The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

28.04.2017 Уязвимость в LibreSSL, затрагивающая механизм проверки TLS-сертификатов в nginx (18 +4)
  В развиваемой проектом OpenBSD библиотеке LibreSSL выявлена уязвимость (CVE-2017-8301), приводящая к пропуску проверки сертификатов TLS в приложениях, использующих API отложенной проверки на основе регистрации callback-обработчика и функции SSL_get_verify_result. Из подверженных уязвимости приложений отмечаются http-сервер nginx и IRC-сервер InspIRCd. Уязвимость выявлена разработчиками дистрибутива Alpine Linux...
27.04.2017 Система защищённых коммуникаций Nomx оказалась примером халатного отношения к безопасности (70 +24)
  Исследователь Скот Хельме при поддержке издания BBC (Scott Helme) провёл тестирование устройства...
26.04.2017 Возможность атаки на телевизоры Samsung через Wi-Fi Direct (49 +11)
  В телевизорах Samsung Smart TV на базе ОС Tizen выявлена уязвимость, позволяющая атакующему без проведения аутентификации выдать себя за другое устройство, сопряжённое с телевизором по Wi-Fi Direct. Проблема остаётся неисправленной, так как компания Samsung после месяца переписки не признала её уязвимостью. В качестве обходного метода защиты рекомендуется удалить все устройства, помещённые в белый список, и не использовать соединения по Wi-Fi Direct...
25.04.2017 Предварительное сообщение об удалённой уязвимости в сетевом стеке ядра Linux (29 +9)
  Джейсон Доненфилд (Jason A. Donenfeld), выявил уязвимость в сетевом стеке ядра Linux, позволяющую удалённо инициировать переполнение буфера. Уязвимость вызвана ошибкой в коде drivers/net/macsec.c с реализацией стандарта IEEE 802.1AE (MACsec). Подробности пока не сообщаются, а CVE ID не назначен, но, судя по всему, эксплуатация возможна только в локальных сетях, в которых применяется достаточно редкая технология MACsec...
24.04.2017 Уязвимость в Squirrelmail, позволяющая удалённо выполнить код на сервере (4 +1)
  В почтовом web-клиенте Squirrelmail выявлена критическая уязвимость (CVE-2017-7692), позволяющая выполнить код на сервере через отправку через web-интерфейс специально оформленного письма. Проблема проявляется в последнем выпуске Squirrelmail 1.4.22. Так как проект Squirrelmail уже много лет не обновлялся и разработчики не ответили на уведомление о проблеме, исследователи безопасности самостоятельно подготовили патч. Уязвимость пока остаётся неисправленной в пакете squirrelmail, поставляемом в репозиториях Debian и Ubuntu...
20.04.2017 Критическая уязвимость в криптографической библиотеке MbedTLS (PolarSSL) (7 +3)
  В развиваемой компанией ARM криптографической библиотеке MbedTLS (бывший PolarSSL) выявлена критическая уязвимость (CVE-2017-2784), которая может привести к удалённому выполнению кода при обработке специально оформленного сертификата x509. Уязвимость устранена в выпуске MbedTLS 2.4.2...
19.04.2017 Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей (14 +5)
  Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В апрельском обновлении в сумме устранено 299 уязвимостей. Выпуск примечателен необычно низким числом уязвимостей в Java, всплеском уязвимостей в MySQL и исправлением проблемы наивысшего уровня опасности в Solaris...
19.04.2017 Уязвимость в LightDM, позволяющая повысить свои привилегии в системе (21 +12)
  В менеджере входа LightDM, применяемом по умолчанию в Ubuntu, выявлена уязвимость (CVE-2017-7358), позволяющая локальному пользователю поднять свои привилегии в системе. Проблема проявляется только в выпусках Ubuntu 16.10 и 16.04 LTS, и на днях устранена в обновлении USN-3255-1...
17.04.2017 Новый метод фишинга с использованием unicode-символов в домене (62 +20)
  Китайский исследователь Чжэн Сюдун (Xudong Zheng) опубликовал новый метод для проведения фишинг-атак, позволяющих организовать работу подставных сайтов, притворяющихся известными доменами. Метод работает в актуальных версиях Chrome, Firefox и Opera. Проблеме не подвержены Edge, IE, Safari, Vivaldi и Brave...
14.04.2017 Опубликована третья порция эксплоитов АНБ (101 +21)
  Хакерская группа Shadow Brokers опубликовала третий архив с эксплоитами, полученными в результате утечки информации из Агентства Национальной Безопасности США (АНБ). Если первая порция содержала эксплоиты для сетевого оборудования и маршрутизаторов, а вторая для UNIX-подобных систем, то в третьей порции предложены эксплоиты и инструменты для организации атак на Windows и банковские системы...
14.04.2017 Обновление DNS-сервера BIND 9.9.9-P8, 9.10.4-P8 и 9.11.0-P5 с устранением уязвимостей (20 +3)
  Консорциум ISC представил новые выпуски DNS-сервера BIND 9.9.9-P8, 9.10.4-P8 и 9.11.0-P5, в которых устранено несколько уязвимостей, позволяющих вызвать отказ в обслуживании, инициировав крах процесса-обработчика через отправку специально оформленного запроса...
11.04.2017 Публикация архива эксплоитов АНБ вскрыла большой пласт старых уязвимостей (63 +29)
  Хакерская группа Shadow Brokers открыла доступ к архиву с эксплоитами и инструментами для проведения атак, полученному в результате утечки информации из Агентства Национальной Безопасности США (АНБ). Активисты уже разобрали представленный архив и опубликовали структурированный вариант на GitHub. Несмотря на то, что в основном в архиве представлены достаточно старые эксплоиты, которым 10 и более лет, сам факт существования некоторых эксплоитов вызывает удивление...
08.04.2017 Представлена атака, использующая уязвимость в 4G-чипе смартфонов Huawei (64 +12)
  Следом за уязвимостью в WiFi-чипах Broadcom, используемых во многих популярных моделях смартфонов, исследователи безопасности из компании Comsecuris продемонстрировали на конференции Infiltrate Conference возможность совершения атаки на мобильные устройства пользователей через эксплуатацию уязвимости в baseband-процессорах, обеспечивающих работу GSM-стека...
07.04.2017 Оценка возможности интеграции кейлоггера в KVM-переключатель Belkin OmniView (33 +7)
  Исследователи безопасности из компании Cisco оценили возможность внедрения кейлоггера в KVM-коммутаторы, обеспечивающие подключение нескольких компьютеров к одной клавиатуре, мыши и монитору. На примере двухпортового устройства Belkin E Series OmniView проведён эксперимент, в результате которого удалось подготовить работающий прототип системы, перехватывающей и сохраняющей информацию о нажатых клавишах. Эксперимент призван показать, что для блокирования утечки данных в организациях недостаточно защиты сетевой инфраструктуры и устранения уязвимостей в программном обеспечении, из виду также не следует упускать периферийные устройства, безобидные на первый взгляд...
05.04.2017 Уязвимость в Xen, позволяющая выйти за пределы гостевой системы (24 +12)
  В гипервизоре Xen выявлена уязвимость (CVE-2017-7228), позволяющая получить доступ ко всей системной памяти из гостевой системы, работающей в режиме паравиртуализации (PV). Проблема актуальна только для 64-разрядных гостевых систем и не проявляется для 32-разрядных систем x86, гостевых систем в режиме полной виртуализации (HVM) и архитектуры ARM...
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor TopList