данные пользователей. В 2022 г. "Яндекс" решил навсегда повысить вознаграждение за каждую найденную уязвимость в 2 раза — например, теперь за поиск SQL-инъекций максимальная награда составляет

сообщили представители «Лаборатории Касперского». Как умный гаджет превращается в шпиона. Основная уязвимость анализируемой кормушки связана с использованием Telnet-сервера, в котором предусмо

ри этом Роскомнадзор не отрицает, что Рунет далеко не идеален в плане отсутствия брешей. «В российских информационных системах, включая сайты, системы баз данных, почтовые сервера, часто присутствуют уязвимости информационной безопасности», – говорится в публикации ведомства. Там же сказано, что эксплуатация этих «дыр» приводит, в том числе, к утечкам персональных данных, за которые, как со

20 мая Barracuda централизованно распространила на все свои доступные устройства патч, устранявший уязвимость, а 24 мая клиенты компании, чьи устройства были или могли быть взломаны, получили

ерволлы и VPN-устройства Прежде всего злоумышленники пытаются атаковать CVE-2023-28771, критическую уязвимость в файерволлах Zyxel, которая допускает инъекцию команд. «Баг» получил 9,8 балла по

олей. Работая над добавлением пакета экспертизы, Денис Алимов, эксперт Positive Technologies, нашел уязвимость CVE-2023-26593 (BDU:2022-05068), которая получила оценку 6,5 по шкале CVSS v3. Она

с символикой проекта — если найдены небольшие баги, и денежные призы до 1 млн руб. — за критические уязвимости. В итоге максимальная выплата за найденный баг составила 350 тыс. руб., минимальна

ных, Mimikatz для повышения привилегий и PsExec для удаленного выполнения команд или фреймворки типа Cobalt Strike для проведения всех этапов атаки. «Скомпрометированные учетные данные пользователей, уязвимости в ПО и методы социальной инженерии в большинстве случаев позволяют злоумышленникам проникать в корпоративную инфраструктуру и производить вредоносные действия, в том числе и атаки по

пасности компании Censys предупреждают, что около 19,5 тыс. VPN-роутеров Cisco угрожает критическая уязвимость, которую можно использовать для удаленного запуска команд в уязвимых системах. При

одолжить обеспечивать контроль защищенности инфраструктуры, но и ускорить реагирование на найденные уязвимости: помочь ИТ-специалистам, в зависимости от случая, оперативно устранять их либо при

Критическая «дыра» в «железе» Cisco В телефонных адаптерах Cisco модели SPA112 обнаружена опасная уязвимость, которая допускает удаленное выполнение кода, без необходимости прохождения процед

определенными параметрами без проверки его содержимого (CVE-2023-26059 (BDU:2023-01305)). Еще одна уязвимость, CVE-2023-26060 (BDU:2023-01304), позволяла преступникам осуществлять внедрение ша

одитель группы Cisco Talos Threat Intelligence & Interdiction, определенная доля ответственности за уязвимость сетевой инфраструктуры лежит на ее операторах. По словам специалиста, операторы за

ft об уязвимости нулевого дня, которую злоумышленники уже активно эксплуатировали в ходе кибератак. Уязвимость CVE-2023-28252 выявлена в подсистеме Windows CLFS (Common Log File System) — служб

компонент middleware в enterprise-приложениях и полностью интегрирован в Microsoft .NET Framework. Уязвимость может быть использована как для первичного проникновения в сеть, так и для горизон

уязвимости в файловой системе Microsoft Common Log File System (CLFS). Злоумышленники использовали эксплойт, разработанный для различных версий и сборок ОС Windows, включая Windows 11, для поп

е не реализовано жесткое разграничение между критическими и некритическими системами, используя эту уязвимость, хакеры в теории могут добраться до подсистем, отвечающих за двигатель, тормоза, б

Ошибка обхода пути Уязвимость нулевого дня в FortiOS, которую компания Fortinet едва успела исправить, уже актив

О программной ошибке в MS Outlook стало известно в марте 2023 г. Критическую уязвимость под названием CVE-2023-23397 эксперты оценили на 9,8 из 10 по шкале CVSS. Злоумышл

e Protocol (ICMP) от Microsoft в ОС Windows. В подверженных версиях Windows драйвер tcpip.sys имеет уязвимость в управлении памятью. Она возникает при обработке фрагментированных ICMP-пакетов с

Опасный Wi-Fi Стандарт беспроводных сетей Wi-Fi содержит в себе опасную уязвимость, позволяющую злоумышленникам перехватывать весь пользовательский трафик. Когда име

