MITRE CVE MITRE Common Vulnerabilities and Exposures База данных общеизвестных уязвимостей информационной безопасности

родного уровня. Уязвимости были официально зарегистрированы в базе данных общеизвестных уязвимостей CVE, а также отмечены в «зале славы разработчика». Дмитрий Зубарев нашел девять уязвимостей в

несколько раз выпускало экстренные предупреждения об активной эксплуатации тех или иных критических уязвимостей в Microsoft Exchange и каждый раз присваивал ситуации с безопасностью «красный» с

нужны услуги «наступательной безопасности»? Offensive security — практика выявления и эксплуатации уязвимостей в системах, сетях и приложениях для оценки уровня защищенности и ее повышения. До

для хранения автономных файлов Client-Side Caching (CSC) Windows, приводящая к повышению привилегий CVE-2024-26229 (оценка по CVSS — 7,8) Уязвимость связана с переполнения буфера, при котором о

рвисов, находящихся на периметре сети (например, VPN и Citrix). «Чтобы избежать появления трендовых уязвимостей в инфраструктуре компаний, эксперты Positive Technologies рекомендуют вовремя обн

нулевого дня, которые уже подвергались активной эксплуатации хакерами. Первая из этих уязвимостей - CVE-2024-26234 - это вредоносный драйвер, подписанный действующим сертификатом Microsoft Hard

информацией. Доступны данные для баз БДУ (Банк данных угроз безопасности информации ФСТЭК России) и CVE (Common Vulnerabilities and Exposures, Система идентификации уязвимостей, международный ф

чет увеличения максимально возможного количества одновременно сканируемых узлов — с 4 до 20. «Поиск уязвимостей в Docker-контейнерах и анализ защищенности веб-приложений — одни из самых ожидаем

представители Positive Technologies. «В Pandora FMS были найдены две уязвимости внедрения SQL-кода (CVE-2023-44090, CVE-2023-44091), не требовавшие аутентификации, которые могли бы позво

ь обхода функций безопасности в движке для обработки и отображения HTML-страниц Windows MSHTML[1] — CVE-2024-30040 (CVSS — 8,8) Эксплуатация уязвимости позволяет злоумышленникам обходить функци

Стало известно о новой критической уязвимости CVE-2024-4577 в PHP-CGI — интерфейсе, позволяющем выполнять PHP-код в веб-приложении и осущес

, которые позволяли злоумышленниками внедрить шпионский модуль на любой iPhone, как выяснили в RTVI. Международный технологический гигант сам объявил программу вознаграждения «белых хакеров» за поиск уязвимостей bug bounty и опубликовал информацию о ней на своем сайте. Для публики программа была открыта в 2019 г., называлась Apple Security Bounty и обещала выплаты до $1 млн. «Мы нашли zero-

выполнение задач. В системе можно задавать расписание сканирования, контролировать срок исправления уязвимостей, а также выбирать способы устранения уязвимостей, учитывая уровень опаснос

Screener применяется в рамках дисциплины «Методология безопасной разработки и эксплуатации программного обеспечения» для аудита кода, написанного студентами на лабораторных практикумах, для выявления уязвимостей в специально разработанных вредоносных программах, а также в различных приложениях с открытым исходным кодом. Атакам злоумышленников подвергается большинство репозиториев с открытым

т быть использована для выполнения произвольных чтений и записей в памяти ядра. По информации CISA, CVE-2024-1086 (оценка CVSS 3.1: 7,8) связана с ошибкой use-after-free (UAF) в компоненте netf

сти обмена SMS и использовать частные APN со строгими настройками безопасности. Что касается других уязвимостей нулевого дня, в том числе CVE-2023-47611 и CVE-2023-47616, «Лаборатория Касперско

тель безопасности прошивок контроллеров отдела анализа приложений Positive Technologies. Уязвимости CVE-2024-0802, CVE-2024-0803, CVE-2024-1915, CVE-2024-1916 и CVE-

ть их доступность. По итогам исследования «Лаборатория Касперского» подала заявку на регистрацию 22 CVE в MITRE. Большинство найденных уязвимостей было связано с недостаточной проверкой прав по

т в продукт в течение 12 часов. Уязвимость удаленного выполнения команд в PAN-OS Palo Alto Networks CVE-2024-3400 (оценка по CVSS — 10) По данным Shadowserver Foundation, сейчас в сети работает

а, которые позволяют предотвратить атаку с использованием найденных уязвимостей. Первая уязвимость, CVE-2024-28890, заключается в некорректной проверке расширений загружаемых файлов. Это позвол

«Тинькофф »запустил для всех своих сотрудников комплексную программу поиска уязвимостей, связанных с защитой данных, Data Guard. Это первая на российском рынке корпорати

ости в безопасности компьютерной системы, обычно с целью понять приоритет ее исправления. Например, CVE-2023-6317 может позволить злоумышленнику добавить к телевизору дополнительного пользовате

рошлом месяце. Уязвимость удаленного выполнения кода с помощью внедрения SQL-кода в FortiClient EMS CVE-2023-48788 (оценка по шкале CVSS — 9,8) По данным ShadowServer, в интернете работают 1064

пертом Positive Technologies. Разработчики системы мониторинга ИТ-инфраструктуры Nagios XI поблагодарили старшего специалиста Positive Technologies Алексея Соловьева за обнаружение нескольких опасных уязвимостей. Это программное обеспечение используется в дата-центрах, телекоммуникационных компаниях, у хостинг-провайдеров и в других крупных компаниях для оперативного мониторинга, сбора данн

лучившая условное название Magnet Goblin (магнитный гоблин) использует целый арсенал свежераскрытых уязвимостей для взлома серверов, доступных для соединений извне; на атакованные машины устана

нь Vulns.io Enterprise VM предлагает инструменты для всего цикла управления уязвимостями: выявление уязвимостей операционных систем и установленного ПО серверов и рабочих станций, а также сетев

Компания ABB поблагодарила Наталью Тляпову и Дениса Горюшева за обнаружение двух уязвимостей в контроллерах Freelance AC 900F и AC 700F. Эти устройства применяются в металлур

ционной безопасности, более известную как Common Vulnerabilities and Exposures, более известную как CVE. В ней каждая уязвимость получает уникальный идентификационный номер формата «CVE-

11.3 включительно. Разработчики JetBrains TeamCity уже устранили уязвимости в обновлении 2023.11.4. CVE-2024-27198 (BDU:2024-01792) — 9,8 из 10 баллов по шкале CVSS. Критическая уязвимость, кот

В 2023 г. «Яндекс» выплатил 70 млн руб. участникам программы «Охота за ошибками». Она посвящена поиску уязвимостей в сервисах и инфраструктуре компании. По сравнению с прошлым годом общая сумма выплат увеличилась почти вдвое. Это связано с запуском конкурсов по различным направлениям «Охоты» с п

заться от использования конкретного плагина Две исправленные сегодня уязвимости, получившие индексы CVE-2024-22245 (9,6 баллов из 10 по версии CVSSv3, критическая) и CVE-2024-22250 (7,8

вались в прошлом месяце. Уязвимость, связанная с удаленным выполнением кода, в FortiOS и FortiProxy CVE-2024-21762 (CVSS — 9,8) По данным Shadowserver, количество устройств, на которых присутст

юбой недостаток инфраструктуры повышает шансы хакеров на результативную атаку. Традиционные сканеры уязвимостей и разовые пентесты являются эффективными инструментами для повышения уровня защищ

е мобильные приложения для iOS и Android. Размер вознаграждения зависит от критичности обнаруженных уязвимостей и может достигать 100 тыс. рублей. Об этом CNews сообщили представители BI.Zone.

Найдено в Microsoft Команда поддержки системного загрузчика для Linux shim выпустила обновление, исправляющее сразу шесть уязвимостей, одна из которых является критической (9,8 балла по шкале CVSS). При определённых условиях этот «баг», получивший оценку CVE-2023-40547, позволяет запускать произвольный код удалённ

Электронное правительство проверяют на уязвимости За три месяца работы второго этапа программы поиска уязвимостей Bug Bounty на ресурсах российского электронного правительства было выявлено 62 уязвимости. Большинство из них — некритичные. Об этом CNews сообщили представители Минцифры. Платные о

ад выявил эксперт Google Threat Analysis Group Клеман Лесинь (Clément Lecigne). Первая из этих двух уязвимостей связана с некорректной валидацией входящих данных, что открывает возможность для

лась под угрозой — в популярном OpenSource-IPS-модуле Suricata обнаружены 3 критические уязвимости (CVE-2а024-23839, CVE-2024-23836, CVE-2024-23837 по международной классификации)

ления любых вредоносных действий в среде уязвимых устройств. По данным Volexity, комбинация из этих уязвимостей, использовалась для получения первичного доступа, установки веб-шеллов (оболочка

Эксперты Positive Technologies в январе 2024 г. отнесли шесть уязвимостей к статусу трендовых. Среди них уязвимости, уже использовавшиеся в кибератаках, и