VK разместила программу по поиску уязвимостей (bug bounty) на платформе The Standoff 365 Bug Bounty, разработанной Positive Technologies. Цель bug bounty состоит в том, чтобы с помощью внешних экспертов выявить и устранить нед

«туннеля», специально создаваемого для передачи данных в зашифрованном виде при активации сервиса. Баг, который мог привести к деанонимизации всех пользователей сервиса, устранили в июне 2018

ПИК объявляет о запуске кампании по багхантингу. Баг — это ошибка в коде или интерфейсе, которая приводит к некорректной работе сайта. Поиск б

Ворованные баг-репорты на продажу Штатный сотрудник платформы для «белых» хакеров HackerOne занимался присвоением отправленных пользователями отчетов об уязвимостях в ПО и в агрессивной манере небезуспешн

истем уже защищены. Но это следует на всякий случай проверить вручную, если такая возможность есть. Баги не катастрофические, но долго выдумывать сценарии, при которых они могут вызвать серьезн

Платформа поможет повысить защищенность ИТ-активов, содействуя в запуске программ bug bounty. Релиз запланирован на лето. Предрегистрация уже открыта. Платформа BI.ZONE для программ bug bounty — это хаб между компаниями, которые хотят непрерывно проверять уровень защи

ли ошибки, связанные с некорректным использованием памяти, утечкой информации и другими проблемами. Баг в Android также связан с использованием уже высвобожденной области памяти. Комбинации баг

ожения на базе фреймворка Spring Затем, однако, появилась информация о куда более опасной, критической уязвимости в Spring Core, которая допускает запуск произвольного кода удаленно. Сведения об этом баге вначале распространялись через чат QQ, затем появились на китайском сайте, посвященном вопросам информбезопасности. В Сети ненадолго появился эксплойт к критической уязвимости. Его быстро

Компания BI.ZONE готовит к запуску собственную платформу для программ Bug Bounty. За счет таких программ организации привлекают независимых исследователей — багхантеров — для тестирования безопасности цифровых активов. Это позволяет увеличить защищенность, сократ

Вход воспрещен Международная платформа по поиску уязвимостей HackerOne не выплатила белорусскому хакеру $25 тыс. Эту сумму он должен был получить за найденную уязвимость по программе Bug Bounty. Политика компании HackerOne объясняется тем, что хакер находится в зоне санкций. Об этом пишет «Коммерсант» со ссылкой на аккаунт хакера в Twitter. По программе Bug Bounty («

ются в процессорах Qualcomm. Сроки выпуска заплатки не раскрываются. Intel тоже готовит устраняющее брешь обновление. Производительность под угрозой Мировая общественность впервые узнала об уяз

истем уже защищены. Но это следует на всякий случай проверить вручную, если такая возможность есть. Баги не катастрофические, но долго выдумывать сценарии, при которых они могут вызвать серьезн

Масса черных дыр, появляющихся вследствие гравитационного коллапса, составляет от 2,5 до 5,6 массы Солнца, а, например, сверхмассивная дыра в галактике М87 весит около 6,4 миллиона масс Солнца. Ученые предп

о 16 уязвимостей, что почти вдвое меньше показателей AMD, в процессорах которых эксперты выявили 31 брешь. Но это касается лишь основных вычислительных блоков процессора – ситуация со встроенно

язвимости: чем она опаснее, тем больше может получить исследователь. Вознаграждение за обнаруженные баги вырастет на 20-50%, а на некоторые категории — в три раза. Выплаты для разного уровня уг

ласно статистике «Лаборатории», устаревшие ПО и «железо» эксплуатируют около 73% медорганизаций. 32% учреждений признались, что в 2021 г. сталкивались с различными проблемами кибербезопасности из-за «дыр» в используемом ими софте. Треть из них (33%) пережили опыт утечки данных, на 32% обрушились DDoS-атаки, еще 32% испытали на себе возможности современных программ-вымогателей. Немало среди

пользуемый огромным количеством различных сетевых сервисов, включая корпоративные и облачные. Уязвимость в ней, получившая индекс CVE-2021-44228, позволяет запускать произвольный код без авторизации. Баг был выявлен экспертами по безопасности AlibabaCloud, и 24 ноября 2021 г. информация о нем была передана в Apache Foundation. Проблема затрагивает все версии Log4j с 2.0-beta9 по 2.14.1. Под

звертыванию. При размещении контейнера в облаке Azure, он изолируется от всех остальных, чтобы не допустить взаимодействия между ними и использования общего пространства в памяти. Microsoft устранила баг, позволяющий захватывать контейнеры в Azure Однако, как выяснили эксперты Palo Alto Networks, существует возможность компрометации многопользовательских кластеров Kubernetes, в которых хост

аружении и исправлении критической уязвимости в одной из важнейших служб ее облачной системы Azure. Баг позволял перехватывать полный контроль над пользовательскими базами данных. Уязвимость со

данным процессора через IOCTLs, используя модельно-зависимые регистры процессора (MSR). Программный баг ставит под угрозу игровые компьютеры HP «Эта высокоопасная уязвимость при успешной эксплу

ня, - говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. - Другое дело, что OpenSSL - чрезвычайно распространённая библиотека, вследствие чего тривиальный «баг» превращается в проблему для большей части интернета». Дистрибутивы Linux Разработчики дистрибутива Red Hat Linux сообщили, что в версиях Red Hat Enterprise Linux 7 и 8 OpenSSL лишён поддер

