MITRE CVE MITRE Common Vulnerabilities and Exposures База данных общеизвестных уязвимостей информационной безопасности

ть их доступность. По итогам исследования «Лаборатория Касперского» подала заявку на регистрацию 22 CVE в MITRE. Большинство найденных уязвимостей было связано с недостаточной проверкой прав по

т в продукт в течение 12 часов. Уязвимость удаленного выполнения команд в PAN-OS Palo Alto Networks CVE-2024-3400 (оценка по CVSS — 10) По данным Shadowserver Foundation, сейчас в сети работает

а, которые позволяют предотвратить атаку с использованием найденных уязвимостей. Первая уязвимость, CVE-2024-28890, заключается в некорректной проверке расширений загружаемых файлов. Это позвол

«Тинькофф »запустил для всех своих сотрудников комплексную программу поиска уязвимостей, связанных с защитой данных, Data Guard. Это первая на российском рынке корпорати

ости в безопасности компьютерной системы, обычно с целью понять приоритет ее исправления. Например, CVE-2023-6317 может позволить злоумышленнику добавить к телевизору дополнительного пользовате

рошлом месяце. Уязвимость удаленного выполнения кода с помощью внедрения SQL-кода в FortiClient EMS CVE-2023-48788 (оценка по шкале CVSS — 9,8) По данным ShadowServer, в интернете работают 1064

пертом Positive Technologies. Разработчики системы мониторинга ИТ-инфраструктуры Nagios XI поблагодарили старшего специалиста Positive Technologies Алексея Соловьева за обнаружение нескольких опасных уязвимостей. Это программное обеспечение используется в дата-центрах, телекоммуникационных компаниях, у хостинг-провайдеров и в других крупных компаниях для оперативного мониторинга, сбора данн

лучившая условное название Magnet Goblin (магнитный гоблин) использует целый арсенал свежераскрытых уязвимостей для взлома серверов, доступных для соединений извне; на атакованные машины устана

нь Vulns.io Enterprise VM предлагает инструменты для всего цикла управления уязвимостями: выявление уязвимостей операционных систем и установленного ПО серверов и рабочих станций, а также сетев

Компания ABB поблагодарила Наталью Тляпову и Дениса Горюшева за обнаружение двух уязвимостей в контроллерах Freelance AC 900F и AC 700F. Эти устройства применяются в металлур

ционной безопасности, более известную как Common Vulnerabilities and Exposures, более известную как CVE. В ней каждая уязвимость получает уникальный идентификационный номер формата «CVE-

11.3 включительно. Разработчики JetBrains TeamCity уже устранили уязвимости в обновлении 2023.11.4. CVE-2024-27198 (BDU:2024-01792) — 9,8 из 10 баллов по шкале CVSS. Критическая уязвимость, кот

В 2023 г. «Яндекс» выплатил 70 млн руб. участникам программы «Охота за ошибками». Она посвящена поиску уязвимостей в сервисах и инфраструктуре компании. По сравнению с прошлым годом общая сумма выплат увеличилась почти вдвое. Это связано с запуском конкурсов по различным направлениям «Охоты» с п

заться от использования конкретного плагина Две исправленные сегодня уязвимости, получившие индексы CVE-2024-22245 (9,6 баллов из 10 по версии CVSSv3, критическая) и CVE-2024-22250 (7,8

вались в прошлом месяце. Уязвимость, связанная с удаленным выполнением кода, в FortiOS и FortiProxy CVE-2024-21762 (CVSS — 9,8) По данным Shadowserver, количество устройств, на которых присутст

юбой недостаток инфраструктуры повышает шансы хакеров на результативную атаку. Традиционные сканеры уязвимостей и разовые пентесты являются эффективными инструментами для повышения уровня защищ

е мобильные приложения для iOS и Android. Размер вознаграждения зависит от критичности обнаруженных уязвимостей и может достигать 100 тыс. рублей. Об этом CNews сообщили представители BI.Zone.

Найдено в Microsoft Команда поддержки системного загрузчика для Linux shim выпустила обновление, исправляющее сразу шесть уязвимостей, одна из которых является критической (9,8 балла по шкале CVSS). При определённых условиях этот «баг», получивший оценку CVE-2023-40547, позволяет запускать произвольный код удалённ

Электронное правительство проверяют на уязвимости За три месяца работы второго этапа программы поиска уязвимостей Bug Bounty на ресурсах российского электронного правительства было выявлено 62 уязвимости. Большинство из них — некритичные. Об этом CNews сообщили представители Минцифры. Платные о

ад выявил эксперт Google Threat Analysis Group Клеман Лесинь (Clément Lecigne). Первая из этих двух уязвимостей связана с некорректной валидацией входящих данных, что открывает возможность для

лась под угрозой — в популярном OpenSource-IPS-модуле Suricata обнаружены 3 критические уязвимости (CVE-2а024-23839, CVE-2024-23836, CVE-2024-23837 по международной классификации)

ления любых вредоносных действий в среде уязвимых устройств. По данным Volexity, комбинация из этих уязвимостей, использовалась для получения первичного доступа, установки веб-шеллов (оболочка

Эксперты Positive Technologies в январе 2024 г. отнесли шесть уязвимостей к статусу трендовых. Среди них уязвимости, уже использовавшиеся в кибератаках, и

ффективным способом за счет регулярного автоматического сканирования и ручной верификации найденных уязвимостей. Об этом CNews сообщили представители Infosecurity. С ростом сложности киберугроз

itive Technologies проанализировали собственный опыт взаимодействия с вендорами в области раскрытия уязвимостей. Так, в 2022–2023 гг. 57% вендоров оперативно отвечали исследователям компании, п

ash Нанятый Apple специалист по ИБ украл у компании компьютеров, смартфонов и услуг на $3 млн Роскин-Фрейзи позиционирует себя как специалиста по ИБ. Он получил благодарность от Apple за сообщения об уязвимостях. Его имя включено в отчеты об уязвимостях macOS Ventura и macOS Sonoma. В одном из этих отчетов Apple прямо поблагодарила обвиняемого Ноя Роскина-Фрейзи 22 января 2024 г., то

иложений Bi.Zone во время проведения тестирования red team для одного из заказчиков обнаружила пять уязвимостей в версии 2019.2.3 платформы Websoft HCM (ранее — WebTutor). Система предназначена

Zone Bug Bounty — это платформа для проверки защищенности внешней инфраструктуры с привлечением независимых исследователей. Компании размещают программы на платформе и получают отчеты об обнаруженных уязвимостях. Багхантеры при этом могут выбирать интересные для себя программы и получать денежное вознаграждение за найденные баги. Bi.Zone — компания по управлению цифровыми рисками. Bi.Zone р

Уязвимость к атакам, о которых знают все Абсолютное большинство компаний в России может быть атаковано с помощью старых уязвимостей, к которым уже есть публичные эксплойты. Проблема заключается в старых версиях программного обеспечения (ПО), которые не защищены от этих угроз. Об этом сообщила в своем отчете за 2

с помощью этой уязвимости можно вызвать отказ в обслуживании. Фото: freestocks / Фотобанк Unsplash Критические уязвимости опубликованы сразу несколькими ИТ-компаниями Уязвимости выявлены в вер

Международный центр по информатике и электронике «ИнтерЭВМ» внедрил решение Solar appScreener в разработку безопасного кода. В испытательной лаборатории сканер автоматизировал процесс выявления уязвимостей и дефектов в программном обеспечении. «ИнтерЭВМ» аккредитован Минобороны России и ФСБ России в качестве испытательной лаборатории для проведения сертификационных испытаний и тематич

естную разработку ПО, стало известно 12 января 2024 г. Две из обнаруженных уязвимостей критические: CVE-2023-7028 и CVE-2023-5356. Их опасность по шкале CVSS составляет 10 из 10 и 9,8 из

нах Apple, критически важную в реализации кампании «Операция Триангуляция». Речь идёт об уязвимости CVE-2023-38606. Это уязвимость в чипе (системе на кристалле), с помощью которой атакующие обх

имости встречаются и в этих продуктах. Из 21 выявленной уязвимости лишь одна является критической - CVE-2023-41101 (9,6 баллов по шкале CVSS). Этот «баг» допускает запуск произвольного кода в O

Первая программа по поиску уязвимостей запущена в Подмосковье. Она направлена на оценку защищенности регионального портала государственных услуг. Об этом CNews сообщили в пресс-службе Министерства госуправления, ИТ и свя

Первая в России программа по поиску уязвимостей в инфраструктуре субъекта России запущена в Ленинградской области. Об этом CNews

ередаваемой по нему информации. Как пишет портал Bleeping Computer, им обеим присвоен единый индекс CVE-2023-24023 – к моменту выхода материала уровень их опасности еще предстояло определить. В

ть корпоративной инфраструктуры, где сконцентрированы клиентские сервисы, веб-ресурсы и сетевое оборудование, атакуется наиболее часто. Многие компании используют сканеры безопасности для мониторинга уязвимостей, а далее привлекают своих ИБ-специалистов для анализа и оценки рисков. Об этом CNews сообщили представители Angara Security. В подавляющем большинстве случаев киберпреступники испол

о взлому, которые применяют свои навыки во благо и по заказу разработчиков – они занимаются поиском уязвимостей в их ПО и сервисах, чтобы те могли заранее устранить их. Делается это для того, ч

Правила Bi.Zone WAF позволяют защититься от атак с эксплуатацией уязвимости CVE-2023-6063 в популярном WordPress-плагине WP Fastest Cache. Об уязвимости CVE-2023-