лемы вызывают три уязвимости, получившие 10 из 10 возможных баллов по шкале угроз CVS. Одна из них, CVE-2022-20699 — уязвимость в модуле SSL VPN в роутерах Dual WAN Gigabit VPN RV340, RV340W, R

В отношении системы дистанционного банковского обслуживания Челябинвестбанка InvestPay проведен анализ уязвимостей по требованиям к оценочному уровню доверия 4 (ОУД 4) в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3-2013. Анализ проводился специалистами ИТ-компании «Инфосистемы Джет». В ход

Unix по всему миру. Об этом стало известно 25 января 2022 г. из отчета экспертов Qualys. Уязвимость CVE-2021-4034 затрагивает утилиту pkexec инструмента Polkit, который управляет привилегиями п

ть позволяет обходить авторизацию на устройствах. Всем уязвимостям, связанным с инъекцией команд, - CVE-2021-44453, CVE-2021-22657, CVE-2021-23198, CVE-2021-43981 и CVE<

ыступает системой аутентификации и авторизации пользователей и приложений. Речь идет об уязвимостях CVE-2021-42287 и CVE-2021-42278, которые в ноябре 2021 г. обнаружил эксперт по кибербе

добавлены правила для поиска всех выявленных на текущий момент уязвимостей библиотеки Apache Log4j: CVE-2021-44228 (оценка опасности угрозы по CVSS: 10/10 баллов) — критическая уязвимость удале

миру. Девять багов Эксперты выявили в общей сложности девять уязвимостей, которым присвоены индексы CVE-2020-10368 (утечка незашифрованных данных Wi-Fi, архитектурная проблема), CVE-2020

Б-компании Eset изучила географию попыток эксплуатации уязвимости в утилите ведения журналов Log4j (CVE-2021-44228), получившую название Log4Shell. Лидерами антирейтинга стали США, Великобритан

Россияне заплатят хакерам Компания Positive Technologies, работающая в сфере информационной безопасности, намерена запустить в России отечественную платформу по поиску уязвимостей в информационных системах. Об этом пишет «Коммерсант» со ссылкой на представителя компании. Другими словами, Positive Technologies готовит отечественный вариант известной международ

ивать владельца гаджета, разумеется, без его на то ведома. «Дыры» в чипах MediaTek получили индексы CVE-2021-0661, CVE-2021-0662 и CVE-2021-0663. Пока нет данных, в каких именно п

ку дальше. Примечательно, что для попадания внутрь сети злоумышленники использовали пачку связанных уязвимостей в Microsoft Exchange (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) из группы P

Cisco ASA, такие как CVE-2020-3187, CVE-2020-3259 и CVE-2020-3452. Обеспечить непрерывный контроль уязвимостей внутри инфраструктуры поможет MaxPatrol VM — система нового поколения в области v

м старте операционной системы. В другом случае хакеры обещали $25 тыс. за PoC-эксплойт к уязвимости CVE-2021-22893, критическому баг» в Pulse Secure VPN, которым к тому времени активно пользова

, разработанной скандально известной израильской фирмой NSO Group. Уязвимости получили наименования CVE-2021-30858 и CVE-2021-30860; обе позволяют использовать специально подготовленные

Сканирование внешнего периметра считают важным 29% респондентов. Ключевым же элементом для анализа уязвимостей 45% опрошенных назвали локальную сеть организации. И лишь десятая часть респонден

Летнее сканирование Киберзлоумышленники активно эксплуатируют набор уязвимостей под общим названием ProxyShell в Microsoft Exchange для установки бэкдоров. Атака

CODESYS Control V2 communication, которая позволяет встраиваемым PC-системам выполнять функции ПЛК (CVE-2021-30186, CVE-2021-30188); получение доступа к файловой системе контроллера с пр

Maxnet. Он работает в Калуге, Обнинске и ряде других населенных пунктов. Со слов Демидова, в середине 2020 г. он предложил своему руководству провести проверку всех роутеров на предмет наличия в них уязвимостей. Свою инициативу он мотивировал тем, что при общении с абонентами Maxnet он заметил, что большая их часть не меняет базовые настройки своих маршрутизаторов. «Через уязвимости в роут

вредоносные сэмплы, с помощью которых удалось выявить сразу две уязвимости нулевого дня в Windows: CVE-2021-31979 и CVE-2021-33771. Обе уязвимости позволяют повышать привилегии в контек

анные сторонние сервисы. XSS и инъекция аргумента Выявленные в Etherpad уязвимости получили индексы CVE-2021-34816 и CVE-2021-34817. Первая, относящаяся к классу «инъекция аргумента», во

в рейтинге исследователей и серьезно опережает других игроков рынка кибербезопасности по количеству уязвимостей, выявленных в исследуемых программных и аппаратных решениях. Эксперты «Ростелеком

