им-либо учетным записям, а значит, выполнить ее может любой внешний нарушитель. Кроме того, к числу уязвимостей, требующих особого внимания в условиях увеличившегося числа открытых удаленных до

«Дырявое» ПО В программном обеспечении с открытым исходным кодом отмечен резкий рост количества уязвимостей. Всего за год их число увеличилось на 50%. К такому выводу пришли специалисты компании WhiteSource Software, занимающейся, в том числе, разработкой одноименной системы управления ли

запуском любого кода с высшими привилегиями NT Authority/System. Синергия багов Комбинация из двух уязвимостей позволяет злоумышленнику, создав бесплатный пользовательский аккаунт в Azure Clou

ая их компьютеры ВПО. По данным исследования, в 2019 г. существенно (на 17 процентных пунктов по сравнению с 2018 г.) снизилась доля веб-приложений, содержащих уязвимости высокого уровня риска. Число уязвимостей, которое в среднем приходится на одно приложение, снизилось по сравнению с прошлым годом почти в полтора раза. Несмотря на это, общий уровень защищенности веб-приложений оценивается

е тестирование программы «ScanOVAL для Linux» — инструмента для автоматизированных проверок наличия уязвимостей ПО, работающего под управлением операционных систем семейства Linux. «ScanOVAL дл

Citrix Systems, Inc. и FireEye Inc. объявили о выпуске нового решения для обнаружения возможности компрометации в связи с ранее выявленной уязвимостью CVE-2019-19781, которая затрагивает отдельные версии Citrix Application Delivery Controller (ADC), Citrix Gateway, а также две ранние версии Citrix SD-WAN WANOP. Данный инструментарий доступен

выпустил новую версию анализатора защищенности приложений Solar appScreener 3.4. Версию отличает наиболее продвинутая среди всех конкурирующих решений система отчетности, более детальная верификация уязвимостей и поддержка языка программирования VB.NET Microsoft. В Solar appScreener 3.4 значительно переработаны навигация и конфигурация системы отчетности, а также само содержание отчетов. П

твует критериям программы MAPP и что у нас есть команда экспертов, создающих правила детектирования уязвимостей в сетевом трафике». «Для включения в программу MAPP компания должна продемонстрир

ти приложений PT Application Inspector обновлен набор преднастроенных отчетов. Теперь по результатам работы анализатор в числе прочих выдает отчет, соответствующий требованиям Банка России по анализу уязвимостей прикладного ПО, использующегося для проведения финансовых операций. Этот отчет может являться доказательством проведенного анализа уязвимостей в соответствии с требованиями О

как критическую в рекомендациях клиентов для CVE-2019-0708, а в Американской правительственной базе уязвимостей CVE-2019-0708 ей присвоено 9,8 баллов из 10.

Positive Technologies помогла Siemens устранить опасные уязвимостей в системе управления производством электроэнергии. Решение Siemens SPPA-T3000 применяется для контроля и управления технологическими процессами на крупных объектах электрогенерации

На перехват Эксперты компании SafeBreach обнаружили целый ряд уязвимостей класса «захват DLL» (Dynamic Link Library, библиотека динамической компоновки для

ых систем управления технологическими процессами (АСУ ТП). Почти три четверти (72%) всех выявленных уязвимостей относятся к высокому или критическому уровню опасности. Основная масса уязвимо

леко не все бреши были обнаружены и закрыты. ЭкспертыKaspersky ICS CERT в общей сложности завели 37 CVE[1], которые описывают найденные ими уязвимости. Программные дыры были обнаружены как в кл

анные удаленному оператору. В новогодний период 2018 г. мир потрясло известие об обнаружении первых уязвимостей, связанных со спекулятивным выполнением инструкций, — Meltdown и Spectre. И в то

Затронуты крупнейшие дистрибутивы Список уязвимостей, выявленных в компонентах Linux в 2019 г., пополнился багом в библиотеке сжатия д

Угрозы нулевого дня атаковали Android Новости об обнаружении уязвимостей в западных мобильных операционных системах стали уже обыденными для российского ч

улевого дня в операционной системе Android, которой уже вовсю пользуются злоумышленники. Уязвимость CVE-2019-2215 угрожает пользователям устройств Google Pixel, а также смартфонов и планшетов н

Московский аэропорт Домодедово взял на вооружение статический анализатор уязвимостей приложений Solar appScreener. С помощью решения «Ростелеком-Солар» осуществляется проверка защищенности портала, а также мобильных приложений воздушной гавани. Московский аэропорт Д

