Рубрика «уязвимость» - 6

в 14:10, , рубрики: 0day, disclosure, eop, LPE, public, Steam, Блог компании Перспективный мониторинг, информационная безопасность, повышение привилегий, уязвимость, уязвимость нулевого дня

В предыдущей серии

Не так давно я опубликовал описание уязвимости для Steam. Я получил много отзывов от читателей. Valve не проронили ни слова, а HackerOne прислал огромное слезливое письмо и, в основном, молчал. В итоге меня забанили Valve на H1 — я не могу участвовать в их программе по отклонению уязвимостей (остальной H1 мне доступен).

И ещё один Steam Windows Client Local Privilege Escalation 0day - 1
Более подробно историю вы можете узнать в предыдущей публикации, здесь же я скажу пару слов об актуальном состоянии.

А оно простое и грустное — Valve все так же терпят фиаско. Последнее обновление, которое было призвано устранить проблему, легко обходится и уязвимость все еще актуальна. Да, я это проверил — прекрасно работает.

Но эта статья не о том, что старая уязвимость все еще присутствует, а о новой. Поскольку Valve еще раз изъявили желание прочитать публичный отчет, вместо частного, не будем лишать их этого удовольствия.
Читать полностью »

в 20:14, , рубрики: rce, rdp, windows, информационная безопасность, уязвимость

Ещё не успела отшуметь уязвимость BlueKeep (CVE-2019-0708) для старых версий ОС Windows, нацеленная на реализацию протокола RDP, как снова пора ставить патчи. Теперь в зону поражения попали всё новые версии Windows. Если оценивать потенциальную угрозу от эксплуатации уязвимостей путем прямой атаки из интернета по методу WannaCry, то она актуальна для нескольких сотен тысяч хостов в мире и нескольких десятков тысяч хостов в России.

BlueKeep-2 — теперь уязвимы все новые версии Windows - 1

Подробности и рекомендации по защите под катом.
Читать полностью »

в 11:51, , рубрики: вендоры, драйвера, информационная безопасность, ошибка, производитель, системное программирование, уязвимость, ядро

У 17 вендоров найдены серьезные уязвимости в драйверах - 1

На конференции DEF CON 2019 в Лас-Вегасе (штат Невада, США) эксперты по безопасности из компании Eclypsium представили доклад о стандартных ошибках и уязвимостях при разработке ПО, которые они нашли в 42 драйверах режима ядра, исследовав программное обеспечение почти двух десятков различных производителей. Причем, их обращения и вопросы по этому исследованию некоторые производители оборудования просто проигнорировали.
Читать полностью »

в 5:18, , рубрики: apple, Black Hat 2019, Face ID, гаджеты, информационная безопасность, Научно-популярное, смартфоны, уязвимость

Face ID на iPhone можно обмануть очками и изолентой (не синей) - 1

На конференции Black Hat 2019 в Лас-Вегасе (штат Невада, США) эксперты по безопасности продемонстрировали, как можно достаточно просто обойти систему разблокировки «по лицу» Face ID, применяющуюся в смартфонах Apple, используя своеобразную биометрическую «ахиллесову пяту».
Читать полностью »

в 7:16, , рубрики: 0day, eop, LPE, public disclosure, Steam, Блог компании Перспективный мониторинг, информационная безопасность, повышение привилегий, уязвимость, уязвимость нулевого дня

Я не первый год занимаюсь поиском уязвимостей, и, казалось бы, многое видел, но есть такая часть работы, к которой не удается привыкнуть и которую не могу понять. Это абсолютное нежелание вендоров принимать информацию об уязвимостях и проблемах. Я понимаю, что очень неприятно, когда тебе прямо показывают, что ты допустил ошибку и, скорее всего, не одну. Неприятно подтверждать в открытых источниках публично, что проблемы были, что сотрудники что-то недоработали. Но я не понимаю почему информацию об уязвимости нужно отвергать.

Steam Windows Client Local Privilege Escalation 0day - 1

Итак, герой нашей истории — ПО Steam от компании Valve. И уязвимость повышения привилегий в нем, которая позволяет любому пользователю выполнить команды от имени NT AUTHORITYSYSTEM.
Читать полностью »

в 10:30, , рубрики: Data Privacy, Data security, Блог компании Digital Rights Center, взлом аккаунта, Вк, Вконтакте, Восстановление данных, Законодательство в IT, информационная безопасность, миронов, МТС, Роскомнадзор, Социальные сети и сообщества, уязвимость

Мошенники украли страницу ВКонтакте предпринимателя Алексея Миронова из-за уязвимости в системе идентификации клиентов МТС. Социальная сеть так и не вернула её владельцу и требует от него неисполнимого. Сейчас он подаёт за это на ВКонтакте в суд. Его интересы представляет Центр цифровых прав.
Читать полностью »

в 8:45, , рубрики: безопасность, Блог компании NIX Solutions, информационная безопасность, машинное обучение, уязвимость

Предложения относительно уязвимостей и защиты моделей машинного обучения - 1

В последнее время эксперты все чаще затрагивают вопрос безопасности моделей машинного обучения и предлагают различные способы защиты. Самое время детально изучить потенциальные уязвимости и средства защиты в контексте популярных традиционных систем моделирования, таких как линейные и древовидные модели, обучаемые на статических датасетах. Хотя автор статьи не эксперт по безопасности, он очень внимательно следит за такими темами, как отладка (debugging), объяснение (explanations), объективность (fairness), интерпретируемость (interpretability) и конфиденциальность (privacy) в машинном обучении.

В этой статье приведем несколько вероятных векторов атак на типичную систему машинного обучения в типичной организации, предложим ориентировочные решения для защиты и рассмотрим некоторые общие проблемы и наиболее перспективные практики.
Читать полностью »

в 15:08, , рубрики: habr weekly, vim, Блог компании Хабр, голосовые помощники, маруся, мейлру, нейросети, Новости, подкасты, уязвимость, фотошоп, хабр, яндекс

В шестом выпуске подкаста Habr Weekly прошлись вот по таким темам:

Читать полностью »

в 11:58, , рубрики: rdp, windows, информационная безопасность, уязвимость

На днях исследователь безопасности раскрыл детали новой уязвимости в протоколе удаленного рабочего стола Microsoft Windows (RDP).

Способ обойти экран блокировки Windows на сеансах RDP - 1

Уязвимость CVE-2019-9510 позволяет злоумышленникам на стороне клиента обойти экран блокировки в сеансах удаленного рабочего стола.
Читать полностью »

в 19:51, , рубрики: информационная безопасность, реверс-инжиниринг, СКУД, уязвимость

Мне кажется, что многие парни, особенно в юном возрасте, хотели быть крутыми хакерами. Взламывать сайты, телефоны, системы доступа. Вот и у меня немного остался этот мальчишеский задор. Поэтому периодически ковырялся в различном ПО и ничего стоящего не находил. Но однажды, мне подвернулась удача, да еще какая! СКУД, полная уязвимостей, которые позволяют получить доступ к управлению всей системой (открытие/закрытие дверей, добавление своей карты прохода и т.д.).

Интересно? Тогда добро пожаловать под кат!Читать полностью »

1...567...1020...24
Рейтинг@Mail.ru
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js