Pwnie Awards — премия за достижения или провалы в области информационной безопасности. Церемония вручения проводится в Лос-Анджелесе на конференции Blackhat USA.
Читать полностью »
Рубрика «уязвимость» - 23
Объявлены победители Pwnie Awards 2012
2012-07-26 в 19:24, admin, рубрики: Black Hat, информационная безопасность, уязвимость, метки: Black Hat, уязвимостьИстория и описание уже исправленной уязвимости в игре WarCraft 3
2012-07-26 в 15:31, admin, рубрики: Warcraft, взлом, информационная безопасность, уязвимость, метки: Warcraft, взлом, уязвимостьБыло это 2009 году, в марте месяце, я тогда увлекался созданием карт к игре WarCraft 3. Однажды мне показали карту, которая при запуске игры каким-то хитрым образом создавала консоль и писала в ней какой-то «Привет Мир!». Я мягко говоря был ошарашен — это значило, что есть возможность выполнять произвольный код в системе.
Под катом описание уязвимости и история ее закрытия.
Разбор уязвимости CVE-2012-0175
2012-07-23 в 8:11, admin, рубрики: CVE, windows, информационная безопасность, уязвимостьВернулся тут недавно из отпуска, сел за компьютер и как раз подоспел на очередные крупномасштабные обновления безопасности Windows. Пошарил я на эту тему по интернету, и через некоторое время наткнулся на такую вот интересную сводную таблицу. Опять, что ли свежие эксплойты обходят нас стороной? Ну уж нет, кто ищет – тот всегда найдёт. Выбрал я первый, попавшийся под руку remote code execution exploit — CVE-2012-0175 (он же MS12-048) и решил докопаться до истины. Читать полностью »
Немного об уязвимостях
2012-07-12 в 11:13, admin, рубрики: xss, информационная безопасность, уязвимость, эксплойт, метки: xss, уязвимость, эксплойт Доброго времени суток. Я хочу немного рассказать об эксплойтах, о том как ко мне приходило понимание данного процесса. Читая в новостях очередное сообщение о том, что был взломан популярный веб-ресурс, я постоянно удивлялся, как это происходит.
Да, в интернете полно информации о найденных свежих уязвимостях, но как, зная об их наличие проникнуть в систему и извлечь конфиденциальную информацию – загадка. Я недавно начал изучать данную тематику и хочу поделиться информацией, которая, надеюсь, поможет сделать первые шаги.Читать полностью »
Внимание! Уязвимость в Plesk
2012-07-03 в 5:53, admin, рубрики: Plesk, уязвимость, хостинг, метки: Plesk, уязвимостьУ всех у кого стоит Plesk младше версии 10.4 обратите внимание на уязвимость.
Нападающий использует Plesk File Manager для подмены файлов на сайте.
Читать полностью »
Checkpoint Abra — бреши в «доверенных» флэшках
2012-07-02 в 13:45, admin, рубрики: Блог компании «Group-IB», дбо, информационная безопасность, уязвимость, метки: group ib, дбо, информационная безопасность, уязвимостьНа рынке ИБ появляются все новые и новые средства защиты конечного клиента (ДБО, ERP/SAP и так далее). Кроме ценовой политики, совсем немногие из нас сталкивались с анализом эффективности защиты, которую они могут реально обеспечить.
Специалистами компании Group-IB было проведено исследование по анализу возможных брешей продукта Checkpoint Abra, который представляет из себя специально сконфигурированный отделяемый носитель, позволяющий организовать защищенное виртуальное рабочее место на любом компьютере, к которому он подключается.
Дырка позволяющая удаленное исполнение произвольного кода при старте 1С 8.2 БП
2012-06-13 в 18:35, admin, рубрики: 1с предприятие 8, информационная безопасность, уязвимость, метки: 1с предприятие 8, уязвимость 
Я думаю все знают что такое 1С. Если не дома, то на работе в любимой бухгалтерии она точно есть.
Масштабы распространения действительно велики. По этому меня удивляет что так мало(нет?) исследований в области безопасности и уязвимостей ПО.
По этому если сообщество позволит я бы хотел рассказать об одном из своих исследований в этой области.
Читать полностью »
Внутри HTTP-сервера, встроенного в Node, обнаружена уязвимость
2012-05-08 в 4:31, admin, рубрики: Node, node.js, nodejs, уязвимость, метки: Node, node.js, nodejs, опечатка, опечатки, уязвимость 
Мэтью Дэйли (Matthew Daley) выяснил, что в коде HTTP-сервера, встроенного в движок Node, есть ошибка или даже просто опечатка (используется «size» вместо «size_»), так что специально сформированным запросом к серверу можно добиться того, что сервер существенно переоценит реальный размер запроса и включит в него содержимое соседних чужих HTTP-запросов (например, частью переданной на сервер переменной станут чьи-нибудь чужие cookies; и если это будет переменная из числа тех, которые тотчас же выводятся на экран, то крякерская атака легко может оказаться успешною).
Всем пользователям Node версий 0.5.x и 0.6.x следует без промедления обновить Node до версии 0.6.17, а обладателям экспериментальных версий из ветки 0.7 следует обновиться до 0.7.8. (Версии 0.4.x не содержат этой ошибки, однако на вашем месте я бы их всё равно обновил, ибо они старьё.)
Об этом опубликовано оповещение во блоге Node.
Уязвимость в iOS 5.1
2012-04-17 в 16:13, admin, рубрики: bug, iOS, ipad, iphone, баг, информационная безопасность, разработка под iOS, уязвимость, метки: bug, iOS, iPad, iPhone, баг, уязвимость Данная тема была уже затронута здесь: http://habrahabr.ru/post/140743/
Читать полностью »
Уязвимость браузере Safari в iOS 5.0.1, 5.1
2012-04-17 в 16:13, admin, рубрики: apple, bug, iOS, ipad, iphone, баг, информационная безопасность, уязвимость, метки: bug, iOS, iPad, iPhone, баг, уязвимость Данная тема была уже затронута здесь: http://habrahabr.ru/post/140743/
Читать полностью »