анные сторонние сервисы. XSS и инъекция аргумента Выявленные в Etherpad уязвимости получили индексы CVE-2021-34816 и CVE-2021-34817. Первая, относящаяся к классу «инъекция аргумента», во

в рейтинге исследователей и серьезно опережает других игроков рынка кибербезопасности по количеству уязвимостей, выявленных в исследуемых программных и аппаратных решениях. Эксперты «Ростелеком

так. Кроме этого, «Ростелеком-Солар» планирует использовать Vulners для оценки объема и критичности уязвимостей, обнаруженных в рамках сервиса Vulnerability Management (VM), реализуемого на пла

Облачная платформа Mail.ru Cloud Solutions (MCS) подняла оплату за обнаружение уязвимостей в продуктах и сервисах компании в рамках программы Bug Bounty до $40 тыс. Первая награда на эту сумму за обнаружение критической уязвимости была выплачена в июле 2021 года. Кроме то

реступников, желающих получить доступ к конфиденциальным данным. Команда Sоftline сформировала полный отчёт по всем проблемам, ранжировала их по степени влияния. Также был подготовлен план устранения уязвимостей, улучшения инфраструктуры. Sоftline предоставила профессиональную команду, которая имеют обширный опыт работы с программным обеспечением Microsoft. Инженеры имеют уникальные на рынк

о тестирования кода на этапе разработки. Всего в ходе исследования были обнаружены три уязвимости — CVE-2021-1497 (оценка 9,8 по шкале CVSS 3.1, обнаружил Никита Абрамов), CVE-2021-1498

сферах. Производитель выпустил обновление безопасности и рекомендации по снижению риска. Уязвимость CVE-2021-21001 присутствует в компоненте CODESYS 2.3 Runtime, который является частью прошивк

Значение слишком велико Эксперты по безопасности Microsoft выявили более двух дюжин уязвимостей, допускающих запуск произвольного кода в устройствах интернета вещей, операционно-технологическом и медицинском оборудовании. Уязвимости, получивших общее наименование BadAlloc, выз

l с поддержкой кэширования микроопераций. Исследователи утверждают, что уже существующие средства защиты от Spectre не могут обезопасить процессоры от потенциальных атак с использованием обнаруженных уязвимостей. Документ с интригующим названием «Я вижу мертвые микрооперации: утечка секретов через кэши микроопераций Intel/AMD» (I See Dead µops: Leaking Secrets via Intel/AMD Micro-Op Caches)

блачных платформ. Впрочем, остались еще две, для которых патчей еще нет. В частности, исправлен баг CVE-2021-21982 в VMware Carbon Black Cloud Workload, который позволяет обходить авторизацию.

ходке в Microsoft. Она позволяла повысить привилегии пользователя в системе, ему был присвоен номер CVE-2021-28310. Злоумышленники ищут уязвимости нулевого дня — бреши, о которых неизвестно раз

ссию (4%). Больше всего атак было на государственный/военный сектор (23% всех попыток использования уязвимостей), производство (15%), банковскую/финансовую отрасль (14%), вендоров защитного ПО

и выгрузки критичных данных, включая почтовые ящики целиком. Во время атаки эксплуатируются четыре CVE. Первый CVE — уязвимость Exchange, которая позволяет подделывать запросы на сторон

Александр подтвердил возможность атаки на Fedora 33 Server. Уязвимости получили общий идентификатор CVE-2021-26708 и оценку 7,0 по шкале CVSS v3, что соответствует высокому уровню опасности. К

анализатора кода Solar appScreener 3.8. В обновлении представлена функциональность экспериментального анализа, позволяющая пользователям системы опробовать в действии новейшие возможности обнаружения уязвимостей в коде, находящиеся в проработке у разработчиков системы. Также расширена поддержка языков программирования за счет анализа приложений на LotusScript, а в интерфейсе анализатора поя

тов Cisco, перестало реагировать на сообщения Хаузера, а в последнем обновлении 4.22 ни одна из тех уязвимостей не упомянута. Поэтому он опубликовал на GitHub сразу 12 экспериментальных эксплой

м исходным кодом для ПК. Анализ десяти open source программ продемонстрировал, что ряд обнаруженных уязвимостей в случае успешной эксплуатации злоумышленниками открывает доступ ко всем данным п

ритической уязвимости, которую начали активно эксплуатировать киберзлоумышленники. Речь идет о баге CVE-2020-14750, затрагивающем множественные версии Oracle WebLogic Server — платформы для раз

Компания SafeTech сообщает, что в отношении Программного комплекса «PayControl» версии v5 успешно проведены и получены положительные результаты анализа уязвимостей по требованиям к четвертому оценочному уровню доверия (ОУД 4) в соответствии с требованиями национального стандарта России ГОСТ Р ИСО/МЭК 15408-3-2013. Анализ уязвимостей при

