The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

·14.12.2021 Обновление Chrome 96.0.4664.110 с устранением критической и 0-day уязвимостей (66 +5)
  Компания Google сформировала обновление Chrome 96.0.4664.110, в котором исправлены 5 уязвимостей, в том числе уязвимость (CVE-2021-4102), уже применяемая злоумышленниками в эксплоитах (0-day) и критическая уязвимость (CVE-2021-4098), позволяющая обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения...
·13.12.2021 В каталоге Python-пакетов PyPI выявлены три вредоносные библиотеки (61 +15)
  В каталоге PyPI (Python Package Index) выявлены три библиотеки, содержащие вредоносный код. До выявления проблем и удаления из каталога в сумме пакеты успели загрузить почти 15 тысяч раз...
·11.12.2021 Уязвимости в Grafana, позволяющие получить доступ к файлам в системе (75 +18)
  В открытой платформе визуализации данных Grafana выявлена уязвимость (CVE-2021-43798), позволяющая выйти за пределы базового каталога и получить доступ к произвольным файлам в локальной файловой системе сервера, насколько это позволяют права доступа пользователя, под которым выполняется Grafana. Проблема вызвана некорректной работой обработчика пути "/public/plugins/‹plugin-id›/", в котором допускалось использование символов ".." для доступа к нижележащим каталогам...
·10.12.2021 Критическая уязвимость в Apache Log4j 2, затрагивающая многие Java-проекты (150 +35)
  В Apache Log4j 2, популярном фреймворке для организации ведения логов в Java-приложениях, выявлена критическая уязвимость, позволяющая выполнить произвольный код при записи в лог специально оформленного значения в формате "{jndi:URL}". Атака может быть проведена на Java-приложения, записывающие в лог значения, полученные из внешних источников, например, при выводе проблемных значений в сообщениях об ошибках...
·09.12.2021 В репозитории NPM выявлено 17 вредоносных пакетов (42 +10)
  В репозитории NPM выявлено 17 вредоносных пакетов, которые распространялись с использованием тайпсквоттинга, т.е. с назначением имён, похожих на названия популярных библиотек, с расчётом на то, что пользователь допустит опечатку при наборе имени или не заметит различий, выбирая модуль из списка...
·06.12.2021 Обновление LibreOffice 7.2.4 и 7.1.8 с устранением уязвимости (59 +13)
  Организация The Document Foundation объявила о выходе корректирующих выпусков свободного офисного пакета LibreOffice 7.2.4 и 7.1.8, в которых до версии 3.73.0 обновлена поставляемая в комплекте криптографическая библиотека NSS. Обновление связано с устранением в NSS критической уязвимости (CVE-2021-43527), которую можно эксплуатировать через LibreOffice. Уязвимость позволяет организовать выполнение своего кода при верификации специально оформленной цифровой подписи документа. Выпуски отнесены к категории hotfix и содержат только одно изменение....
·04.12.2021 Бывший сотрудник Ubiquiti арестован по обвинению во взломе (160 +26)
  Январская история с незаконным доступом в сеть производителя сетевого оборудования Ubiquiti получила неожиданное продолжение. 1 декабря ФБР и прокуратура Нью-Йорка объявили об аресте бывшего сотрудника Ubiquiti Николаса Шарпа (Nickolas Sharp). Ему предъявлены обвинения в незаконном доступе к компьютерным системам, вымогательстве, мошенничестве с использованием телекоммуникационных систем (wire fraud) и даче ложных показаний сотрудникам ФБР...
·02.12.2021 Уязвимость в Mozilla NSS, позволяющая выполнить код при обработке сертификатов (28 +20)
  В наборе криптографических библиотек NSS (Network Security Services), развиваемых компанией Mozilla, выявлена критическая уязвимость (CVE-2021-43527), которая может привести к выполнению кода злоумышленника при обработке цифровых подписей DSA или RSA-PSS, заданных с использованием метода кодирования DER (Distinguished Encoding Rules). Проблема, которой присвоено кодовое имя BigSig, устранена в выпусках NSS 3.73 и NSS ESR 3.68.1. Обновления пакетов в дистрибутивах доступны для Debian, RHEL, Ubuntu, SUSE, Arch Linux, Gentoo, FreeBSD. Пока недоступны обновления для Fedora...