так. Кроме этого, «Ростелеком-Солар» планирует использовать Vulners для оценки объема и критичности уязвимостей, обнаруженных в рамках сервиса Vulnerability Management (VM), реализуемого на пла

Облачная платформа Mail.ru Cloud Solutions (MCS) подняла оплату за обнаружение уязвимостей в продуктах и сервисах компании в рамках программы Bug Bounty до $40 тыс. Первая награда на эту сумму за обнаружение критической уязвимости была выплачена в июле 2021 года. Кроме то

реступников, желающих получить доступ к конфиденциальным данным. Команда Sоftline сформировала полный отчёт по всем проблемам, ранжировала их по степени влияния. Также был подготовлен план устранения уязвимостей, улучшения инфраструктуры. Sоftline предоставила профессиональную команду, которая имеют обширный опыт работы с программным обеспечением Microsoft. Инженеры имеют уникальные на рынк

о тестирования кода на этапе разработки. Всего в ходе исследования были обнаружены три уязвимости — CVE-2021-1497 (оценка 9,8 по шкале CVSS 3.1, обнаружил Никита Абрамов), CVE-2021-1498

сферах. Производитель выпустил обновление безопасности и рекомендации по снижению риска. Уязвимость CVE-2021-21001 присутствует в компоненте CODESYS 2.3 Runtime, который является частью прошивк

Значение слишком велико Эксперты по безопасности Microsoft выявили более двух дюжин уязвимостей, допускающих запуск произвольного кода в устройствах интернета вещей, операционно-технологическом и медицинском оборудовании. Уязвимости, получивших общее наименование BadAlloc, выз

l с поддержкой кэширования микроопераций. Исследователи утверждают, что уже существующие средства защиты от Spectre не могут обезопасить процессоры от потенциальных атак с использованием обнаруженных уязвимостей. Документ с интригующим названием «Я вижу мертвые микрооперации: утечка секретов через кэши микроопераций Intel/AMD» (I See Dead µops: Leaking Secrets via Intel/AMD Micro-Op Caches)

блачных платформ. Впрочем, остались еще две, для которых патчей еще нет. В частности, исправлен баг CVE-2021-21982 в VMware Carbon Black Cloud Workload, который позволяет обходить авторизацию.

ходке в Microsoft. Она позволяла повысить привилегии пользователя в системе, ему был присвоен номер CVE-2021-28310. Злоумышленники ищут уязвимости нулевого дня — бреши, о которых неизвестно раз

ссию (4%). Больше всего атак было на государственный/военный сектор (23% всех попыток использования уязвимостей), производство (15%), банковскую/финансовую отрасль (14%), вендоров защитного ПО

и выгрузки критичных данных, включая почтовые ящики целиком. Во время атаки эксплуатируются четыре CVE. Первый CVE — уязвимость Exchange, которая позволяет подделывать запросы на сторон

Александр подтвердил возможность атаки на Fedora 33 Server. Уязвимости получили общий идентификатор CVE-2021-26708 и оценку 7,0 по шкале CVSS v3, что соответствует высокому уровню опасности. К

анализатора кода Solar appScreener 3.8. В обновлении представлена функциональность экспериментального анализа, позволяющая пользователям системы опробовать в действии новейшие возможности обнаружения уязвимостей в коде, находящиеся в проработке у разработчиков системы. Также расширена поддержка языков программирования за счет анализа приложений на LotusScript, а в интерфейсе анализатора поя

тов Cisco, перестало реагировать на сообщения Хаузера, а в последнем обновлении 4.22 ни одна из тех уязвимостей не упомянута. Поэтому он опубликовал на GitHub сразу 12 экспериментальных эксплой

м исходным кодом для ПК. Анализ десяти open source программ продемонстрировал, что ряд обнаруженных уязвимостей в случае успешной эксплуатации злоумышленниками открывает доступ ко всем данным п

ритической уязвимости, которую начали активно эксплуатировать киберзлоумышленники. Речь идет о баге CVE-2020-14750, затрагивающем множественные версии Oracle WebLogic Server — платформы для раз

Компания SafeTech сообщает, что в отношении Программного комплекса «PayControl» версии v5 успешно проведены и получены положительные результаты анализа уязвимостей по требованиям к четвертому оценочному уровню доверия (ОУД 4) в соответствии с требованиями национального стандарта России ГОСТ Р ИСО/МЭК 15408-3-2013. Анализ уязвимостей при

я 2020 г. Google выкатил обновление 86.0.4240.111 для исправления бага и серии других высокоопасных уязвимостей. Его также рекомендуется установить как можно скорее. Не только в Chrome Эксперты

чные отношения защищают целостность цифровой среды и обеспечивают лучшую защиту от APT-атак и новых уязвимостей до того, как они повлияют на конечных пользователей». Уязвимость CVE-2020-5135 за