манда поддержки системного загрузчика для Linux shim выпустила обновление, исправляющее сразу шесть уязвимостей, одна из которых является критической (9,8 балла по шкале CVSS). При определённых

Электронное правительство проверяют на уязвимости За три месяца работы второго этапа программы поиска уязвимостей Bug Bounty на ресурсах российского электронного правительства было выявлено 62 уязвимости. Большинство из них — некритичные. Об этом CNews сообщили представители Минцифры. Платные о

ад выявил эксперт Google Threat Analysis Group Клеман Лесинь (Clément Lecigne). Первая из этих двух уязвимостей связана с некорректной валидацией входящих данных, что открывает возможность для

лась под угрозой — в популярном OpenSource-IPS-модуле Suricata обнаружены 3 критические уязвимости (CVE-2а024-23839, CVE-2024-23836, CVE-2024-23837 по международной классификации)

ления любых вредоносных действий в среде уязвимых устройств. По данным Volexity, комбинация из этих уязвимостей, использовалась для получения первичного доступа, установки веб-шеллов (оболочка

Эксперты Positive Technologies в январе 2024 г. отнесли шесть уязвимостей к статусу трендовых. Среди них уязвимости, уже использовавшиеся в кибератаках, и

ффективным способом за счет регулярного автоматического сканирования и ручной верификации найденных уязвимостей. Об этом CNews сообщили представители Infosecurity. С ростом сложности киберугроз

itive Technologies проанализировали собственный опыт взаимодействия с вендорами в области раскрытия уязвимостей. Так, в 2022–2023 гг. 57% вендоров оперативно отвечали исследователям компании, п

ash Нанятый Apple специалист по ИБ украл у компании компьютеров, смартфонов и услуг на $3 млн Роскин-Фрейзи позиционирует себя как специалиста по ИБ. Он получил благодарность от Apple за сообщения об уязвимостях. Его имя включено в отчеты об уязвимостях macOS Ventura и macOS Sonoma. В одном из этих отчетов Apple прямо поблагодарила обвиняемого Ноя Роскина-Фрейзи 22 января 2024 г., то

иложений Bi.Zone во время проведения тестирования red team для одного из заказчиков обнаружила пять уязвимостей в версии 2019.2.3 платформы Websoft HCM (ранее — WebTutor). Система предназначена

Zone Bug Bounty — это платформа для проверки защищенности внешней инфраструктуры с привлечением независимых исследователей. Компании размещают программы на платформе и получают отчеты об обнаруженных уязвимостях. Багхантеры при этом могут выбирать интересные для себя программы и получать денежное вознаграждение за найденные баги. Bi.Zone — компания по управлению цифровыми рисками. Bi.Zone р

Уязвимость к атакам, о которых знают все Абсолютное большинство компаний в России может быть атаковано с помощью старых уязвимостей, к которым уже есть публичные эксплойты. Проблема заключается в старых версиях программного обеспечения (ПО), которые не защищены от этих угроз. Об этом сообщила в своем отчете за 2

с помощью этой уязвимости можно вызвать отказ в обслуживании. Фото: freestocks / Фотобанк Unsplash Критические уязвимости опубликованы сразу несколькими ИТ-компаниями Уязвимости выявлены в вер

Международный центр по информатике и электронике «ИнтерЭВМ» внедрил решение Solar appScreener в разработку безопасного кода. В испытательной лаборатории сканер автоматизировал процесс выявления уязвимостей и дефектов в программном обеспечении. «ИнтерЭВМ» аккредитован Минобороны России и ФСБ России в качестве испытательной лаборатории для проведения сертификационных испытаний и тематич

естную разработку ПО, стало известно 12 января 2024 г. Две из обнаруженных уязвимостей критические: CVE-2023-7028 и CVE-2023-5356. Их опасность по шкале CVSS составляет 10 из 10 и 9,8 из

нах Apple, критически важную в реализации кампании «Операция Триангуляция». Речь идёт об уязвимости CVE-2023-38606. Это уязвимость в чипе (системе на кристалле), с помощью которой атакующие обх

имости встречаются и в этих продуктах. Из 21 выявленной уязвимости лишь одна является критической - CVE-2023-41101 (9,6 баллов по шкале CVSS). Этот «баг» допускает запуск произвольного кода в O

Первая программа по поиску уязвимостей запущена в Подмосковье. Она направлена на оценку защищенности регионального портала государственных услуг. Об этом CNews сообщили в пресс-службе Министерства госуправления, ИТ и свя

Первая в России программа по поиску уязвимостей в инфраструктуре субъекта России запущена в Ленинградской области. Об этом CNews

ередаваемой по нему информации. Как пишет портал Bleeping Computer, им обеим присвоен единый индекс CVE-2023-24023 – к моменту выхода материала уровень их опасности еще предстояло определить. В

ть корпоративной инфраструктуры, где сконцентрированы клиентские сервисы, веб-ресурсы и сетевое оборудование, атакуется наиболее часто. Многие компании используют сканеры безопасности для мониторинга уязвимостей, а далее привлекают своих ИБ-специалистов для анализа и оценки рисков. Об этом CNews сообщили представители Angara Security. В подавляющем большинстве случаев киберпреступники испол

о взлому, которые применяют свои навыки во благо и по заказу разработчиков – они занимаются поиском уязвимостей в их ПО и сервисах, чтобы те могли заранее устранить их. Делается это для того, ч

Правила Bi.Zone WAF позволяют защититься от атак с эксплуатацией уязвимости CVE-2023-6063 в популярном WordPress-плагине WP Fastest Cache. Об уязвимости CVE-2023-

На основе анализа проектов по выявлению уязвимостей внешнего периметра компаний в 2022–2023 гг. Angara Security составила рейтинг наиболее часто встречающихся уязвимостей в защите корпоративной инфраструктуры российских компан

Минцифры запускает второй этап проекта по поиску уязвимостей в инфраструктуре электронного правительства. Проверить защищенность систем можно на платформе Bi.Zone Bug Bounty. Вознаграждение багхантеров зависит от уровня критичности обнаруженн

Проверка на уязвимости Минцифры планирует до конца 2023 г. запустить программу тестирования информационных систем «белыми хакерами» Bug Bounty. Как стало известно «Коммерсанту», поиск уязвимостей будет развернут на «Госуслугах» и девяти собственных сервисах министерства — в Единой биометрической системе, Единой системе идентификации и аутентификации, Единой системе нормативн

кже интернет-банк и мобильное приложение. Размер вознаграждения зависит от критичности обнаруженных уязвимостей и может достигать 200 тыс. руб. Об этом CNews сообщили представители Bi.Zone. «Об

e Web Application Firewall (WAF), чтобы защитить пользователей Confluence от критической уязвимости CVE-2023-22515 (оценка угрозы по шкале CVSS — 10 баллов из 10). С начала октября 2023 г. злоу

Шесть индексов CVE Шесть уязвимостей нулевого дня во всех версиях почтового программного обеспечения (ПО) Ex

ки libxpm и libX11, которые развиваются в составе проекта X.Org. Среди пяти выявленных брешей две – CVE-2023-43786 и CVE-2023-43787 – возникли в 1988 г. (релиз X11R2). Еще пара ошибок да

видов RCE: через параметр Username на странице входа в систему (параметр передается непосредственно в shell) и Cookie PHPSESSIONID. Компания Sangfor заявила об осведомленности о некоторых упомянутых уязвимостях и выпуске патчей с исправлениями. Специалисты watchTour Labs и Центра мониторинга и реагирования UserGate не нашли их в публичном доступе. Оставшиеся уязвимости Sangfor не смогла по

названный Sequoia и сбой в Sudo Unix (Baron Samedit). Также летом 2021 г. команда нашла уязвимость CVE-2021-33909 в ядре Linux, эксплуатация которой дает пользователю возможность выполнить люб

С пометкой «срочно» Apple была вынуждена выпускать срочные обновления для трёх уязвимостей нулевого дня, которые уже использовались хакерами. Две новые уязвимости выявлены

Около 12 тыс. функционирующих в сети файерволлов и маршрутизаторов Juniper SRX и EX содержат серию уязвимостей, которые в комбинации позволяют потенциальным злоумышленникам осуществлять запуск

ре около 500 млн. как Как пишет портал Hacker News, киберпреступники взяли на вооружение уязвимость CVE-2023-40477, найденную и устраненную в августе 2023 г., и с ее помощью реализуют очень хит

и осуществляет последовательную эксплуатацию двух уязвимостей в программной оболочке Juniper SRX - CVE-2023-36846 и CVE-2023-36845. CVE-2023-36846 - это ошибка отсутствия авториз

Bug Bounty «Астры» В России впервые стартует программа по поиску уязвимостей в защищенности операционных систем (ОС). Bug Bounty запускает разработчик российской операционной системы Astra Linux компания «Астра». Об этом представители «Астры» рассказали CNew

обновляемый образ ОС с выполненными настройками безопасности, тестирование эффективности которых особенно интересно разработчикам. «Появление на нашей платформе программы, которая направлена на поиск уязвимостей в операционных системах, является для нас большим шагом. Мы рады сотрудничеству с ведущим опытным разработчиком, чьи решения находят эффективное применение в организациях с высокими

ь 2023 г. В ходе исследования на одном пилотном проекте в среднем было выявлено более 700 трендовых уязвимостей. Результаты внедрения показали, что в большинстве организаций допускаются ошибки

ания получает доступ к неограниченному количеству исследователей, каждый со своим подходом к поиску уязвимостей. Объединение усилий штатных специалистов и багхантеров позволяет покрыть весь спе