·30.11.2021 Критическая уязвимость в 150 моделях принтеров HP LaserJet и PageWide (77 +24)
  Исследователи безопасности из компании F-Secure выявили критическую уязвимость (CVE-2021-39238), затрагивающую более 150 различных моделей принтеров и МФУ HP серии LaserJet, LaserJet Managed, PageWide и PageWide Managed. Уязвимость позволяет через отправку на печать специально оформленного PDF-документа вызвать переполнение буфера в обработчике шрифтов и добиться выполнения своего кода на уровне прошивки. Проблема проявляется с 2013 года и устранена в обновлениях прошивки, опубликованных 1 ноября (производитель был уведомлен о проблеме в апреле)...
·27.11.2021 Уязвимость в прошивках DSP-чипов MediaTek, используемых во многих смартфонах (79 +24)
  Исследователи из компании Сheckpoint выявили три уязвимости (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) в прошивках DSP-чипов компании MediaTek, а также уязвимость в прослойке для обработки звука MediaTek Audio HAL (CVE-2021-0673). В случае успешной эксплуатации уязвимостей атакующий может организовать подслушивание за пользователем из непривилегированного приложения для платформы Android...
·26.11.2021 Уязвимость в LibreSSL, позволяющая обойти аутентификацию по сертификатам (62 +18)
  Проект OpenBSD опубликовал корректирующий выпуск переносимой редакции пакета LibreSSL 3.4.2, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. В новой версии устранена уязвимость в коде верификации сертификатов X.509, приводящая к игнорированию ошибки при обработке неверифицированной цепочки сертификатов. Проблема может привести к обходу аутентификации при проверке специально оформленных сертификатов с некорректной цепочкой доверия...
·23.11.2021 Метод клонирования отпечатков пальцев при помощи лазерного принтера (112 +40)
  Исследователи безопасности из криптовалютной биржи Kraken продемонстрировали простой и дешёвый способ для создания клона отпечатка пальца по фотографии при помощи обычного лазерного принтера, столярного клея и подручных средств. Отмечается, что полученный слепок позволил обойти защиту биометрической аутентификации по отпечатку пальца и разблокировать имеющиеся у исследователей планшет iPad, ноутбук MacBook Pro и аппаратный криптовалютный кошелёк...
·22.11.2021 Взлом провайдера GoDaddy, приведший к компрометации 1.2 млн клиентов WordPress-хостинга (65 +18)
  Раскрыты сведения о взломе GoDaddy, одного из крупнейших регистраторов доменов и хостинг-провайдеров. 17 ноября были выявлены следы неавторизированного доступа к серверам, отвечавшим за предоставление хостинга на базе платформы WordPress (сопровождаемые провайдером готовые WordPress-окружения). Разбор инцидента показал, что посторонние получили доступ к системе управления WordPress-хостингом через скомпрометированный пароль одного из сотрудников, и использовали неисправленную уязвимость в устаревшей системе для получения доступа к конфиденциальной информации об 1.2 млн активных и не активных пользователей WordPress-хостинга...
·21.11.2021 Уязвимости в LibreCAD, Ruby, TensorFlow, Mailman и Vim (58 +13)
  Несколько недавно выявленных уязвимостей:...
·20.11.2021 В каталоге PyPI выявлены вредоносные библиотеки, использующие CDN PyPI для скрытия канала связи (87 +21)
  В каталоге PyPI (Python Package Index) выявлено 11 пакетов, включающих вредоносный код. До выявления проблем в сумме пакеты успели загрузить около 38 тысяч раз. Выявленные вредоносные пакеты примечательны применением замысловатых способов скрытия каналов связи с серверами злоумышленников...
<< Предыдущая страница (позже)
Следующая страница (раньше) >>



Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру