The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

17.11.2017 GitHub добавил средства информирования об уязвимостях в репозиториях (6 +8)
  GitHub реализовал отображение меток, информирующих об использовании проектами зависимостей с неисправленными уязвимостями. Вместе с меткой также выводятся сведения о путях устранения проблемы и версиях, в которых уязвимость уже устранена. В настоящее время выставление меток добавлено только для проектов на языках Javascript и Ruby, которые составляют 75% от кода с зависимостями, размещённого на GitHub. В 2018 году ожидается вывод аналогичных меток для проектов на языке Python. Вывод уведомлений об уязвимостях и построение графа зависимостей по умолчанию включено для всех публично доступных проектов...
17.11.2017 Производитель дронов DJI по ошибке опубликовал закрытые ключи и пароли (41 +17)
  Компания DJI, один из крупнейших производителей дронов, по недосмотру разместила на GitHub архив, в котором были оставлены закрытые ключи для HTTPS-сертификатов *.dji.com, AES-ключи для шифрования прошивок, а также пароли доступа к облачным окружениям в AWS и службе хранения Amazon S3. По данным заметивших ключи исследователей, архив находился в открытом доступе от двух до четырёх лет...
16.11.2017 Уязвимость в реализации jail из FreeBSD (5 +3)
  Во FreeBSD выявлена уязвимость (CVE-2017-1087), позволяющая обойти ограничения системы изолированных окружений jail и получить доступ к разделяемой памяти процессов вне текущего jail. Проблема вызвана отсутствием разделения контекста при работе с POSIX shared memory по именованным каналам, что позволяет читать и изменять объекты в shared-памяти, созданные на стороне хоста или в других изолированных окружениях. Проблема проявляется только в ветке FreeBSD 10.x и может применяться для атаки на приложения, завязанные на разделяемой памяти, такие как Squid...
15.11.2017 Уязвимость в Apache CouchDB, позволяющая совершить атаку на реестр пакетов NPM (9 +5)
  Опубликованы сведения о двух уязвимостях, устранённых в недавно опубликованных выпусках документ-ориентированной СУБД Apache CouchDB 2.1.1 и 1.7.1. В своей комбинации уязвимости позволяют провести атаку по удалённому выполнению произвольных shell-команд на сервере с правами процесса CouchDB, имея доступ к БД...
10.11.2017 Результаты исследования методов захвата учётных записей (54 +15)
  Компания Google совместно с Калифорнийским университетом в Беркли подвела итоги (PDF-отчёт) исследования методов, используемых злоумышленниками для получения контроля за учётными записями пользователей. Судя по статистике более 15% всех пользователей глобальной сети сталкивались с захватом их учётных записей в социальных сетях или сервисах электронной почты. Представленные в отчёте данные получены на основе анализа баз паролей и инструментариев для осуществления фишинга и перехвата паролей, продаваемых на некоторых чёрных рынках с марта 2016 по март 2017 года...
09.11.2017 В Chrome появится защита от открытия рекламных страниц без ведома пользователя (45 +17)
  Компания Google объявила о намерении реализовать ряд средств для противодействия рекламным блокам, обманным путём перебрасывающим пользователей на другие страницы. В Chrome 64 будет запрещено автоматическое перенаправление на ссылки из внешних iframe-блоков, что позволит блокировать работу жульнических рекламных вставок, открывающих другие страницы без ведома пользователя. Начиная с Chrome 65 дополнительно будет блокироваться проброс на новый URL на текущей странице при открытии ссылки в новой вкладке. При подобных пробросах будет выводиться предупреждение, требующее от пользователя подтвердить переход явным кликом...
07.11.2017 Серия критических уязвимостей в Android (53 +11)
  В ноябрьском обновлении платформы Android устранено 9 критических уязвимостей, часть из которых потенциально можно эксплуатировать удалённо. Три критические уязвимости (CVE-2017-11013, CVE-2017-11014, CVE-2017-11015) найдены в беспроводном драйвере Qualcomm/Atheros и позволяют осуществить удалённую атаку через WiFi-сеть путём отправки специально оформленных управляющих кадров 802.11. Драйвер qcacld включает почти 700 тысяч строк кода - в основном из-за того, что уровень управления доступом к среде MAC (Media Access Control), отвечающий за адресацию и механизмы управления доступом, вынесен на сторону драйвера...
