-испански Группа по анализу угроз Google (Threat Analysis Group) выявила фреймворк для эксплуатации уязвимостей в браузерах Google Chrome и Mozilla Firefox, а также антивирусе Windows Defender.

провести динамическое сканирование (DAST) приложения. При динамическом анализе происходит выявление уязвимостей через эмуляцию внешних атак. По ответу от приложения система делает вывод, есть л

«Авито» запустила публичную программу по поиску уязвимостей (bug bounty) на платформе Bi.Zone Bug Bounty. По ней предлагается проверить безоп

Эксперты Национального киберполигона компании «РТК-Солар» выявили ряд уязвимостей в программном обеспечении для промышленной автоматизации финской компании Valmet.

Positive Technologies объявила о запуске программы поиска уязвимостей (bug bounty) нового типа, которая ориентирована не на поиск сугубо технических уязвимостей во внешних сервисах компании, а на реализацию действительно критически опасного для

VK разместила свою программу по поиску уязвимостей (bug bounty) на платформе BI.ZONE Bug Bounty. В программу VK входят 27 проектов:

VK разместила RuStore, официальный российский магазин приложений для Android, в программу по поиску уязвимостей (Bug Bounty) на платформе Standoff 365 Bug Bounty, разработчиком которой выступае

й» (СОВ) UserGate две новые сигнатуры, позволяющие детектировать атаки с использованием уязвимостей CVE-2022-3602 и CVE-2022-3786. Данная уязвимость заключается в переполнении буфера в t

российских организациях. 32% организаций не проверяют разрабатываемые или используемые приложения на защищенность. 59% организаций считают, что им необходимо усилить процессы мониторинга и устранения уязвимостей (24% компаний уже предпринимают необходимые меры, в 35% подобные меры не планируются). При этом практически каждая третья компания сталкивается с финансовым (31%) или репутационным

м компании откуда угодно через VPN-соединение с поддержкой SSL и IPsecIKEv2. Уязвимости с индексами CVE-2020-3433 и CVE-2020-3153 позволяют злоумышленникам, получившим локальный доступ к

ран СНГ. С помощью статического анализатора кода Solar appScreener в ГК «Хост» проверяет на наличие уязвимостей мобильные, серверные и веб-приложения, которые разрабатываются для различных зака

дня, то есть, вендор узнал о них уже после того, как началась их активная эксплуатация. Уязвимость CVE-2022-32893 присутствовала в компоненте WebKit (браузерный движок) и допускала запуск прои

у компаниями и независимыми исследователями. На платформе организации размещают программы по поиску уязвимостей, в которых участвуют багхантеры. «На глобальном рынке программы bug bounty уже до

По результатам исследования Positive Technologies, в среднем на один сайт приходится 15 уязвимостей, две из которых — высокой степени риска. Уязвимости в приложениях (а именно — оши

ойта (PoC) к одной из критических уязвимостей, недавно выявленных в продуктах компании. Речь идет о CVE-2022-31656 — баге, который позволяет злоумышленникам обходить авторизацию и получать адми

VK разместила программу по поиску уязвимостей (bug bounty) на платформе The Standoff 365 Bug Bounty, разработанной Positive Technologies. Цель bug bounty состоит в том, чтобы с помощью внешних экспертов выявить и устранить недо

В бюллетене FEMA подчёркивается, что проблема абсолютно реальна и что для того, чтобы защититься от уязвимостей, все организации, связанные с системой оповещения, должны срочно установить прогр

разведки в домене и сбора доменных записей пользователей, попытки эксплуатации уязвимостей из базы CVE и другие опасные действия. Добавленный пакет экспертизы содержит правила корреляции, осно

Стоп машина Ряд уязвимостей во встраиваемых сетевых устройствах для автомобилей производства китайской фирмы

пользовались уязвимости из реестра уязвимостей компании MITRE Common Vulnerabilities and Exposures (CVE), который де-факто является на сегодняшний день основным стандартом в области унифицирова

ТК-Солар» объектов оценивается в 8,33 балла из 10 возможных, а уровень критичности выявленных в них уязвимостей по шкале CVSS 3.0 составляет 7,74 балла. Банк данных угроз ФСТЭК России — это отк

Компания «Ростелеком-Солар» запустила первый российский сервис контроля уязвимостей (Vulnerability Management) в рамках экосистемы Solar MSS. Решение предоставляется из Национальной облачной платформы «Ростелекома». Помимо инструментального сканирования инфраструкт

НПФ «Энергосоюз» устранила ряд уязвимостей в своем программном обеспечении для сбора технологических данных и диспетчерского

и корпоративных сетях бизнеса и госучреждений. Об этом CNews сообщили представители «СкайДНС». Сервис был кардинально переработан. Он получил новые категории опасных сайтов для сканирования возможных уязвимостей, новые списки вирусных сайтов для тестирования правил фильтрации, новую логику работы и, наконец, новый дизайн. Сервис будет полезен не только для разовых проверок правил доступа к

Ворованные баг-репорты на продажу Штатный сотрудник платформы для «белых» хакеров HackerOne занимался присвоением отправленных пользователями отчетов об уязвимостях в ПО и в агрессивной манере небезуспешно продавал их затронутым клиентам. Согласно информации, опубликованной на официальном сайте HackerOne, мошенник за время работы в компании по

ять лет назад. Однако в 2016 г. его по ошибке вернули в код и уже только в 2022 г. присвоили индекс CVE. Хакеры активно эксплуатировали эту уязвимость, прежде чем Apple ее исправила. CVE

яющая получать права суперпользователя (root) в задействованной системе. Уязвимости присвоен индекс CVE-2021-44731. Степень угрозы оценивается в 7,8 балла по шкале CVSS. Проблема заключалась в

продуктов. Наследное дело Основная часть уязвимостей, исправленных HP, унаследованные. В частности, CVE-2022-0778 — это та же ошибка в обработке (парсинге) сертификатов безопасности, которую ра

енные устройства под управлением Android OS. В ходе атак использовались четыре уязвимости в Chrome (CVE-2021-37973, CVE-2021-37976, CVE-2021-38000 и CVE-2021-38003) и одна

включает 17 рекомендаций по 19 уязвимостям в Cisco ASA, FMC и FTD. Обеспечить непрерывный контроль уязвимостей внутри инфраструктуры поможет MaxPatrol VM — система нового поколения для управле

ержат уязвимости, связанные с ошибками в памяти. В выпущенном бюллетене компании перечислены восемь уязвимостей, наиболее серьезная из которых получила 7,9 балла по шкале CVSS, и еще две — 7,3

кста уязвимости. В качестве единицы учета было принято взять универсальный идентификатор уязвимости CVE или БДУ ФСТЕК, и только при их отсутствии — собственные идентификаторы сканера. Главной п

сети с ПЛК. Степень опасности выявленных уязвимостей варьируется от 5,9 до 7,4 по шкале CVSS v3.1: CVE-2022-25155 (5,9), CVE-2022-25156 (5,9), CVE-2022-25159 (5,9), CVE-20

оснулись логики обогащения индикаторов компрометации, работы с инструментом бюллетеней и карточками уязвимостей, а также произошли серьезные изменения в интерфейсе системы. В новой версии R-Vis

рода было выявлено в портативных компьютерах китайского вендора. Уязвимости получили идентификаторы CVE-2021-3970, CVE-2021-3971 и CVE-2021-3972. Две из них позволяют злоумышленни

ов среди вредоносного ПО, повышение интенсивности атак на криптобиржи, появление критически опасных уязвимостей, которые сразу же эксплуатировались злоумышленниками во множестве организаций по

Для 75% уязвимостей, найденных в инфраструктурах российских организаций, есть простые способы устранения, включая патч-менеджмент. Однако они до сих пор остаются незакрытыми, следует из отчета «Ростеле

ализатора кода приложений Solar appScreener. В обновление вошла обнаруженная критическая уязвимость CVE-2022-22965, затрагивающая работу Java-фреймворка с открытым исходным кодом Spring. Баг по

Бреши в BIOS компьютеров Dell В BIOS компьютеров американской компании Dell найдено пять новых уязвимостей, пишет The Hacker News. С их помощью потенциальный злоумышленник может выполнить

звимость, позволяющая получать права суперпользователя (root) в системе. Уязвимости присвоен индекс CVE-2021-44731. Степень угрозы оценивается в 7,8 балла по шкале CVSS. Проблема заключалась в