4 г. команда PT SWARM (эксперты, исследующие безопасность систем и устройств) помогла устранить 100 уязвимостей нулевого дня в продуктах крупнейших мировых и отечественных производителей. При э

овня их критичности. Максимальный размер выплат достигает 200 тыс. рублей. Принять участие в поиске уязвимостей и ознакомиться с условиями можно на сайте программы. Анатолий Шипов, управляющий

10). Уязвимость в Windows, приводящая к раскрытию хешей в протоколах сетевой аутентификации NTLMv2 CVE-2024-43451 (CVSS — 6,5) Уязвимость связана с устаревшим движком платформы для обработки H

сокого уровня защищенности и надежности своих сервисов. Исследователям безопасности будет доступен для изучения большой набор веб-ресурсов «СберЛогистики», а вознаграждение за выявление самых опасных уязвимостей может достичь 250 тыс. руб. Об этом CNews сообщили представители Positive Technologies. По данным исследования Positive Technologies, практически в каждой пятой атаке на отрасль тра

в области безопасности, разработанные для сканирования сетей, систем и приложений с целью выявления уязвимостей. Они широко используются в корпоративной среде для регулярного мониторинга состоя

Багбаунти (от англ. bug bounty) — это процесс поиска уязвимостей в ИТ-инфраструктуре, ПО и веб-приложениях компаний за вознаграждение, который перестает быть привилегией гигантов рынка и все чаще применяется компаниями всех размеров. На первый вз

аспространенные среди логистических компаний в III квартале 2024 г. По данным специалистов, в топ-3 уязвимостей вошли уязвимости IDOR, ошибки в алгоритмах использования SMS как второго фактора

, а также конструктор сайтов. Размер вознаграждения рассчитывается в зависимости от вида найденной уязвимости. Максимальная выплата в 500 тыс. руб. может быть получена за выявление критически опасных уязвимостей. Standoff Bug Bounty была запущена в мае 2022 г. С тех пор на платформе зарегистрировалось 16 тыс. исследователей безопасности и было размещено свыше 80 багбаунти-программ компаний

Платформа для организации программ по поиску уязвимостей за вознаграждение Standoff Bug Bounty, запущенная компанией Positive Technologies в мае 2022 г., включена в Единый реестр российского программного обеспечения Минцифры. Это позволит

эксперта по безопасности Kaspersky ICS CERT, уровень зрелости микроконтроллеров и прошивок растет медленно, а выявление угроз в этой области требует значительных усилий. «И, как показывает практика, уязвимостей там много, - продолжает он. - Более того, их эксплуатация несет куда более разрушительные последствия, нежели среднестатистическая уязвимость в ПО на пользовательском уровне». «Факт

риложениях осенью этого года. По этим данным, за месяц в мире обнаруживается порядка 1000 новых веб-уязвимостей. При этом 25% из них относятся к высокому и критическому уровням опасности по шка

операционной системы. Уязвимость в движке платформы MSHTML для обработки и отображения HTML-страниц CVE-2024-43573 (CVSS — 6,5) Уязвимость платформы MSHTML в Windows может привести к несанкцион

К финансовым организациям предъявляются требования по анализу уязвимостей и тестированию на проникновение, согласно Положениями Банка России № 683-П (п. 3.2), № 757-П (п. 1.4.5), а также ГОСТ Р 57580.1-2017. Аналогичные требования обязаны выполнять операт

хакерами» или «охотники за ошибками», обычно это специалисты по кибербезопасности. В обмен на поиск уязвимостей они получают денежные вознаграждения, признание или другие виды вознаграждений в

серьёзными техническими навыками и ресурсами. Чипы Unisoc широко распространены, и от обнаруженных уязвимостей могут пострадать как индивидуальные пользователи уязвимых конечных устройств, так

ти имеют высокую степень риска, ведь имеют от семи до восьми баллов по международной системе оценки CVE. Эти уязвимости могут позволить хакерам выполнять код, повышать привилегии, собирать инфо

томатическом режиме без участия AppSec-инженера. Это модуль автоматического анализа и приоритизации уязвимостей с активным обучением на основе нейросети – собственная разработка компании, котор

Компания «Афиша» запускает отдельную публичную программу багбаунти по поиску уязвимостей. Исследователям предлагается протестировать сайты как традиционных медиа – «Афиши

анных общеизвестных уязвимостей информбезопасности корпорации Common Vulnerabilities and Exposures (CVE) MITRE). 5 тыс. уязвимых сервисов - это те, что подтверждены частичным вскрытием.

