, используется хакерами для компрометации IoT-девайсов.
Многие Android-устройства с прошивкой от Foxconn содержат скрытый бэкдор
Foxconn добавляет на Android-устройства отладочный режим, который позволяет обойти практически все защитные механизмы.
Microsoft пропатчила четыре 0-day уязвимости, которые эксплуатировали хакеры
Октябрьский пакет обновлений от Microsoft принес 10 бюллетеней безопасности и исправления для 36 уязвимостей.
Баги в продуктах Avtech могут привести к появлению нового IoT-ботнета
Исследователи обнаружили множество уязвимостей в устройства Avtech, но тайваньская компания не собирается их исправлять.
Уязвимости в MatrixSSL опасны для IoT-устройств производства Canon, D-Link, Intel, Motorola
Обнаружены уязвимости в имплементации SSL/TLS, которую используют множество IoT-устройств.
Easy Hack: Прикручиваем умный процессинг HTTP-ответов в Burp Intruder
Burp Intruder — популярный инструмент для комбинированных атак на параметры HTTP-запроса. Но кроме извлечения данных из HTML-ответов по простейшей регулярке, он не умеет никак их анализировать. Исправим это и прикрутим к Intruder свой кастомный процессинг ответов сервера на Python!
IntaForensics: Режим private browsing в Safari был ослаблен с выходом iOS 10
Исследователи обнаружили, что активация режима «частный доступ» в браузере Safari не способствует улучшению приватности.
Баг BadKernel представляет опасность для каждого шестнадцатого Android-устройства
Проблема, найденная в V8 JavaScript еще в 2015 году, до сих пор представляет опасность для многих Android-устройств.
Превью URL в iMessage раскрывает IP-адреса пользователей и информацию об устройстве
Исследователь Росс МакКиллоп обнаружил, что из-за новой функции в iMessage происходит утечка пользовательских данных.
Обнаружена 0-day уязвимость в библиотеке OpenJPEG
Специалисты Cisco Talos обнаружили в библиотеке OpenJPEG RCE-уязвимость.
Разработчики Cisco забыли удалить тестовый интерфейс из IronPort AsyncOS
Разработчики Cisco предупредили о критической уязвимости в Cisco IronPort AsyncOS для Email Security Appliances.
Zerodium заплатит 1,5 млн долларов за 0-day уязвимости в iOS 10
Известный брокер уязвимостей, компания Zerodium, пересмотрел свои тарифы за уязвимости в iOS.
Вскрываем Windows. Легкие способы получить права админа на рабочем компьютере
Понятно, что ограничения важны для безопасности и снижения нагрузки на эникейщиков, но когда ты приходишь на работу и обнаруживаешь, что на компьютере что-то запрещено, а в Сети — заблокировано, это воспринимается практически как вызов. В этой статье я расскажу, какие бывают методы ограничений и как с ними бороться.
Опасный Китай. Как ломают китайские смартфоны
Полгода назад мы уже писали о лотерее с покупкой устройств из Китая, выигрыш в которой — сносно работающий смартфон за относительно небольшие деньги. Казалось бы, что тут еще можно добавить? Тем не менее нельзя считать тему мобильных устройств из Китая полностью раскрытой, не проведя исследование в еще одной немаловажной области: безопасности тех данных, которые хранятся в смартфоне.
Экстренные патчи, выпущенные OpenSSL, устранили одни уязвимости и привнесли новые
На прошлой неделе разработчики OpenSSL выпустили ряд исправлений, однако патчи создали новые проблемы пользователям.
Подмена прошивки МФУ Epson позволяет атаковать компанию через факс-модем устройства
Исследователи придумали, как подменить прошивку МФУ и использовать для проникновения в сеть компании модем девайса.
Механизм верификации паролей для бекапов в iOS 10 в 2500 раз слабее предыдущего
Специалисты компании Elcomsoft обнаружили, что в iOS 10 были ослаблены механизмы защиты, и взлом бекапов стал куда проще.
Баги в продуктах Kerio Control могут привести к полной компрометации организации
Специалисты SEC Consult обнаружили кучу проблем в продуктах компании Kerio Technologies.
Исследователь заработал $16 000, обнаружив уязвимость в Facebook Business Manager
Исследователь из Индии нашел способ, позволяющий взломать Facebook Pages и получить контроль над любой страницей.
Китайские исследователи продемонстрировали удаленный взлом Tesla Model S
Эксперты компании Tencent Keen Security Lab взломали движущийся автомобиль Tesla Model S с расстояния 20 километров.
Microsoft отказалась признать, что проблема в работе Exchange является уязвимостью
Практически все клиенты Microsoft Exchange раскрывают пароли пользователей в виде открытого текста.