07.11.2017 В USB-стеке ядра Linux выявлено 14 уязвимостей (53 +26)
  В процессе проверки в системе fuzzing-тестировния syzkaller выявлено 14 уязвимостей в USB-стеке ядра Linux, позволяющих атаковать систему при подключении к компьютеру специально подготовленных USB-устройств. Уязвимости могут быть эксплуатированы при наличии физического доступа к оборудованию и могут привести к инициированию краха ядра, но не исключаются и другие проявления. Три проблемы вызваны обращением к уже освобождённым блокам памяти (use-after-free), девять - чтением из областей вне границ буфера и две - обращению по некорректному указателю (GPF, General Protection Fault). Проблемы устранены в выпуске 4.13.11...
07.11.2017 Обновление Chrome с устранением критической уязвимости (13 +9)
  Доступно обновление браузера Chrome 62.0.3202.89, в котором устранено две уязвимости, одной из которых присвоен статус критической проблемы (CVE-2017-15398), позволяющей обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения. Уязвимость вызвана переполнением стека в реализации протокола QUIC (Quick UDP Internet Connections).
05.11.2017 Поддельное приложение WhatsApp в Google Play установили более миллиона пользователей (140 +28)
  В Google Play зафиксирована одна из крупнейших мошеннических акций, жертвами которой стало более миллиона пользователей. Мошенники разместили в каталоге приложение "Update WhatsApp Messenger" и стилизовали логотип и оформление страницы под оригинальный "WhatsApp Messenger". После установки мошенническое приложение загружало и устанавливало оригинальный WhatsApp, но добавляло прослойку для показа полноэкранной рекламы...
04.11.2017 Уязвимость в панели управления хостингом Vesta, позволяющая получить права root (43 +10)
  В Vesta Control Panel, web-панели управления сервером хостинга, распространяемой под лицензией GPLv3, выявлена критическая уязвимость, позволяющая поднять свои привилегии в системе. Суть уязвимости в том, что связанные с аутентификацией настройки передаются http-серверу nginx через включение файла директивой "include" в nginx.conf...
04.11.2017 Фонд СПО сообщил об утечке данных пользователей из-за забытой резервной копии (69 +11)
  Фонд свободного ПО предупредил об инциденте, в результате которого в публичном доступе оказалась некоторая не подлежащая огласке информация, связанная с проектом Defective By Design, включая IP-адреса авторов комментариев, номера телефонов и email пользователей...
03.11.2017 В Tor Browser 7.0.9 устранена уязвимость, раскрывающая реальный IP-адрес (74 +19)
  Сформирован корректирующий релиз специализированного браузера Tor Browser 7.0.9, ориентированного на обеспечение анонимности, безопасности и приватности. Браузер построен на кодовой базе Firefox и отличается тем, что весь трафик перенаправляется только через сеть Tor. В выпуске устранена опасная уязвимость, позволяющая раскрыть информацию об IP-адресе системы пользователя через манипуляцию с открытием ресурсов с использованием схемы "file://", при помощи которой можно инициировать прямое соединение в обход Tor. Уязвимости присвоено кодовое имя TorMoil...
02.11.2017 Обновление OpenSSL 1.1.0g и 1.0.2m с устранением уязвимостей (4 +11)
  Доступны корректирующие выпуски криптографической библиотеки OpenSSL 1.0.2m и 1.1.0g , в которых устранены две уязвимости, из которых одна отмечена как неопасная (CVE-2017-3735), а вторая (CVE-2017-3736) отнесена к категории проблем среднего уровня опасности...
01.11.2017 В WordPress 4.8.3 устранена уязвимость, которая может привести к подстановке SQL-кода (17)
  В системе управления web-контентом WordPress выявлена уязвимость, позволяющая выполнить произвольные SQL-запросы на сервере. Уязвимость устранена в выпуске 4.8.3...
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor