Компания ABB поблагодарила Наталью Тляпову и Дениса Горюшева за обнаружение двух уязвимостей в контроллерах Freelance AC 900F и AC 700F. Эти устройства применяются в металлур

ционной безопасности, более известную как Common Vulnerabilities and Exposures, более известную как CVE. В ней каждая уязвимость получает уникальный идентификационный номер формата «CVE-

11.3 включительно. Разработчики JetBrains TeamCity уже устранили уязвимости в обновлении 2023.11.4. CVE-2024-27198 (BDU:2024-01792) — 9,8 из 10 баллов по шкале CVSS. Критическая уязвимость, кот

В 2023 г. «Яндекс» выплатил 70 млн руб. участникам программы «Охота за ошибками». Она посвящена поиску уязвимостей в сервисах и инфраструктуре компании. По сравнению с прошлым годом общая сумма выплат увеличилась почти вдвое. Это связано с запуском конкурсов по различным направлениям «Охоты» с п

заться от использования конкретного плагина Две исправленные сегодня уязвимости, получившие индексы CVE-2024-22245 (9,6 баллов из 10 по версии CVSSv3, критическая) и CVE-2024-22250 (7,8

вались в прошлом месяце. Уязвимость, связанная с удаленным выполнением кода, в FortiOS и FortiProxy CVE-2024-21762 (CVSS — 9,8) По данным Shadowserver, количество устройств, на которых присутст

юбой недостаток инфраструктуры повышает шансы хакеров на результативную атаку. Традиционные сканеры уязвимостей и разовые пентесты являются эффективными инструментами для повышения уровня защищ

е мобильные приложения для iOS и Android. Размер вознаграждения зависит от критичности обнаруженных уязвимостей и может достигать 100 тыс. рублей. Об этом CNews сообщили представители BI.Zone.

манда поддержки системного загрузчика для Linux shim выпустила обновление, исправляющее сразу шесть уязвимостей, одна из которых является критической (9,8 балла по шкале CVSS). При определённых

Электронное правительство проверяют на уязвимости За три месяца работы второго этапа программы поиска уязвимостей Bug Bounty на ресурсах российского электронного правительства было выявлено 62 уязвимости. Большинство из них — некритичные. Об этом CNews сообщили представители Минцифры. Платные о

ад выявил эксперт Google Threat Analysis Group Клеман Лесинь (Clément Lecigne). Первая из этих двух уязвимостей связана с некорректной валидацией входящих данных, что открывает возможность для

лась под угрозой — в популярном OpenSource-IPS-модуле Suricata обнаружены 3 критические уязвимости (CVE-2а024-23839, CVE-2024-23836, CVE-2024-23837 по международной классификации)

ления любых вредоносных действий в среде уязвимых устройств. По данным Volexity, комбинация из этих уязвимостей, использовалась для получения первичного доступа, установки веб-шеллов (оболочка

Эксперты Positive Technologies в январе 2024 г. отнесли шесть уязвимостей к статусу трендовых. Среди них уязвимости, уже использовавшиеся в кибератаках, и

ффективным способом за счет регулярного автоматического сканирования и ручной верификации найденных уязвимостей. Об этом CNews сообщили представители Infosecurity. С ростом сложности киберугроз

itive Technologies проанализировали собственный опыт взаимодействия с вендорами в области раскрытия уязвимостей. Так, в 2022–2023 гг. 57% вендоров оперативно отвечали исследователям компании, п

ash Нанятый Apple специалист по ИБ украл у компании компьютеров, смартфонов и услуг на $3 млн Роскин-Фрейзи позиционирует себя как специалиста по ИБ. Он получил благодарность от Apple за сообщения об уязвимостях. Его имя включено в отчеты об уязвимостях macOS Ventura и macOS Sonoma. В одном из этих отчетов Apple прямо поблагодарила обвиняемого Ноя Роскина-Фрейзи 22 января 2024 г., то

иложений Bi.Zone во время проведения тестирования red team для одного из заказчиков обнаружила пять уязвимостей в версии 2019.2.3 платформы Websoft HCM (ранее — WebTutor). Система предназначена

Zone Bug Bounty — это платформа для проверки защищенности внешней инфраструктуры с привлечением независимых исследователей. Компании размещают программы на платформе и получают отчеты об обнаруженных уязвимостях. Багхантеры при этом могут выбирать интересные для себя программы и получать денежное вознаграждение за найденные баги. Bi.Zone — компания по управлению цифровыми рисками. Bi.Zone р

Уязвимость к атакам, о которых знают все Абсолютное большинство компаний в России может быть атаковано с помощью старых уязвимостей, к которым уже есть публичные эксплойты. Проблема заключается в старых версиях программного обеспечения (ПО), которые не защищены от этих угроз. Об этом сообщила в своем отчете за 2