22 сентября разработчики OpenSSL выпустят патчи сразу для нескольких уязвимостей
Представители OpenSSL сообщили, что 22 сентября 2016 года будут выпущены OpenSSL 1.1.0a, 1.0.2i и 1.0.1u.
Обзор эксплоитов #212. Многочисленные уязвимости в продуктах NUUO, Netgear и JetBrains
В сегодняшнем обзоре мы пройдемся по многочисленным уязвимостям в продуктах компании NUUO, которая занимается разработкой систем для камер наблюдения. Помимо этого, разберем несколько уязвимостей, которым были подвержены популярные среды разработки компании JetBrains (PyCharm, IntelliJ IDEA, WebStorm и другие): удаленное выполнение кода и раскрытие файлов.
Обнаружен CSRF-баг, позволяющий компрометировать кошельки Monero и похищать деньги
В последнее время упоминания о криптовалюте Monero стали встречаться в сети очень часто. Это неудивительно, ведь на сегодня …
В браузере Tor исправлен баг привязки сертификатов, в Firefox уязвимость устранят позже
Разработчики Tor Project представили новую версию браузера Tor (6.0.5), в которой была устранена критическая уязвимость, кас…
Хакеры активно эксплуатируют брешь в модуле Drupal, обнаруженную еще в июле
В июле 2016 года разработчики популярной CMS Drupal представили патчи для ряда RCE-уязвимостей в составе трех различных мод…
Ничто не идеально: в мессенджере Signal обнаружено и устранено сразу три уязвимости
Приложение Signal считается одним из наиболее защищенных мессенджеров на сегодняшний день, не даром Эдвард Сноуден рекомендо…
0-day баг в IE и Edge, исправленный два дня назад, использовался хакерами с 2014 года
Исследователи компании Proofpoint опубликовали подробности о критической уязвимости, которая была устранена в браузерах Inte…
Баг в Android позволяет извлечь метаданные из приложений и узнать личность жертвы
Бельгийский исследователь Арне Свиннен рассказал о том, что недавно он помог разработчикам Google устранить неприятный баг в…
В MySQL найдены две 0-day уязвимости, патчей для них пока нет
Исследователь из Польши, Давид Голунски, обнаружил в MySQL сразу два критических 0-day бага. Проблемы распространяются на My…
Сентябрьское обновление для Android состоит из трех наборов патчей для 55 уязвимостей
Компания Google представила сентябрьский набор патчей для Android. На этот раз обновления были разделены сразу на три катего…
Разбор эксплоита: повреждение памяти в скриптовом движке Windows
Патчи к Windows — замечательный источник пусть и уже закрытых, но по-прежнему интересных уязвимостей. Мы разберем патч MS16-051, который латает уязвимость, приводящую к повреждению памяти в скриптовом движке. Эксплоит позволяет использовать ее для выполнения произвольного кода.
Коммерческая спайварь Pegasus опасна для macOS и Safari, Apple выпустила патчи
В конце августа 2016 года стало известно о существовании коммерческой и легальной спавайри Pegasus, которая была создана ком…
В браузере «Яндекса» исправлен CSRF-баг, позволявший похитить все данные пользователя
Исследователь компании Netsparker рассказал в блоге о том, как он, с декабря 2015 года, добивался исправления уязвимости CSR…
(Без)умная розетка. Анализируем уязвимости умной розетки TP-Link HS110 Wi-Fi
Желание управлять всем вокруг с телефона вполне понятно для любого, кто хоть как-то связан с IT. Именно поэтому пару лет назад в наших домах стали появляться умные чайники, лампочки и прочие «кофеварки на Linux». А это, в свою очередь, означало, что рано или поздно подобные устройства попадут под прицелы исследователей ИБ — это лишь вопрос времени. Сегодня мы рассмотрим уязвимости в одном из таких устройств — умной Wi-Fi-розетке TP-Link HS110 Wi-Fi.
Google отказалась исправить баг на странице логина, приводящий к скачиванию малвари
Независимый исследователь Айдан Вудс (Aidan Woods) обнаружил уязвимость на странице авторизации Google, которую компания не …
В Kaspersky Internet Security исправлены баги, приводившие к крашу антивируса
Исследователи Cisco Talos сообщили, что в продукции «Лаборатории Касперского», а именно в Kaspersky Internet Security, был о…
Исследователи слили данные об уязвимостях в медицинском оборудовании на сторону
В прошлый четверг, 25 августа 2016 года, исследователи стартапа MedSec и представители инвестиционной фирмы Muddy Waters Cap…
Исследователь придумал способ массового взлома аккаунтов Facebook
Независимый исследователь из Калифорнии, Гуркират Синх (Gurkirat Singh), в своем блоге дал ответ на животрепещущий для многи…
Бумажный спецвыпуск
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
- доступ к платным материалам сайта
- доступ ко всем номерам PDF
4500 р.
на год
на год
950 р.
на месяц
на месяц
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире