Рубрика «уязвимости» - 8

в 10:12, , рубрики: Cisco, ITGLOBAL.COM, Блог компании ITGLOBAL.COM, ИБ, информационная безопасность, патч, сетевая безопасность, уязвимости

Не так давно IT-гигант объявил о критической уязвимости в системе ASR 9000. Под катом рассказываем, в чем суть бага и как его «залатать».

Что нужно знать о последнем патче Cisco для маршрутизаторов - 1
Фото — ulleo — PD

Уязвимость обнаружили в маршрутизаторах серии ASR 9000, работающих под управлением 64-битной IOS XR. Это — аппаратура класса high-end для дата-центров телекоммуникационных компаний и сотовых операторов, которая обладает пропускной способностью 400 Гбит/с на слот и поддерживает линейные карты 40G/80G.

Уязвимости присвоили идентификатор CVE-2019-1710. Она набрала 9,8 балла из 10 по шкале CVSS.

Этот стандарт разработала группа ИБ-специалистов из таких компаний, как Microsoft, Cisco, CERT, IBM для оценки опасности багов.Читать полностью »

в 12:30, , рубрики: информационная безопасность, кибератаки, уязвимости, цифровой отпечаток

Обнаружена уязвимость: веб-сайты и приложения могут снимать цифровой отпечаток устройств через данные калибровки - 1

22 мая специалисты Кембриджского университета сообщили о новой разновидности кибератаки, которая может быть применена к большинству мобильных устройств Apple и некоторым моделям смартфонов Google. Уязвимость заключается в том, что система автоматически передает вебсайтам и приложениям данные с датчиков движения. Этого объема информации достаточно, чтобы создать уникальный идентификатор устройства и отслеживать действия его владельца в Сети.
Читать полностью »

в 16:58, , рубрики: bounty, intel, информационная безопасность, Процессоры, уязвимости, финансы в IT

На днях специалисты по кибербезопасности из Амстердамского свободного университета, заявили о том, что представители Intel просили команду учебного заведения приуменьшить значение обнаруженной уязвимости процессоров компании. Речь идет о проблеме RIDL (Rogue In-Flight Data Load), наличие которой Intel признала всего несколько дней назад.

Эта уязвимость входит в класс Microarchitectural Data Sampling (MDS), о котором на Хабре уже писали. Ее обнаружил студент университета Стефан ван Шайк (Stephan van Schaik). Вместе с ним проблему изучали и другие университеты и компании, но первым был именно ван Шайк в качестве представителя ВУЗа, так что лишь Амстердамский свободный университет может претендовать на Bounty-вознаграждение от Intel. Учебное заведение считается одним из ведущих ВУЗов страны и Европы.
Читать полностью »

в 4:01, , рубрики: telegram, WhatsApp, бэкдоры, Вконтакте, давление властей, информационная безопасность, криптография, Павел Дуров, секретные приказы ФБР, Софт, Социальные сети и сообщества, Управление продуктом, уязвимости, шифрование

Автор колонки — Павел Дуров, основатель мессенджера Telegram

Почему WhatsApp никогда не станет безопасным - 1

Мир, кажется, шокирован новостью о том, что WhatsApp превратил любой телефон в шпионское ПО. Всё на вашем телефоне, включая фотографии, электронные письма и тексты, было доступно злоумышленникам только потому, что у вас установлен WhatsApp.

Однако эта новость меня не удивила. В прошлом году WhatsApp пришлось признать очень похожую проблему — хакер мог получить доступ ко всем данным вашего телефона через один видеозвонок.
Читать полностью »

в 13:31, , рубрики: adobe, microsoft, rce, Блог компании Ростелеком-Solar, информационная безопасность, уязвимости

«Мир. Труд. Май» — это не только про приятную работу на даче, но и про установку обновлений, тем более что в этом месяце производители офисного программного обеспечения потрудились на славу и закрыли в сумме 162 уязвимости, из которых 90 позволяют выполнить произвольный код в системе.

90 уязвимостей класса Remote Code Execution в майском «вторнике обновлений» - 1

Читать полностью »

в 7:49, , рубрики: информационная безопасность, платежные карты, платежные системы, такси, Тестирование веб-сервисов, Тестирование мобильных приложений, токены, уязвимости

После нахождения уязвимостей в мобайл-банкинге украинского банка (пост) я захотел немного сменить направление и перейти от финансовых сервисов к другим.

На глаза попалась рекламная статья про обновлённое мобильное приложение такси, его я и выбрал своим подопытным.

Здесь инструменты те же: ПК, Fiddler, Android-смартфон – устанавливаем приложение и отслеживаем его запросы.

Я специально не рассматривал запросы и ответы при регистрации или логине (например, не стал проверять возможность перебора пароля), а перешёл к функциям, доступным после регистрации.

Так как у меня не было истории поездок с помощью данного сервиса, а проводить реальную поездку для тестирования мне не хотелось, мне нужны были данные кого-либо ещё из клиентов. Я решил спросить знакомых на наличие аккаунта в сервисе. Среди знакомых нашлись клиенты этого такси, но вызывали они его по-старинке – с помощью звонка.

Тогда я начал искать номера телефонов среди общедоступной в интернете информации – например, на официальном сайте и среди отзывов в соцсетях (зачастую недовольные клиенты, описывая жалобы, вместо отправки компании в личку своих контактов оставляют их в комментариях на всеобщее обозрение). В итоге я нашёл пару телефонов на одном из сайтов по поиску работы. Один из них я подставил в последующие запросы и получил информацию, которая не должна была быть доступна кому-либо извне.

Как ездить на такси за чужой счёт — уязвимости на примере одного сервиса - 1
Читать полностью »

в 13:23, , рубрики: Windows 10, Блог компании Positive Technologies, информационная безопасность, разработка под windows, уязвимости

Как изучение критической уязвимости DHCP в Windows 10 привело к обнаружению еще двух ошибок безопасности - 1

Изображение: Unsplash

Как было описано в предыдущей статье про CVE-2019-0726, иногда поиск деталей об уже известной уязвимости приводит к обнаружению новой уязвимости. А в некоторых случаях таких новых уязвимостей оказывается больше одной.Читать полностью »

в 14:28, , рубрики: confluence, Блог компании Positive Technologies, информационная безопасность, удаленное исполнение кода, уязвимости

image

Изображение: Knownsec 404 Team

Исследователи информационной безопасности из Knownsec 404 Team изучили патч для обнаруженной в марте уязвимости в Confluence и опубликовали код для её эксплуатации. Использование этой ошибки безопасности позволяет злоумышленникам получить возможность выполнения любых команд на сервере Confluence и загрузки вредоносного ПО.

Вскоре после публикации эксплоита к уязвимости, эксперты PT ESC обнаружили массовые попытке ее эксплуатации. Рассказываем, в чем проблема и как защититься. Читать полностью »

в 12:54, , рубрики: chrome, chromium, Google, Google Photos, WebView, информационная безопасность, уязвимости

Недавно исследователи обнаружили две несвязанные друг с другом уязвимости в продуктах Google. Imperva нашла способ провести атаку по сторонним каналам на Google Фото, которая позволяет злоумышленникам собирать информацию о местонахождении, времени и информации из личных учетных записей. Другая уязвимость, найденная Positive Technologies, представляет собой более опасный эксплойт для Android. Он также позволяет получить данные пользователя.

image
Читать полностью »

в 16:11, , рубрики: ivideon, безопасность, Блог компании Ivideon, взлом камер, видеонаблюдение, гаджеты, информационная безопасность, камера, облачные сервисы, пароли, прошивка, Тестирование веб-сервисов, уязвимости

image

Камеры видеонаблюдения стали частью Интернета вещей и, как другие устройства с беспрепятственным доступом к сети, попали в фокус интереса хакеров. Миллионы IP-камер разных производителей открыты для злоумышленников.

Производители камер могут экономить на работе программистов и железе – покупатели получают дешевые устройства с ограниченными вычислительными ресурсами и огромными дырами в механизмах безопасности.

Прошивки массово-потребительских noname устройств не выдерживают никакой критики. Часто они никем не обновляются и не становятся защищеннее после смены дефолтного пароля. Более того, сам производитель может заложить бэкдор.

Далее рассмотрим основные направления атак на системы видеонаблюдения.
Читать полностью »

1...789...2030...33
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js