с помощью этой уязвимости можно вызвать отказ в обслуживании. Фото: freestocks / Фотобанк Unsplash Критические уязвимости опубликованы сразу несколькими ИТ-компаниями Уязвимости выявлены в вер

Международный центр по информатике и электронике «ИнтерЭВМ» внедрил решение Solar appScreener в разработку безопасного кода. В испытательной лаборатории сканер автоматизировал процесс выявления уязвимостей и дефектов в программном обеспечении. «ИнтерЭВМ» аккредитован Минобороны России и ФСБ России в качестве испытательной лаборатории для проведения сертификационных испытаний и тематич

естную разработку ПО, стало известно 12 января 2024 г. Две из обнаруженных уязвимостей критические: CVE-2023-7028 и CVE-2023-5356. Их опасность по шкале CVSS составляет 10 из 10 и 9,8 из

нах Apple, критически важную в реализации кампании «Операция Триангуляция». Речь идёт об уязвимости CVE-2023-38606. Это уязвимость в чипе (системе на кристалле), с помощью которой атакующие обх

имости встречаются и в этих продуктах. Из 21 выявленной уязвимости лишь одна является критической - CVE-2023-41101 (9,6 баллов по шкале CVSS). Этот «баг» допускает запуск произвольного кода в O

Первая программа по поиску уязвимостей запущена в Подмосковье. Она направлена на оценку защищенности регионального портала государственных услуг. Об этом CNews сообщили в пресс-службе Министерства госуправления, ИТ и свя

Первая в России программа по поиску уязвимостей в инфраструктуре субъекта России запущена в Ленинградской области. Об этом CNews

ередаваемой по нему информации. Как пишет портал Bleeping Computer, им обеим присвоен единый индекс CVE-2023-24023 – к моменту выхода материала уровень их опасности еще предстояло определить. В

ть корпоративной инфраструктуры, где сконцентрированы клиентские сервисы, веб-ресурсы и сетевое оборудование, атакуется наиболее часто. Многие компании используют сканеры безопасности для мониторинга уязвимостей, а далее привлекают своих ИБ-специалистов для анализа и оценки рисков. Об этом CNews сообщили представители Angara Security. В подавляющем большинстве случаев киберпреступники испол

о взлому, которые применяют свои навыки во благо и по заказу разработчиков – они занимаются поиском уязвимостей в их ПО и сервисах, чтобы те могли заранее устранить их. Делается это для того, ч

Правила Bi.Zone WAF позволяют защититься от атак с эксплуатацией уязвимости CVE-2023-6063 в популярном WordPress-плагине WP Fastest Cache. Об уязвимости CVE-2023-

На основе анализа проектов по выявлению уязвимостей внешнего периметра компаний в 2022–2023 гг. Angara Security составила рейтинг наиболее часто встречающихся уязвимостей в защите корпоративной инфраструктуры российских компан

Минцифры запускает второй этап проекта по поиску уязвимостей в инфраструктуре электронного правительства. Проверить защищенность систем можно на платформе Bi.Zone Bug Bounty. Вознаграждение багхантеров зависит от уровня критичности обнаруженн

Проверка на уязвимости Минцифры планирует до конца 2023 г. запустить программу тестирования информационных систем «белыми хакерами» Bug Bounty. Как стало известно «Коммерсанту», поиск уязвимостей будет развернут на «Госуслугах» и девяти собственных сервисах министерства — в Единой биометрической системе, Единой системе идентификации и аутентификации, Единой системе нормативн

кже интернет-банк и мобильное приложение. Размер вознаграждения зависит от критичности обнаруженных уязвимостей и может достигать 200 тыс. руб. Об этом CNews сообщили представители Bi.Zone. «Об

e Web Application Firewall (WAF), чтобы защитить пользователей Confluence от критической уязвимости CVE-2023-22515 (оценка угрозы по шкале CVSS — 10 баллов из 10). С начала октября 2023 г. злоу

Шесть индексов CVE Шесть уязвимостей нулевого дня во всех версиях почтового программного обеспечения (ПО) Ex

ки libxpm и libX11, которые развиваются в составе проекта X.Org. Среди пяти выявленных брешей две – CVE-2023-43786 и CVE-2023-43787 – возникли в 1988 г. (релиз X11R2). Еще пара ошибок да

видов RCE: через параметр Username на странице входа в систему (параметр передается непосредственно в shell) и Cookie PHPSESSIONID. Компания Sangfor заявила об осведомленности о некоторых упомянутых уязвимостях и выпуске патчей с исправлениями. Специалисты watchTour Labs и Центра мониторинга и реагирования UserGate не нашли их в публичном доступе. Оставшиеся уязвимости Sangfor не смогла по

названный Sequoia и сбой в Sudo Unix (Baron Samedit). Также летом 2021 г. команда нашла уязвимость CVE-2021-33909 в ядре Linux, эксплуатация которой дает пользователю возможность выполнить люб