«Дыры» критические и не очень Palo Alto Networks устранила несколько уязвимостей в PAN-OS, программной оболочке своих популярных аппаратных брандмауэров. Объедине

керу удаленно запустить на устройстве исполнение вредоносного кода. Уязвимость, получившая название CVE-2017-2750, была найдена исследователями безопасности из сообщества FoxGlove Security. Она

Последствия аудита Корпорация Intel выпустила серию исправлений для уязвимостей, обнаруженных в программных прошивках ее новейших процессоров и чипсетов и сопутс

ake Intel Pentium, а также серии Celeron N и J.Уязвимостям, найденным в ME, были присвоены названия CVE-2017-5705, CVE-2017-5708, CVE-2017-5711, CVE-2017-5712, CVE-2

Сбор уязвимостей в США В США опубликовали новую версию документа, который подробно описывает, какие государственные агентства этой страны вовлечены в процесс сбора информации о багах в распространен

основанных на его ядре платформ, таких как Tizen и Android.BlueBorne включает следующие уязвимости: CVE-2017-0781, CVE-2017-0782 – уязвимости ОС Android, позволяющие запускать приложения

В Microsoft недовольны подходом Google к исправлению уязвимостей Сотрудники компании Microsoft, ответственные за безопасность, раскритиковали подх

Пятеро экс-сотрудников заявили о взломе базы Microsoft Пять бывших сотрудников Microsoft независимо друг от друга заявили агентству Reuters, что секретная база данных корпорации о неисправленных уязвимостях в ее ПО была взломана в 2013 г. За взломом предположительно стояла APT-группировка Wild Neutron, атаковавшая также Facebook, Twitter, Apple и другие ИТ-компании Кремниевой долины. В

я уязвимость, позволяющая повышать пользовательские привилегии в системе. Ошибка, получившая индекс CVE-2017-15265, содержится в компоненте ядра Advanced Linux Sound Architecture (ALSA). CVE

Низкоуровневые уязвимости Средства защиты BIOS, разработанные Intel, можно обойти с помощью уязвимостей в прошивках материнских плат. Об этом свидетельствуют результаты исследований экс

ания Cisco опубликовала бюллетень безопасности, описывающий исправленные новым релизом уязвимости — CVE-2017-9804 и CVE-2017-9793. Спустя два дня было выпущено еще одно обновление Struts

версиях операционной системы. Согласно собственным комментариям Microsoft, уязвимость под индексом CVE-2017-8620 допускает удаленный запуск произвольного кода. Злоумышленник, который успешно п

ий, которые проводились экспертами Positive Technologies, доля финансовых приложений, в которых встречаются критически опасные уязвимости, в 2016 году снизилась, однако общий уровень риска выявленных уязвимостей стал значительно выше. Наиболее распространены оказались недостатки механизмов идентификации, аутентификации и авторизации.Как отмечается в исследовании, популярность электронных фи

ения и запустить на компьютере жертвы исполнение вредоносного кода. Уязвимость, получившая название CVE-2017-9948, присутствует в версиях Skype 7.2, 7.35 и 7.36. Она была обнаружена исследовате

-тестирования бесплатного онлайн-сервиса, который предоставляет быстрый и легкий способ обнаружения уязвимостей в веб-приложениях. Пользователи могут мгновенно начать проверку от своего имени б

гресса своей страны проект закона, который должен будет регламентировать использование спецслужбами уязвимостей в коммерческом программном и аппаратном обеспечении. Законопроект, получивший наз

шееся недавно распространение вируса-шифровальщика WannaCrypt обусловлено эксплуатацией уязвимостей CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2

Oracle побила собственный рекорд Компания Oracle разом исправила 299 уязвимостей в своих продуктах. Небольшая, но существенная часть исправлений была выпущена после того, как в публичное поле попали сведения об активной эксплуатации уязвимостей. 299 запла

одление было логичным шагом, — сказал Никита Швецов, директор по исследованиям и разработке «Лаборатории Касперского». — Мы высоко ценим энтузиазм, который проявляют эксперты по всему миру при поиске уязвимостей в наших продуктах, и в знак признания важности их работы мы увеличили вознаграждение за найденные ошибки. Более того, мы расширили список решений, включив в него еще один важный про

ли не хочет этого делать, ему следует воспользоваться списками управления доступом к инфраструктуре (iACL), чтобы снизить вероятность атаки.По данным WikiLeaks, ЦРУ целенаправленно занималось поиском уязвимостей в продуктах CiscoВ Cisco IOS можно не проверять, присутствует ли там подсистема CMP, но такая проверка имеет смысл в Cisco IOS XE. Обе системы также необходимо проверить на предмет

Среди других критических уязвимостей - возможность повышения привилегий для вредоносных приложений (CVE-2017-0475) в компоненте recovery verifier. Кроме того, выявлены критические ошибки в комп

в программных продуктах Microsoft Windows. Как рассказали CNews в компании, традиционно большинство уязвимостей Windows приходится на веб-браузеры – 220 брешей было закрыто производителем в 201

ботчики ИУС не учитывают встроенные возможности программного обеспечения SAP, основные принципы и лучшие практики безопасного программирования. Это влечет за собой угрозу появления в программном коде уязвимостей, которые могут использоваться злоумышленниками для осуществления несанкционированных действий. Основываясь на результатах приемки ИУС и анализе количества созданных и модифицированн

омечены как критические, остальные семь — как важные. В общей сложности выпуск призван устранить 47 уязвимостей. Помеченные критическими два бюллетеня — MS16-104 и MS16-105 — предназначены для 

ила свой портфель, куда входит продукция TmaxSoft, WareValley и Altibase, новым продуктом по поиску уязвимостей СУБД — решением компании WareValley Cyclone. Об этом CNews сообщили в JM Consulti

Хакеры предложили данные об уязвимостях биржевому игроку Группа хакеров нашла способ взломать кардиостимуляторы и дефибрилляторы, которые выпускает крупный американский производитель медицинского оборудования St. Jude Med

ния поиска, внесения в списки и проверки как отдельных, так и всех веб-приложений компаний. Служба проверки приложений необходима для осуществления анализа индивидуальных веб-приложений и определения уязвимостей, представляющих опасность для баз данных или способных помочь обойти средства управления доступом к приложениям. По словам сотрудников Cloud4Y, проверка веб-приложений является пром

платформы CORREQTS компании BSS в области информационной безопасности с целью выявления критических уязвимостей. Тестирование проводилось методом «Серого ящика» ― экспертам предоставлялся досту

Процессинговая компания «Мультикарта» завершила проект по сканированию своих систем на наличие уязвимостей в соответствии с требованиями стандарта PCI DSS. Об этом CNews сообщили в «Мультикарте». Партнером по данному проекту выступила компания «ДиалогНаука», обладающая статусом Approved

четыре уязвимости PCM600 связаны с недостатками хранения и обработки чувствительной информации: для CVE-2016-4511 характерно использование слабых алгоритмов хеширования для хранения паролей к п

ector 2.4 добавлена подсветка синтаксиса, улучшен вывод диагностической информации, а проверка всех уязвимостей исходного кода на развернутом приложении теперь осуществляется одним нажатием, со

 распространили его. Прошло три месяца с того момента, когда мы сообщили им об уязвимости», — сказал он.ДополнениеВ российском представительстве Acer сообщили CNews, что патч для устранения указанных уязвимостей уже выпущен и доступен для загрузки на ноутбуках компании. 

продукты Microsoft Windows. Как сообщили CNews в Eset, эксперты отмечают четырехкратный рост числа уязвимостей в различных компонентах пользовательского режима ОС Windows в 2015 г. Эти уязвимо

х приложений, сочетающему в себе статические технологии анализа кода и научные подходы к реверс-инжинирингу. Являясь инструментом статистического анализа кода, Solar inCode предназначен для выявления уязвимостей и недекларированных возможностей (НДВ) в программном обеспечении. Основной отличительной чертой продукта является то, что он способен проводить анализ приложений, даже при отсутстви

Application Inspector от компании Positive Technologies в свою инфраструктуру для тестирования и сертификации средств защиты информации. Продукт поможет лаборатории автоматизировать процесс выявления уязвимостей при контроле недекларированных возможностей (НДВ) — в соответствии с новыми требованиями и рекомендациями ФСТЭК, сообщили CNews в Positive Technologies. Согласно последним норматива

вимостиОбе уязвимости содержатся в системном файле Samsung s3cfb_extdsp_ops.c — им присвоены номера CVE-2015-1800 и CVE-2015-1801 — и позволяют злоумышленнику манипулировать оперативной

ваний за 2014 г. и первый квартал 2015 г. На основании исследования был составлен топ-10 популярных уязвимостей (см. таблицу ниже), наиболее часто встречающихся при проведении ASV-сканирований

Компания «Алтэкс-Софт» выпустила очередную версию (1.4) сканера безопасности RedCheck. Данная версия имеет множество новшеств, которые коснулись как репозитория уязвимостей OVALdb, на котором построен сканер, так и непосредственно функциональных возможностей программы, сообщили CNews в «Алтэкс-Софт». Как отмечается, компания не оставила незамеченной ак

пользование изощренных методов взлома. Как рассказали в FireEye, хакеры воспользовались уязвимостью CVE-2015-3043 в Adobe Flash и ранее неизвестную уязвимость CVE-2015-1701 в Windows. Пр

истемы SAP Mobile, включая платформу SAP Mobile (ранее Sybase Unwired Platform), MDM-решение SAP Afaria, СУБД Sybase SQL Anywhere и сотни мобильных приложений SAP. Доклад строился на примере реальных уязвимостей, обнаруженных исследователями Digital Security. Как уточнили CNews в компании, часть этих проблемных мест была найдена еще в конце 2014 г., и в отношении них в SAP уже провели соотв