версиях операционной системы. Согласно собственным комментариям Microsoft, уязвимость под индексом CVE-2017-8620 допускает удаленный запуск произвольного кода. Злоумышленник, который успешно п

ий, которые проводились экспертами Positive Technologies, доля финансовых приложений, в которых встречаются критически опасные уязвимости, в 2016 году снизилась, однако общий уровень риска выявленных уязвимостей стал значительно выше. Наиболее распространены оказались недостатки механизмов идентификации, аутентификации и авторизации.Как отмечается в исследовании, популярность электронных фи

ения и запустить на компьютере жертвы исполнение вредоносного кода. Уязвимость, получившая название CVE-2017-9948, присутствует в версиях Skype 7.2, 7.35 и 7.36. Она была обнаружена исследовате

-тестирования бесплатного онлайн-сервиса, который предоставляет быстрый и легкий способ обнаружения уязвимостей в веб-приложениях. Пользователи могут мгновенно начать проверку от своего имени б

гресса своей страны проект закона, который должен будет регламентировать использование спецслужбами уязвимостей в коммерческом программном и аппаратном обеспечении. Законопроект, получивший наз

шееся недавно распространение вируса-шифровальщика WannaCrypt обусловлено эксплуатацией уязвимостей CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2

Oracle побила собственный рекорд Компания Oracle разом исправила 299 уязвимостей в своих продуктах. Небольшая, но существенная часть исправлений была выпущена после того, как в публичное поле попали сведения об активной эксплуатации уязвимостей. 299 запла

одление было логичным шагом, — сказал Никита Швецов, директор по исследованиям и разработке «Лаборатории Касперского». — Мы высоко ценим энтузиазм, который проявляют эксперты по всему миру при поиске уязвимостей в наших продуктах, и в знак признания важности их работы мы увеличили вознаграждение за найденные ошибки. Более того, мы расширили список решений, включив в него еще один важный про

ли не хочет этого делать, ему следует воспользоваться списками управления доступом к инфраструктуре (iACL), чтобы снизить вероятность атаки.По данным WikiLeaks, ЦРУ целенаправленно занималось поиском уязвимостей в продуктах CiscoВ Cisco IOS можно не проверять, присутствует ли там подсистема CMP, но такая проверка имеет смысл в Cisco IOS XE. Обе системы также необходимо проверить на предмет

Среди других критических уязвимостей - возможность повышения привилегий для вредоносных приложений (CVE-2017-0475) в компоненте recovery verifier. Кроме того, выявлены критические ошибки в комп

в программных продуктах Microsoft Windows. Как рассказали CNews в компании, традиционно большинство уязвимостей Windows приходится на веб-браузеры – 220 брешей было закрыто производителем в 201

ботчики ИУС не учитывают встроенные возможности программного обеспечения SAP, основные принципы и лучшие практики безопасного программирования. Это влечет за собой угрозу появления в программном коде уязвимостей, которые могут использоваться злоумышленниками для осуществления несанкционированных действий. Основываясь на результатах приемки ИУС и анализе количества созданных и модифицированн

омечены как критические, остальные семь — как важные. В общей сложности выпуск призван устранить 47 уязвимостей. Помеченные критическими два бюллетеня — MS16-104 и MS16-105 — предназначены для 

ила свой портфель, куда входит продукция TmaxSoft, WareValley и Altibase, новым продуктом по поиску уязвимостей СУБД — решением компании WareValley Cyclone. Об этом CNews сообщили в JM Consulti

Хакеры предложили данные об уязвимостях биржевому игроку Группа хакеров нашла способ взломать кардиостимуляторы и дефибрилляторы, которые выпускает крупный американский производитель медицинского оборудования St. Jude Med

ния поиска, внесения в списки и проверки как отдельных, так и всех веб-приложений компаний. Служба проверки приложений необходима для осуществления анализа индивидуальных веб-приложений и определения уязвимостей, представляющих опасность для баз данных или способных помочь обойти средства управления доступом к приложениям. По словам сотрудников Cloud4Y, проверка веб-приложений является пром

платформы CORREQTS компании BSS в области информационной безопасности с целью выявления критических уязвимостей. Тестирование проводилось методом «Серого ящика» ― экспертам предоставлялся досту

Процессинговая компания «Мультикарта» завершила проект по сканированию своих систем на наличие уязвимостей в соответствии с требованиями стандарта PCI DSS. Об этом CNews сообщили в «Мультикарте». Партнером по данному проекту выступила компания «ДиалогНаука», обладающая статусом Approved

четыре уязвимости PCM600 связаны с недостатками хранения и обработки чувствительной информации: для CVE-2016-4511 характерно использование слабых алгоритмов хеширования для хранения паролей к п

ector 2.4 добавлена подсветка синтаксиса, улучшен вывод диагностической информации, а проверка всех уязвимостей исходного кода на развернутом приложении теперь осуществляется одним нажатием, со

 распространили его. Прошло три месяца с того момента, когда мы сообщили им об уязвимости», — сказал он.ДополнениеВ российском представительстве Acer сообщили CNews, что патч для устранения указанных уязвимостей уже выпущен и доступен для загрузки на ноутбуках компании. 