я 2020 г. Google выкатил обновление 86.0.4240.111 для исправления бага и серии других высокоопасных уязвимостей. Его также рекомендуется установить как можно скорее. Не только в Chrome Эксперты

чные отношения защищают целостность цифровой среды и обеспечивают лучшую защиту от APT-атак и новых уязвимостей до того, как они повлияют на конечных пользователей». Уязвимость CVE-2020-5135 за

— это первое, с чем сталкиваются специалисты по информационной безопасности. К примеру, базы MITRE CVE List и NVD содержат более 100 тыс. записей об отдельных уязвимостях, а за сутки в среднем

dyWater, SeedWorm, TEMP.Zagros), активно использующей Zerologon. CISA предупредила и о серии других уязвимостей, которые также могут быть использованы для атак на правительственные учреждения и

изатора кода приложений Solar appScreener 3.7. Ключевым изменением новой версии стала поддержка интегрированных сред разработки IntelliJ IDEA от JetBrains и Visual Studio от Microsoft для исправления уязвимостей на более ранних стадиях создания ПО. IntelliJ IDEA представляет собой среду разработки для многих языков программирования, в частности Java, JavaScript, Python, разработанную компан

ого оборудования Moxa выпустил обновления безопасности для Ethernet-оборудования с целью устранения уязвимостей, обнаруженных Евгением Дружининым и Ильей Карповым, исследователями Лаборатории к

Шесть уязвимостей WhatsApp В приложениях WhatsApp содержались шесть уязвимостей, часть из ко

едине марта 2020 г. «Азбука вкуса» запустила первую в фуд-ритейле программу вознаграждений за поиск уязвимостей в основной и мобильной версии сайта av.ru, а также во всех сервисах, расположенны

Компания ESET обнаружила уязвимость в Wi-Fi модулях Qualcomm и MediaTek, позволяющую похищать конфиденциальную информацию. Ранее ESET сообщала о похожей уязвимости Kr00k, обнаруженной в чипах Broadcom и Cypress. Kr00k позволяет перехватывать и дешифровать трафик Wi-Fi (WPA2). Злоумышленники используют уязвимость, чтобы получить доступ к данным — дл

на южнокорейскую компанию, для совершения которой использовалась ранее неизвестная цепочка из двух уязвимостей нулевого дня. Один эксплойт позволял удаленно выполнять код в браузере Internet E

вимостях. Некоторые из них позволяют деанонимизировать пользователей. По меньшей мере, одна из этих уязвимостей, позволяет выяснить истинный IP-адрес серверов Tor - то есть узлов, отвечающих за

прометировать процесс загрузки, даже если активна функция Secure Boot. Уязвимость получила название BootHole. GRUB2 используется большинством дистрибутивов Linux. При эффективной эксплуатации <

кибербезопасности АСУ ТП» компании «Ростелеком-Солар», входящей в состав «Ростелекома», выявили ряд уязвимостей в промышленном оборудовании Schneider Electric, широко используемом для управлени

я актуальным киберугрозам, подписали соглашение о дистрибуции. Согласно условиям соглашения, Fortis через свою партнерскую сеть на территории России будет заниматься поставками и продвижением сканера уязвимостей XSpider. Основная задача сканера XSpider состоит в обнаружении уязвимостей в сетевых ресурсах до того, как это сделают злоумышленники. Решение определяет компоненты сети, ска

19 друзей мистера Рипли Эксперты компании JSOF выявили почти два десятка уязвимостей в высокоскоростном протоколе Treck TCP/IP, разработанном специально для встраиваемых устройств. В результате под угрозой оказывается колоссальное количество оборудования интернета в

ниверситета Пердью (США) и Федеральной политехнической школы Лозанны (Швейцария) обнаружили десятки уязвимостей в USB-драйверах современных операционных систем. Как пишет ZDnet, они протестиров

авторизоваться на интернет-ресурсах под учетными данными жертвы и действовать от ее имени. Еще 30% уязвимостей связаны с возможностью внедрения SQL-кода из-за отсутствия или некорректной фильт

Неуязвимых нет. Почти Целый набор уязвимостей в интерфейсе Intel Thunderbolt теоретически позволяет красть данные из систем Win

апустить его — без какого-либо участия пользователя. Всего эксперты выявили 14 уязвимостей. Индексы CVE были присвоены всем, кроме одной, которую в Apple уже успели обнаружить до сообщения из G

ов, с помощью которых злоумышленник может получить несанкционированный доступ. В частности, одна из уязвимостей дает возможность создать бэкдор SSH, подобрать пароль методом брутфорса и установ

я занятий фитнесом и спортом. Анализ 16 фитнес-сервисов показал, что ряд обнаруженных в приложениях уязвимостей потенциально могут привести к компрометации конфиденциальных данных пользователей