зопасности и защите инфраструктуры США (CISA) также утверждает, что информации об эксплуатации уязвимости нет, отмечая, впрочем, что в случаях, когда уязвимое оборудование доступно из интернета, этот баг можно эксплуатировать удаленно. «Активность BlackBerry на фронте информбезопасности как-то скверно вяжется с их нежеланием признавать наличие критической проблемы в одном из их флагманских

ядра Linux ситуации многие уязвимости могут находиться в нем годами. Пока разработчики латают одну брешь, другая теряется в строчках кода. В словах Кука есть внушительная доля правды. В ядре L

Двухголовый «баг» Корпорация Microsoft не смогла с первого раза полностью исправить критическую уязвимость

За последние 12 месяцев Microsoft выплатила $13,6 млн в качестве вознаграждения за обнаруженные уязвимости более чем 340 исследователям безопасности из 58 стран в рамках программ Bug Bounty. За год было получено более чем 1,2 тыс. отчетов. Сотрудничество с сообществом экспертов является важной частью комплексного подхода Microsoft к обеспечению безопасности своих пользо

Небезопасная Windows 11 В операционной системе Windows 11, которую корпорация Microsoft анонсировала меньше месяца назад, обнаружена проблема с системой безопасности. В системе нашлась брешь, которая позволяет повышать права пользователя вплоть до администраторских и проводить различные манипуляции с базой данных системного реестра. Как пишет портал Bleeping Computer, «дыру»

уязвимостей, выявленных в приложениях под Android, относятся к высокоопасным, при этом 1% содержат «баги», допускающие запуск произвольного кода удалённо - наиболее опасную разновидность програ

я проблема скоро отметит свое семилетие. Она присутствует в ядре Linux с 2014 г. Проэксплуатировать брешь можно даже в ядре версии 3.16, увидевшей свет в первых числах августа 2014 г. Пример ра

ямому назначению – для печати документов. В начале лета 2020 г. обнаружилось, что в Windows 10 есть баг, который может приводить к сбоям в работе принтеров, подключаемых к компьютеру через порт

и т. д. В случае с интернетом вещей злоумышленники могут воспользоваться данными уязвимостями, чтобы вызвать системные сбои и запускать произвольный код удаленно. Эксперты Microsoft нашли две дюжины багов в устройствах интернета вещей Уязвимости были выявлены в стандартных функциях выделения памяти, используемых множеством операционных систем реального времени, библиотеках языка C, а также

, дало правительственным учреждениям несколько дней на установку этих обновлений. Уязвимости были выявлены Агентством национальной безопасности США (АНБ). В Microsoft указывают, что некоторые из этих багов также обнаружили специалисты самой корпорации — независимо от АНБ. Уязвимостям были присвоены индексы CVE-2021-28480, CVE-2021-28481, CVE-2021-28482 и CVE-2021-28483. Наиболее опасными яв

хват контроля над оборудованием. Однако она не будет исправлена. Уязвимость выявлена в известных (в том числе обилием проблем) роутерах RV110W, RV130 и RV215W, а также в аппаратном файерволле RV130W. Баг относится к «классической» разновидности ошибок — переполнение буфера. Причина — некорректная валидация пользовательского ввода в веб-интерфейсе, что позволяет записывать данные за пределам

icrosoft Defender 12 лет таилась привлекательная для хакеров уязвимость В SentinelOne отмечают, что баг позволяет повышать системные привилегии до административных, что также может быть очень п

неиспользование таких инструментов как Address Sanitizer (asan), которые могли бы помочь обнаружить баг, а также обратил внимание на использование небезопасных ссылок git://, которые можно прим

Неприятный баг Microsoft подготовила исправление ошибки в операционной системе Windows 10, которая не по

жил баги при fuzz-тестировании доменов tiktok.com и m.tiktok.com. Кроме того, он обнаружил еще один баг разновидности CSRF (межсайтовая подделка запросов), который позволял изменять пароли к ак

вою очередь, может содержать вредоносный код. Проблема затрагивает версии WhatsApp под Android версии 2.20.11 и WhatsApp Business под Android до версии 2.20.2. Уязвимы были не только мобильные версии Баг CVE-2020-1889 — это уязвимость в десктоп-версии WhatsApp до индекса 0.3.4932, которая позволяет выходить за пределы защищенной среды фреймворка Electron. Скомбинировав эту уязвимость с друг

Новый баг в Windows 10 «ломает» принтеры В операционной системе Windows 10 присутствует баг, который может приводить к сбоям в работе принтеров, подключаемых к компьютеру через порт USB. Об эт

Mac. Наиболее проблематичной является уязвимость CVE-2020-0968 в Internet Explorer: это критический баг, который может приводить к нарушению целостности памяти в Internet Explorer, что позволяе

ежде они сообщили о ней компаниям Broadcom и Cypress, а также производителям техники с уязвимыми Wi-Fi модулями, и многие из них к моменту публикации материала успели выпустить патчи, закрывающие эту брешь. Общий принцип эксплуатации Kr00k Заплатки были выпущены для некоторых Android-гаджетов, ПК на Windows и устройств интернета вещей, и эксперты ESET рекомендуют установить самую последнюю