Рубрика «уязвимости» - 9

в 9:10, , рубрики: kubernetes, lxc, runC, Блог компании Флант, информационная безопасность, контейнеры, системное администрирование, уязвимости

Прим. перев.: Минувшей ночью Aleksa Sarai, старший инженер по контейнерам из SUSE Linux, сообщил в почтовой рассылке oss-sec о критической уязвимости в безопасности runc/LXC, которая позволяет злоумышленнику, имеющему доступ в изолированный контейнер, получить привилегии root на хостовой системе. Поскольку проблема выявлена в эталонной реализации исполняемой среды для контейнеров — runc, — она затрагивает многочисленные контейнерные системы включая Docker/Moby, Podman, cri-o (и собственно Kubernetes). Ниже представлены подробности в виде перевода сообщения инженера в почтовую рассылку.

Уязвимость CVE-2019-5736 в runc, позволяющая получить права root на хосте - 1

Я являюсь одним из мейнтейнеров runc (нижележащей среды исполнения контейнеров, используемой в Docker, cri-o, containerd, Kubernetes и т.п.). Недавно стало известно об уязвимости, которую мы проверили и пропатчили.Читать полностью »

в 7:02, , рубрики: NOBUS, бекдор, Блог компании Virgil Security, Inc., гост, информационная безопасность, криптография, Кузнечик, Стрибог, уязвимости

Привет, %username%!

Криптографические алгоритмы в России не проходят через открытые конкурсы, их просто спускают нам свыше. И рано или поздно это сильно нам аукнется. Эта статья об очередном исследовании наших ГОСТов.

Очередные странности в алгоритмах ГОСТ Кузнечик и Стрибог - 1

Читать полностью »

в 14:39, , рубрики: apple, icloud, Блог компании Positive Technologies, информационная безопасность, уязвимости

СМИ: в iCloud могла произойти утечка данных, которую Apple пыталась скрыть - 1

По информации издания The Hacker News, в 2018 году могла произойти утечка данных, в ходе которой была раскрыта информация пользователей сервиса iCloud. При этом Apple официально не объявляла о подобных проблемах.
Читать полностью »

в 13:45, , рубрики: mPOS, безопасность, Блог компании Positive Technologies, информационная безопасность, уязвимости, финансы, финансы в IT

Ради денег: поиск и эксплуатация уязвимостей в мобильных платежных терминалах - 1

Карточные платежи становятся все более популярными. Мобильные платежные терминалы (mPOS-терминалы) способствуют развитию этой тенденции, снижая барьеры входа на рынок карточных платежей для небольших фирм и частных предпринимателей. При этом при определенных условиях операции все еще можно осуществлять во множестве стран (включая Россию) при помощи магнитной полосы. Каждый новый виток технологического прогресса ставит под угрозу платежную экосистему. К каким проблемам безопасности может привести облегчение доступа на рынок карточных платежей? И чем мы рискуем, продолжая полагаться на старые карточные технологии, в частности на магнитную полосу?

За последние годы число операций, осуществляемых с помощью mPOS-терминалов, существенно возросло. Острая конкуренция среди поставщиков mPOS привела к тому, что получить такой платежный терминал стало чрезвычайно просто. Подписание договора занимает меньше пяти минут, а сами mPOS-терминалы зачастую предоставляются бесплатно. Теперь их можно увидеть повсюду. Как и обычные POS-терминалы, они являются конечным звеном платежной инфраструктуры. Это делает их интересными и легко доступными для злоумышленников. Читать полностью »

в 9:55, , рубрики: Yota, информационная безопасность, мессенджеры, уязвимости, уязвимости и их эксплуатация

Интересная произошла ситуация у меня.

Купил симку Yota, залогинился с этим номером в WhatsApp и сразу оказался в трёх незнакомых группах. Предыдущей переписки не было видно, потому сначала подумал, что спам и тупо удалился со всех трёх.

Спустя некоторое время мне написал человек с незнакомого номера, мол привет, почему удалился. В процессе разговора с ним выяснилось, что это номер его друга и он им пользуется около 4 лет.
Читать полностью »

в 16:01, , рубрики: bugs, C, CVE, cwe, freeswitch, libidn, NcFTP, open source, OpenLDAP, pvs-studio, security, static code analysis, vulnerabilities, weaknesses, Блог компании PVS-Studio, информационная безопасность, Программирование, статический анализ кода, уязвимости

Стреляем в ногу, обрабатывая входные данные - 1

Связующее звено сегодняшней статьи отличается от обычного. Это не один проект, для которого был проведён анализ исходного кода, а ряд срабатываний одного и того же диагностического правила в нескольких разных проектах. В чём здесь интерес? В том, что некоторые из рассмотренных фрагментов кода содержат ошибки, воспроизводимые при работе с приложением, а другие – и вовсе уязвимости (CVE). Кроме того, в конце статьи немного порассуждаем на тему дефектов безопасности.
Читать полностью »

в 13:29, , рубрики: exploit wednesday, patch tuesday, remote code execution, Блог компании Ростелеком-Solar, информационная безопасность, уязвимости

Вчера, во вторник приблизительно в 22.00 по Москве Microsoft выкатил патчи от новых уязвимостей, тем самым дав старт ежемесячной гонке между администраторами по безопасности и злоумышленниками. Пока первые проверяют, не уронит ли установка обновлений критичные бизнес-сервера в синий экран, вторые дизассемблируют код обновленных библиотек и пытаются создать рабочие эксплойты для пока еще уязвимых систем.

Для любителей подробностей – короткая справка по новым уязвимостям под катом.

image
Читать полностью »

в 7:54, , рубрики: oauth, oauth 2.0, безопасность, безопасность мобильных приложений, Блог компании Mail.Ru Group, информационная безопасность, разработка мобильных приложений, уязвимости

Безопасность мобильного OAuth 2.0 - 1

Всем привет! Я Никита Ступин, специалист по информационной безопасности Почты Mail.Ru. Не так давно я провел исследование уязвимостей мобильного OAuth 2.0. Для создания безопасной схемы мобильного OAuth 2.0 мало реализовать стандарт в чистом виде и проверять redirect_uri. Необходимо учитывать специфику мобильных приложений и применять дополнительные механизмы защиты.

В этой статье я хочу поделиться с вами знаниями об атаках на мобильный OAuth 2.0, о методах защиты и безопасной реализации этого протокола. Все необходимые компоненты защиты, о которых я расскажу ниже, реализованы в последней версии SDK для мобильных клиентов Почты Mail.Ru.
Читать полностью »

в 12:57, , рубрики: Facebook, Блог компании Positive Technologies, вебинар, информационная безопасность, уязвимости

Новая уязвимость в Facebook приводит к утечке персональных данных пользователей - 1

Изображение: Pexels

Исследователи информационной безопасности обнаружили уязвимость в социальной сети Facebook – эта ошибка могла приводить к утечкам конфиденциальной информации о пользователях и их друзьях. Ошибка обнаружена в функции поиска соцсети.Читать полностью »

в 14:29, , рубрики: intel, Intel ME, ME, Блог компании Positive Technologies, информационная безопасность, исследования, уязвимости

Что мы узнали о безопасности Intel ME за последние годы: 7 фактов о таинственной подсистеме - 1

Изображение: Unsplash

В последние пару лет технология Intel ME находится под пристальным вниманием исследователей. Эту технологию окружает ореол таинственности – несмотря на то, что она имеет доступ практически ко всем данным на компьютере и ее компрометация позволяет захватить полный контроль над машиной, официальной документации и руководств по работе с ней от производителя просто не существует. Поэтому исследователям со всего мира приходится самостоятельно разбираться в работе подсистемы.

Мы изучаем Intel ME на протяжение последних лет, и вот что нам удалось узнать об этой таинственной подсистеме к этому моменту.Читать полностью »

1...8910...2030...33
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js