The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

06.09.2017 Критическая уязвимость в Apache Struts (22 +4)
  Опубликовано обновление web-фреймворка Apache Struts 2.5.13, применяемого для создания web-приложений на языке Java с использованием парадигмы Model-View-Controller. В состав выпуска включено исправление критической уязвимости (CVE-2017-9805), позволяющей выполнить код на стороне сервера. Атака может быть проведена через отправку специально оформленного HTTP-запроса. Уязвимость проявляется при использовании плагина REST с обработчиком XStream для десериализации XML-блоков (применяется по умолчанию)...
01.09.2017 Уязвимость в Asterisk, позволяющая перенаправить RTP-поток (1 +4)
  В Asterisk 13.17.1 и 14.6.1 устранены три уязвимости, одна из которых признана критической (CVE-2017-14099) и позволяет захватить поток информации. Уязвимость присутствует в стеке RTP (Realtime Transport Protocol) и затрагивает системы, в которых в rtp.conf установлена опция "strictrtp" (включена по умолчанию) и активны настройки обхода NAT ("nat" и "rtp_symmetric" для chan_sip и...
31.08.2017 Метод идентификации через определение дополнений, установленных в Chrome и Firefox (103 +15)
  Группа исследователей из университета Деусто (Испания) и исследовательского центра Eurecom (Франция) выявили две техники определения списка установленных браузерных дополнений, который можно использовать в качестве дополнительного источника данных для неявной идентификации пользователя. Методы применимы к Firefox, Safari и браузерам на кодовой базе Chromium. По заявлению исследователей точность определения как для старых дополнений Firefox, так и для дополнений к Chrome на базе WebExtensions составляет 100%...
31.08.2017 Уязвимости в GDK-Pixbuf, затрагивающие Chromium, Firefox, VLC и GNOME thumbnailer (60 +19)
  В библиотеке GDK-PixBuf, применяемой в GTK+ и Clutter для загрузки и обработки различных типов изображений, выявлены две уязвимости, позволяющие организовать выполнение кода злоумышленника с правами текущего пользователя при обработке специально оформленных файлов в форматах TIFF (CVE-2017-2870) и JPEG (CVE-2017-2862)...
30.08.2017 Опасная уязвимость в сетевом конфигураторе ConnMan (6 +3)
  В сетевом конфигураторе ConnMan, получившем распространение во встраиваемых Linux-системах и устройствах интернета вещей, выявлена уязвимость (CVE-2017-12865), которая потенциально может привести к выполнению кода атакующего с правами процесса ConnMan при использовании функции DNS-прокси, применяемой для перенаправления локальных DNS-обращений к внешнему DNS-серверу. Выявившими проблему исследователями подготовлен прототип эксплоита, приводящий к выполнению кода в некоторых дистрибутивах Linux (данный прототип эксплоита пока публично не распространяется)...
29.08.2017 Несколько уязвимостей в RubyGems (10 +4)
  В Rubygems, системе управления пакетами для приложений на языке Ruby, устранено несколько уязвимостей. Проблемы устранены в RubyGems 2.6.13 и пока не исправлены в релизах Ruby 2.2.7, 2.3.4 и 2.4.1. Всем пользователям рекомендуется обновить RubyGems (gem update --system) или установить патчи. Среди исправленных уязвимостей:...
27.08.2017 Техника атаки на системы, использующие алгоритмы машинного обучения (161 +42)
  Группа исследователей из Нью-Йоркского университета опубликовала результаты оценки возможности проведения атак на системы, основанные на методах глубинного машинного обучения. Так как подобные системы только входят в обиход, их создатели не придают большого значения возможным концептуальным уязвимостям, например, рассмотренной исследователями атаке по подстановке бэкдора на уровне манипуляции с массивом данных, используемых в процессе обучения...
18.08.2017 Получение контроля над смартфоном после ремонта через комплектующие (74 +13)
  Исследователи из Университета имени Давида Бен-Гуриона в Негеве (Израиль) на проходящей на днях конференции USENIX Security 2017 опубликовали результаты эксперимента по оценке возможности внедрения в смартфоны шпионских и вредоносных закладок через установку во время ремонта специально модифицированных деталей...