продукты Microsoft Windows. Как сообщили CNews в Eset, эксперты отмечают четырехкратный рост числа уязвимостей в различных компонентах пользовательского режима ОС Windows в 2015 г. Эти уязвимо

х приложений, сочетающему в себе статические технологии анализа кода и научные подходы к реверс-инжинирингу. Являясь инструментом статистического анализа кода, Solar inCode предназначен для выявления уязвимостей и недекларированных возможностей (НДВ) в программном обеспечении. Основной отличительной чертой продукта является то, что он способен проводить анализ приложений, даже при отсутстви

Application Inspector от компании Positive Technologies в свою инфраструктуру для тестирования и сертификации средств защиты информации. Продукт поможет лаборатории автоматизировать процесс выявления уязвимостей при контроле недекларированных возможностей (НДВ) — в соответствии с новыми требованиями и рекомендациями ФСТЭК, сообщили CNews в Positive Technologies. Согласно последним норматива

вимостиОбе уязвимости содержатся в системном файле Samsung s3cfb_extdsp_ops.c — им присвоены номера CVE-2015-1800 и CVE-2015-1801 — и позволяют злоумышленнику манипулировать оперативной

ваний за 2014 г. и первый квартал 2015 г. На основании исследования был составлен топ-10 популярных уязвимостей (см. таблицу ниже), наиболее часто встречающихся при проведении ASV-сканирований

Компания «Алтэкс-Софт» выпустила очередную версию (1.4) сканера безопасности RedCheck. Данная версия имеет множество новшеств, которые коснулись как репозитория уязвимостей OVALdb, на котором построен сканер, так и непосредственно функциональных возможностей программы, сообщили CNews в «Алтэкс-Софт». Как отмечается, компания не оставила незамеченной ак

пользование изощренных методов взлома. Как рассказали в FireEye, хакеры воспользовались уязвимостью CVE-2015-3043 в Adobe Flash и ранее неизвестную уязвимость CVE-2015-1701 в Windows. Пр

истемы SAP Mobile, включая платформу SAP Mobile (ранее Sybase Unwired Platform), MDM-решение SAP Afaria, СУБД Sybase SQL Anywhere и сотни мобильных приложений SAP. Доклад строился на примере реальных уязвимостей, обнаруженных исследователями Digital Security. Как уточнили CNews в компании, часть этих проблемных мест была найдена еще в конце 2014 г., и в отношении них в SAP уже провели соотв

Эксперты Positive Technologies обнаружили и помогли устранить ряд уязвимостей в Siemens Simatic Step 7 (TIA Portal). Данное ПО представляет собой среду разрабо

рых — для семейства операционных систем Windows. В общей сложности обновление призвано устранить 45 уязвимостей, в том числе «дыру» под кодовым именем FREAK, и является одним из самых крупных з

аналитику по результатам более 40 выполненных проектов 2014 г. Исследование коснулось комплексных и технических аудитов ИБ, по итогам которых специалистами был определен тое-10 самых распространенных уязвимостей и недостатков, выявленных в компаниях из разных областей бизнеса: финансы и телеком, транспортные организации и нефтегазовая промышленность. Как сообщили CNews в «Информзащите», бол

bc) и представляет собой угрозу, в некоторых аспектах сравнимую с угрозой, которую несли уязвимости Heartbleed и Shellshock, обнаруженные в 2014 г., пишет издание. Glibc — одна из самых популяр

акже получить хэши паролей пользователей Windows. Symantec выпустила патчи для устранения найденных уязвимостей, только после этого о них стало известно публично. SDCS: SA служит для предотвращ

Польская компания Security Explorations обнаружила свыше 30 уязвимостей в облачной платформе Google App Engine (GAE), позволяющей клиентам арендовать сер

ем, опубликовала результаты исследования, посвященного безопасности АСУ ТП. В ходе анализа 114 компонентов для 752 различных устройств, поддерживающих низкоуровневый протокол HART, было обнаружено 29 уязвимостей в компонентах порядка 500 устройств, сообщили CNews в Digital Security. Среди выявленных уязвимостей: отказ в доступе, выполнение произвольного кода, отказ в обслуживании, со

Группа «Астерос» завершила проект по созданию системы контроля защищенности ИТ-инфраструктуры в компании «МегаЛабс». Внедренное решение обеспечивает оперативное выявление уязвимостей ИТ-инфраструктуры, повышает стабильность бизнес-процессов и снижает нагрузку на подразделение информационной безопасности. Об этом CNews сообщили в «Астерос». «МегаЛабс» является 10

о уровня опасности и 88% – уязвимости с низким риском реализации. Одна из наиболее распространенных уязвимостей называется Cross Site Scripting (XSS, «межсайтовый скриптинг») и относится к разр

Корпорация Oracle во вторник, 14 октября, выпустит патчи для устранения 155 критических уязвимостей в 44 своих продуктах, причем большинство из них будут касаться платформы Java. До

Новая уязвимость в командной оболочке Bash существует много лет и может привести к более серьезным последствиям по сравнению с уязвимостью Heartbleed, считает эксперт Роберт Грэм (Robert Graham) из консалтинговой компании Errata Security. Командный интерпретатор Bash используется многими серверными компонентами и программами в опе