тель направления Защиты критических инфраструктур и АСУ ТП компании «Ростелеком-Солар». Большинство уязвимостей, обнаруженных экспертами «Лаборатории кибербезопасности АСУ ТП» «Ростелеком-Солар

совершаться путем их эксплуатации. Новый сервис поможет промышленным предприятиям проводить анализ уязвимостей и управление патчами, а также обнаруживать попытки эксплуатации уязвимости в сист

озах для владельцев мобильных устройств на платформе iOS. Число вредоносных программ и обнаруженных уязвимостей для этой системы значительно выросло. Так, за первое полугодие 2019 г. эксперты о

Утилиты и привилегии Корпорация Intel исправила восемь уязвимостей в своём программном обеспечении. Одна из них удостоилась отдельного бюллетеня, по

Немногим менее половины В серверах, поддерживающих протокол HTTP/2, выявлены несколько уязвимостей, которые могут быть использованы для DDoS-атак. По данным W3Techs, около 40% в ми

Новая проблема WhatsApp В мессенджере WhatsApp найдено несколько уязвимостей, которые позволяют хакеру менять на свое усмотрение отправителя и текст сообщений других пользователей. Об этом сообщил израильский разработчик защитного ПО Check Point. Исследовате

Две с половиной критических Комбинация из двух уязвимостей угрожает миллионам устройств на базе ОC Android и процессоров Qualcomm Snapdragon

11 серьёзных уязвимостей Операционная система реального времени VxWorks содержит 11 серьёзных уязвимост

Борьба с антипрививочниками Программное обеспечение британской компании Moonshot CVE будет адаптировано для борьбы с антипрививочниками через интернет. Изначально это ПО было разработано с целью противодействия экстремистам, вербующим в свои ряды мирных жителей посредством

Eset обнаружила уязвимость нулевого дня в ОС Windows (CVE-2019-1132). Найденная брешь позволяла злоумышленникам совершать целевые атаки в Восточной

роллер для управления экосистемой умного дома (smart home) и обнаружили в нём несколько критических уязвимостей. Наиболее серьёзными оказались проблемы в облачной инфраструктуре устройства, а т

и Cyberint, ведущий поставщик киберзащиты для цифровых потребительских компаний, обнаружили цепочку уязвимостей в магазине игр Origin, разработанном Electronic Arts (EA). В случае их использова

«Ростелеком-Solar» провела исследование уязвимостей популярных мобильных игровых приложений для детей. Анализ 14 игровых приложений п

eit Amsterdam, VU) с целью сокрытия информации о новых уязвимостях в ее процессорах. Речь про класс уязвимостей Microarchitectural Data Sampling (MDS), основанных на технологии спекулятивного и

Devicelock, российский производитель систем борьбы с утечками данных, анонсировал новый сервис по разведке уязвимостей хранения данных, а также мониторингу мошеннических ресурсов и активностей в Darknet. Сервис работает на основе технологий искусственного интеллекта и осуществляет проверку внешней с

Два десятка уязвимостей Компания Nvidia опубликовала обновления для ОС Linuxfor Tegra, на базе которой ра

аки, не приводится. «В том, что IBM предпочитает не раскрывать подробностей о способах эксплуатации уязвимостей, возможно, есть некоторый смысл, — считает Михаил Зайцев, эксперт по информационн

извольный код удаленно. Ghidra представляет собой написанный на Java кросс-платформенный фреймворк, предназначенный для обратного инжиниринга (исследования) готового программного обеспечения и поиска уязвимостей. О существовании этой системы впервые стало известно в 2017 г., когда ресурс WikiLeaks в рамках кампании Vault 7 слил большой объем непубличных данных о хакерском инструментарии ЦРУ

Серьезно, но некритично Intel исправила два десятка уязвимостей в драйверах своих графических карт под Windows. В случае успешной эксплуатации на

Dataline объявила о запуске сервиса для поиска и анализа уязвимостей Security Scan. Сканирование производится по внешним IP-адресам клиента с помощью облачного решения Qualys. Детальный отчет предоставляется в течение 24 часов. В отчете клиентам дост

Специалисты Positive Technologies подготовили статистику уязвимостей, обнаруженных в ходе проведения работ по тестированию безопасности веб-приложений в 2018 г. Исследование показало, что в среднем на одно веб-приложение приходится 33 уязвимости, шес