можно через функцию copy/paste. Об этом CNews сообщили представители ITD Group. SASTAV автоматически проверяет нескомпилированный код на всех поддерживаемых языках. Для ускорения процесса устранения уязвимостей команда ShiftLeft Security разработала методику КАИВ (каскадная ИИ-валидация дефектов кода), которая предусматривает наличие ИИ-ассистента для автоматизации работы с результатами ан

ого правительства. Мы надеемся, что привлечение независимых исследователей к изучению потенциальных уязвимостей в цифровых системах региона позволит повысить устойчивость к актуальным киберугро

сех пользователей устаревших версий Windows. Уязвимость повышения привилегий в установщике Windows, CVE-2024-38014 (CVSS — 7,8) Эксплуатация этой уязвимости может позволить злоумышленнику, кото

включают 25 патчей для браузера Edge, опубликованные в сентябре 2024 г. Пяти уязвимостям из списка CVE-индексы были присвоены заранее, то есть, информация о них была опубликована до выхода обн

Новые уязвимости Эксперты из компании Forescout обнаружили сразу 14 уязвимостей в маршрутизаторах производства DrayTek. Об этом в начале октября 2024 г. пишет из

Более 1,2 тыс. 0-day или уязвимостей нулевого дня обнаружили специалисты в различных ПО в первой половине 2024 г. Это на 25% больше, чем за аналогичный период годом ранее. Эксперты «Информзащиты» считают, что количеств

«Согаз» запускает программу по поиску потенциальных уязвимостей на платформе BI.Zone Bug Bounty. Независимые исследователи безопасности смогут пр

Netopia Firewall Compliance от компании «Нетопия» поможет пользователям «Ред ОС» усилить сетевую безопасность благодаря продвинутым средствам мониторинга трафика и приоритизации уязвимостей. Совместное внедрение данных решений позволит организациям создавать защищенные ИТ-инфраструктуры на базе отечественных разработок. Об этом CNews сообщили представители компании «Не

и Волгоградской области.Сумма вознаграждения багхантерам будет зависеть от критичности обнаруженных уязвимостей. Об этом CNews сообщили представители Bi.Zone. Сергей Барыкин, заместитель директ

мостями» (Vulnerability Management, VM) на платформе Security Vision 5. Security Vision Vulnerability Management (VM) является комплексным продуктом по управлению уязвимостями, включающим обнаружение уязвимостей на активах, предоставление максимально подробной информации по выявленным уязвимостям и рекомендаций по их устранению (в т.ч. функционал по автоматизации обновлений), процесс контро

acOS определенных моделей. Об этом CNews сообщили представители Bi.Zone. Об эксплуатации уязвимости CVE-2024-7965 компания Google сообщила 26 августа, спустя несколько дней после выпуска версии

да в службе лицензирования удаленных рабочих столов Windows Remote Desktop Licensing Service (RDLS) CVE-2024-38077 (критически опасная уязвимость, оценка по CVSS — 9,8). Исследователи Microsoft

-1002. Он воздержался от публикации эксплойтов proof-of-concept (PoC). Несмотря на серьезность этих уязвимостей, D-Link рекомендует пользователям отказаться от использования устройства из-за от

овень безопасности своей ИТ-инфраструктуры. Внедрение MaxPatrol VM оптимизировало процесс обработки уязвимостей в компании, что, в свою очередь, обеспечило оперативное выявление и контроль устр

«Сбер» запускает на BI.Zone Bug Bounty три программы по поиску уязвимостей. Независимые исследователи смогут получить до 500 тыс. руб. за обнаруженные баги.

интеграция с Банком данных угроз (БДУ) ФСТЭК России. Кроме того, разработчик внедрил функцию поиска уязвимостей в стороннем ПО и мониторинг уязвимостей, которые активно эксплуатируются з

снове искусственного интеллекта. Как пишет портал TechSpot, он предназначен для поиска и устранения уязвимостей в программном коде. Проблема «дыр» в современном ПО с каждым днем становится все

а злоумышленникам обходить аутентификацию и полностью скомпрометировать систему. «Баг» под индексом CVE-2024-41730 получил оценку 9,8 балла по шкале CVSS. Данная уязвимость непосредственно затр

сть платформы для работы с исходным кодом приложений GitFlic и сканера кода PT Application Inspector от Positive Technologies. PT Application Inspector — это статический анализатор кода для выявления уязвимостей и тестирования безопасности приложений. Решение точно обнаруживает слабые места в исходном коде и помогает устранить их еще на первых этапах разработки. PT Application Inspector пре

Заявление Cisco Cisco опубликовала а своем сайте бюллетень с сообщением о «множестве» уязвимостей, обнаруженных в ее IP-телефонах и предупредила, что ни одна из них не будет устра

217 площадках в дарквебе. Наиболее упоминаемыми среди киберпреступников стали уязвимости в WinRAR (CVE-2023-38831), продуктах Fortinet (CVE-2022-40684) и Java-фреймворке Spring Framewor