Россияне заплатят хакерам Компания Positive Technologies, работающая в сфере информационной безопасности, намерена запустить в России отечественную платформу по поиску уязвимостей в информационных системах. Об этом пишет «Коммерсант» со ссылкой на представителя компании. Другими словами, Positive Technologies готовит отечественный вариант известной международ

ивать владельца гаджета, разумеется, без его на то ведома. «Дыры» в чипах MediaTek получили индексы CVE-2021-0661, CVE-2021-0662 и CVE-2021-0663. Пока нет данных, в каких именно п

ку дальше. Примечательно, что для попадания внутрь сети злоумышленники использовали пачку связанных уязвимостей в Microsoft Exchange (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) из группы P

Cisco ASA, такие как CVE-2020-3187, CVE-2020-3259 и CVE-2020-3452. Обеспечить непрерывный контроль уязвимостей внутри инфраструктуры поможет MaxPatrol VM — система нового поколения в области v

м старте операционной системы. В другом случае хакеры обещали $25 тыс. за PoC-эксплойт к уязвимости CVE-2021-22893, критическому баг» в Pulse Secure VPN, которым к тому времени активно пользова

, разработанной скандально известной израильской фирмой NSO Group. Уязвимости получили наименования CVE-2021-30858 и CVE-2021-30860; обе позволяют использовать специально подготовленные

Сканирование внешнего периметра считают важным 29% респондентов. Ключевым же элементом для анализа уязвимостей 45% опрошенных назвали локальную сеть организации. И лишь десятая часть респонден

Летнее сканирование Киберзлоумышленники активно эксплуатируют набор уязвимостей под общим названием ProxyShell в Microsoft Exchange для установки бэкдоров. Атака

CODESYS Control V2 communication, которая позволяет встраиваемым PC-системам выполнять функции ПЛК (CVE-2021-30186, CVE-2021-30188); получение доступа к файловой системе контроллера с пр

Maxnet. Он работает в Калуге, Обнинске и ряде других населенных пунктов. Со слов Демидова, в середине 2020 г. он предложил своему руководству провести проверку всех роутеров на предмет наличия в них уязвимостей. Свою инициативу он мотивировал тем, что при общении с абонентами Maxnet он заметил, что большая их часть не меняет базовые настройки своих маршрутизаторов. «Через уязвимости в роут

вредоносные сэмплы, с помощью которых удалось выявить сразу две уязвимости нулевого дня в Windows: CVE-2021-31979 и CVE-2021-33771. Обе уязвимости позволяют повышать привилегии в контек

анные сторонние сервисы. XSS и инъекция аргумента Выявленные в Etherpad уязвимости получили индексы CVE-2021-34816 и CVE-2021-34817. Первая, относящаяся к классу «инъекция аргумента», во

в рейтинге исследователей и серьезно опережает других игроков рынка кибербезопасности по количеству уязвимостей, выявленных в исследуемых программных и аппаратных решениях. Эксперты «Ростелеком

так. Кроме этого, «Ростелеком-Солар» планирует использовать Vulners для оценки объема и критичности уязвимостей, обнаруженных в рамках сервиса Vulnerability Management (VM), реализуемого на пла

Облачная платформа Mail.ru Cloud Solutions (MCS) подняла оплату за обнаружение уязвимостей в продуктах и сервисах компании в рамках программы Bug Bounty до $40 тыс. Первая награда на эту сумму за обнаружение критической уязвимости была выплачена в июле 2021 года. Кроме то

реступников, желающих получить доступ к конфиденциальным данным. Команда Sоftline сформировала полный отчёт по всем проблемам, ранжировала их по степени влияния. Также был подготовлен план устранения уязвимостей, улучшения инфраструктуры. Sоftline предоставила профессиональную команду, которая имеют обширный опыт работы с программным обеспечением Microsoft. Инженеры имеют уникальные на рынк

о тестирования кода на этапе разработки. Всего в ходе исследования были обнаружены три уязвимости — CVE-2021-1497 (оценка 9,8 по шкале CVSS 3.1, обнаружил Никита Абрамов), CVE-2021-1498

сферах. Производитель выпустил обновление безопасности и рекомендации по снижению риска. Уязвимость CVE-2021-21001 присутствует в компоненте CODESYS 2.3 Runtime, который является частью прошивк

Значение слишком велико Эксперты по безопасности Microsoft выявили более двух дюжин уязвимостей, допускающих запуск произвольного кода в устройствах интернета вещей, операционно-технологическом и медицинском оборудовании. Уязвимости, получивших общее наименование BadAlloc, выз

l с поддержкой кэширования микроопераций. Исследователи утверждают, что уже существующие средства защиты от Spectre не могут обезопасить процессоры от потенциальных атак с использованием обнаруженных уязвимостей. Документ с интригующим названием «Я вижу мертвые микрооперации: утечка секретов через кэши микроопераций Intel/AMD» (I See Dead µops: Leaking Secrets via Intel/AMD Micro-Op Caches)

блачных платформ. Впрочем, остались еще две, для которых патчей еще нет. В частности, исправлен баг CVE-2021-21982 в VMware Carbon Black Cloud Workload, который позволяет обходить авторизацию.

ходке в Microsoft. Она позволяла повысить привилегии пользователя в системе, ему был присвоен номер CVE-2021-28310. Злоумышленники ищут уязвимости нулевого дня — бреши, о которых неизвестно раз

ссию (4%). Больше всего атак было на государственный/военный сектор (23% всех попыток использования уязвимостей), производство (15%), банковскую/финансовую отрасль (14%), вендоров защитного ПО

и выгрузки критичных данных, включая почтовые ящики целиком. Во время атаки эксплуатируются четыре CVE. Первый CVE — уязвимость Exchange, которая позволяет подделывать запросы на сторон

Александр подтвердил возможность атаки на Fedora 33 Server. Уязвимости получили общий идентификатор CVE-2021-26708 и оценку 7,0 по шкале CVSS v3, что соответствует высокому уровню опасности. К

анализатора кода Solar appScreener 3.8. В обновлении представлена функциональность экспериментального анализа, позволяющая пользователям системы опробовать в действии новейшие возможности обнаружения уязвимостей в коде, находящиеся в проработке у разработчиков системы. Также расширена поддержка языков программирования за счет анализа приложений на LotusScript, а в интерфейсе анализатора поя

тов Cisco, перестало реагировать на сообщения Хаузера, а в последнем обновлении 4.22 ни одна из тех уязвимостей не упомянута. Поэтому он опубликовал на GitHub сразу 12 экспериментальных эксплой

м исходным кодом для ПК. Анализ десяти open source программ продемонстрировал, что ряд обнаруженных уязвимостей в случае успешной эксплуатации злоумышленниками открывает доступ ко всем данным п

ритической уязвимости, которую начали активно эксплуатировать киберзлоумышленники. Речь идет о баге CVE-2020-14750, затрагивающем множественные версии Oracle WebLogic Server — платформы для раз

Компания SafeTech сообщает, что в отношении Программного комплекса «PayControl» версии v5 успешно проведены и получены положительные результаты анализа уязвимостей по требованиям к четвертому оценочному уровню доверия (ОУД 4) в соответствии с требованиями национального стандарта России ГОСТ Р ИСО/МЭК 15408-3-2013. Анализ уязвимостей при

я 2020 г. Google выкатил обновление 86.0.4240.111 для исправления бага и серии других высокоопасных уязвимостей. Его также рекомендуется установить как можно скорее. Не только в Chrome Эксперты

чные отношения защищают целостность цифровой среды и обеспечивают лучшую защиту от APT-атак и новых уязвимостей до того, как они повлияют на конечных пользователей». Уязвимость CVE-2020-5135 за

— это первое, с чем сталкиваются специалисты по информационной безопасности. К примеру, базы MITRE CVE List и NVD содержат более 100 тыс. записей об отдельных уязвимостях, а за сутки в среднем

dyWater, SeedWorm, TEMP.Zagros), активно использующей Zerologon. CISA предупредила и о серии других уязвимостей, которые также могут быть использованы для атак на правительственные учреждения и

изатора кода приложений Solar appScreener 3.7. Ключевым изменением новой версии стала поддержка интегрированных сред разработки IntelliJ IDEA от JetBrains и Visual Studio от Microsoft для исправления уязвимостей на более ранних стадиях создания ПО. IntelliJ IDEA представляет собой среду разработки для многих языков программирования, в частности Java, JavaScript, Python, разработанную компан

ого оборудования Moxa выпустил обновления безопасности для Ethernet-оборудования с целью устранения уязвимостей, обнаруженных Евгением Дружининым и Ильей Карповым, исследователями Лаборатории к

Шесть уязвимостей WhatsApp В приложениях WhatsApp содержались шесть уязвимостей, часть из ко

едине марта 2020 г. «Азбука вкуса» запустила первую в фуд-ритейле программу вознаграждений за поиск уязвимостей в основной и мобильной версии сайта av.ru, а также во всех сервисах, расположенны

Компания ESET обнаружила уязвимость в Wi-Fi модулях Qualcomm и MediaTek, позволяющую похищать конфиденциальную информацию. Ранее ESET сообщала о похожей уязвимости Kr00k, обнаруженной в чипах Broadcom и Cypress. Kr00k позволяет перехватывать и дешифровать трафик Wi-Fi (WPA2). Злоумышленники используют уязвимость, чтобы получить доступ к данным — дл

на южнокорейскую компанию, для совершения которой использовалась ранее неизвестная цепочка из двух уязвимостей нулевого дня. Один эксплойт позволял удаленно выполнять код в браузере Internet E