начале 2023 г. писал, что Ubuntu была установлена на 33,9% Linux-компьютеров в мире. Под термином «уязвимость нулевого дня» (0-day, zero day) подразумевается брешь в программном обеспечении, д

эксплуатации. Злоумышленнику нет необходимости получать повышенные привилегии в атакуемой системе. Уязвимость скрывается в системной библиотеке wwlib.dll. Для ее эксплуатации злоумышленнику до

APROL. Решение применяется в энергетической, машиностроительной, нефтегазовой, пищевой и других отраслях. Производитель был уведомлен об угрозе в рамках политики ответственного разглашения и исправил уязвимости в новых версиях ПО. «Наибольшую опасность представляли три уязвимости, которые позволили бы злоумышленнику осуществить удаленное выполнение кода, — сказала Наталья Тляпова. —

Фото: © maxxyustas / Фотобанк Фотодженика Фреймворк ZK под активной атакой. CISA требует устранить уязвимость до мая 2023 года «Высокая популярность и распространенность программной разработки

твердить защищенность своих сервисов и продемонстрировать заботу о безопасности клиентов. Багбаунти-программа Standoff 365 будет доступна для всех исследователей, а вознаграждение за наиболее опасные уязвимости составит 1 млн руб. В IV квартале 2022 г. количество атак хакеров на ИТ-компании увеличилось на 18%. Сфера ИТ вплотную приблизилась к тройке лидеров в списке самых атакуемых отраслей

9,8 балла Корпорация Cisco выпустила обновления к критической уязвимости в антивирусе ClamAV. Уязвимость допускала удаленный запуск произвольного кода на устройствах, где был установлен э

ым злоумышленники уже активно пользовались для взлома смартфонов iPhone и персональных компьютеров. Уязвимость нулевого дня CVE-2023-23529 может вызывать отказ в работе операционной системы или

язвимом устройстве можно было выполнить некоторые системные команды, отправив HTTP-запрос. Еще одна уязвимость (CVE-2022-43390, оценка 5,4) связана, как и первая, с переполнением буфера. На мом

Путает пол с потолком CNews: Как изменилось понятие «уязвимость приложений» за последнее время? Какие тренды вы здесь видите? Даниил Чернов: Пять

Найденная экспертом Positive Technologies Никитой Абрамовым уязвимость (CVE-2022-43393) затрагивала десятки моделей коммутаторов Zyxel. Часть из них може

ся загадкой. То же может произойти и с находкой Абдулрахима Халеда. Сам эксперт не сомневается, что уязвимость Class Pollution – это проблема далеко не только Python. «Гибкость, предлагаемая не

tinet объявила о том, что неизвестная группировка злоумышленников активно эксплуатирует критическую уязвимость в программной оболочке аппаратного VPN-решения компании — FortiOS SSL-VPN. Жертвам

18, уязвимости, позволяющей производить удаленное исполнение команд на уязвимых устройствах. Первая уязвимость была устранена 8 ноября, вторая — 13 декабря 2022 г. Вторую хакеры, предположитель

Десятибалльный шторм Эксперты по безопасности выявили десятибальную уязвимость в ядре Linux, позволяющую при определенных условиях запускать произвольный код в у

ия Citrix настоятельно рекомендует как можно быстрее установить обновления, устраняющие критическую уязвимость в ее сетевых софтверных продуктах ADC и Gateway. Получившая индекс CVE-2022-27158

а раза больше за найденные уязвимости в сервисах и инфраструктуре компании. Максимальная выплата за уязвимость составит 1,5 млн руб. 10 января компания также запустит месячный конкурс с увеличе

атаки могут нарушить технологический процесс, хотя и имеют совершенно другой вектор». Самая опасная уязвимость CVE-2022-29830 получила оценку 9,1 из 10 по шкале CVSS 3.1. Ее эксплуатация может

ейства Aspire: A315-22, A115-21, A315-22G; устройства линейки Extensa: EX215-21 и EX215-21G Опасная уязвимость Уязвимость отслеживается под идентификатором CVE-2022-4020. Ее опасность в Eset оц

о рынка, на долю которого приходилось примерно 2% от общего объема чистых продаж компании в 2021 г. В России решения Valmet наиболее широко распространены на крупных целлюлозно-бумажных предприятиях. Уязвимости, обнаруженные экспертами Национального киберполигона во главе с руководителем отдела исследований Ильей Карповым, затрагивают компоненты автоматизированной системы управления техноло