18.08.2017 Отслеживание перемещения в соседней комнате при помощи динамика и микрофона обычного ПК (95 +21)
  Группа исследователей из Вашингтонского университета разработала метод создания сонара для отслеживания перемещения людей и определения положения предметов при помощи штатных микрофонов и громкоговорителей ноутбуков, ПК, смартфонов и различных потребительских устройств, таких как умные телевизоры, мультимедийные центры или персональные помощники (например, Amazon Alexa). Получив контроль за одним из подобных устройств атакующий может не только записывать разговоры, но и незаметно отслеживать активность людей в помещении при прослушивании ими специально изменённых музыкальных композиций...
17.08.2017 Уязвимость в протоколе CAN, затрагивающая почти все современные автомобили (81 +22)
  В протоколе CAN (Controller Area Network), применяемом во всех современных автомобилях для организации взаимодействия между электронными компонентами, выявлена концептуальная уязвимость, позволяющая деактивировать подключенные к CAN узлы, в том числе отвечающие за безопасность. Например, можно отключить подушки безопасности, ABS, освещение или парковочные датчики...
16.08.2017 В результате фишинга получен контроль ещё над 6 дополнениями к Chrome (34 +18)
  В ходе фиксируемой в Сети фишинг-атаки злоумышленникам удалось получить контроль ещё над шестью дополнениями к Chrome - Chrometana (644 тысячи пользователей), Infinity New Tab (439 тысяч пользователей), Web Paint (52 тысячи пользователей), Social Fixer (180 тысяч пользователей), TouchVPN (1 млн пользователей) и Betternet VPN (1.3 млн пользователей). Таким образом, за время проведения фишинг-атаки злоумышленникам удалось получить контроль над дополнениями с суммарной аудиторией более 4.8 млн пользователей...
15.08.2017 Новые уязвимости в Xen, позволяющие выйти за пределы гостевой системы (32 +10)
  В гипервизоре Xen выявлено 5 уязвимостей, из которых четыре (CVE-2017-12135, CVE-2017-12137, CVE-2017-12136, CVE-2017-12134) потенциально позволяют выйти за пределы текущего гостевого окружения и повысить свои привилегии, а одна уязвимость(CVE-2017-12855) может привести к утечке содержимого памяти из адресного пространства других окружений или хост-системы...
12.08.2017 Представлена техника атаки, позволяющая шпионить за соседними USB-устройствами (62 +19)
  Группа исследователей из Аделаидского университета (Австралия) разработала метод атаки по сторонним каналам, анализирующей наводки в электрических цепях USB для получения информации об активности соседних USB-устройств. В частности, показана возможность создания вредоносных USB-устройств, которые могут шпионить за USB-устройствами, подключенными в соседние USB-порты. Детали атаки будут опубликованы на следующей неделе, после доклада на конференции USENIX Security Symposium...
11.08.2017 Уязвимости в реализации сокетов AF_PACKET и UDP-стеке ядра Linux (17 +14)
  В сетевой подсистеме ядра Linux выявлены две опасные уязвимости, которые позволяют локальному пользователю повысить свои привилегии в системе:...
11.08.2017 Уязвимость в Git, Subversion и Mercurial, допускающая подстановку команд через URL ssh:// (57 +13)
  Во всех популярных системах управления версиями, которые поддерживают обращение к репозиторию через SSH, выявлена уязвимость, позволяющая выполнить любую команду в системе при попытке обработки специально оформленной ссылки "ssh://" на репозиторий. Проблема уже устранена в Git 2.7.6-2.14.1 (CVE-2017-1000117), Subversion 1.9.7 (CVE-2017-9800) и Mercurial 4.3 (CVE-2017-1000116), а также в GitHub и GitLab. Не исключено, что уязвимость проявляется и в других приложениях, использующих URL "ssh://". Интересно, что похожая уязвимость (CVE-2004-0489) была устранена в браузере Safari ещё в 2004 году...
<< Предыдущая страница (позже)
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor