Уязвимости в новостях

20.08 / 14:45

Apple уязвимости Троянский офис: хакеры могут обойти разрешения Apple macOS через программы Microsoft

Компания безопасности Cisco Talos недавно обнаружила восемь уязвимостей в различных программах Microsoft 365, доступных на macOS. Через них хакеры могут обойти систему разрешений macOS.

13.06 / 04:08

технологии Wi-Fi Windows 10 уязвимости Windows 11 Уязвимость Wi-Fi в Windows позволяет вредить совершенно незаметно и без входа в сеть — нужен патч от 11 июня

Microsoft недавно закрыла пробел в безопасности драйвера Wi-Fi для Windows. Эксплойт позволил бы злоумышленникам запускать вредоносный код на уязвимых системах через Wi-Fi. Уязвимость касается Конкретно речь идет о Windows 10 и Windows 11, а также всех версий Windows Server, начиная с 2008 года. Для его использования злоумышленнику необязательно иметь доступ к целевому компьютеру.

15.04 / 12:40

кибербезопасность информационная безопасность атаки уязвимости Вебмониторэкс приглашает на вебинар на тему «Защита API» 17 апреля в 12:00 (мск)

Компания Вебмониторэкс приглашает вас 17 апреля в 12:00 (мск) на вебинар, во время которого раскроем тему значимости обеспечения безопасности API в современных условиях.

11.04 / 05:56

уязвимости В системе IT-мониторинга Nagios XI нашли и устранили 8 критических уязвимостей

Специалисты Positive Technologies нашли в системе IT‑мониторинга Nagios XI несколько уязвимостей. Nagios XI представляет собой программное обеспечение, используемое в дата‑центрах, телекоммуникационных компаниях, у хостинг‑провайдеров и в других крупных компаниях для оперативного мониторинга, сбора данных и управлениями сбоями сетевой инфраструктуры. В рамках политики ответственного разглашения производитель был уведомлён об ошибках и выпустил обновления безопасности.

07.04 / 15:47

мессенджеры уязвимости конфиденциальность В Signal признали ошибку с реализацией привязки номера к имени

Исследователь кибербезопасности Адам Доненфилд рассказал в Х, что он столкнулся со странным багом в мессенджере Signal, который добавил в его доверенные контакты «Signal Connection» неизвестных пользователей. Также он указал на две попытки вызова VoIP.

02.04 / 04:23

хакеры Amazon уязвимости Платформа OpenAI Oligo сообщила о массовом взломе сотен кластеров с системами искусственного интеллекта Anyscale Ray

Хакеры использовали уязвимость в популярной платформе искусственного интеллекта с открытым исходным кодом Anyscale Ray, чтобы провести серию атак ShadowRay. В ходе них злоумышленники взломали сотни кластеров и украли конфиденциальные данные тысяч компаний.

29.03 / 07:40

уязвимости Топ-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — новый метод повышения привилегий в Active Directory через группу администраторов DHCP, подробности новой циклической DoS-атаки, исправления уязвимостей в Bamboo, Bitbucket, Confluence и Jira, новое ВПО AcidPour и подробности вредоносной кампании Sign1. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Валерия Шотт.

27.03 / 08:20

хакеры уязвимости Уязвимость умных замков Unsaflok позволяет хакерам разблокировать номера в тысячах отелей

Исследователи обнаружили серию уязвимостей, которая затрагивает 3 млн электронных RFID-замков Saflok. Они установлены в 13 тысячах отелей и домов по всему миру. Баг потенциально позволяет вскрыть дверь, подделав пару карт-ключей.

27.03 / 07:58

безопасность программирование уязвимости GitHub начала тестирование системы Code Scanning Autofix для обработки оповещений об уязвимостях в коде

GitHub тестирует систему Code Scanning Autofix, которая сканирует код, обнаруживает в нём уязвимости и предлагает исправления. Пока поддерживается проверка кода на JavaSript, Python, TypeScript и Java.

27.03 / 07:58

вознаграждение уязвимости Запускаем программу багбаунти для MaxPatrol SIEM и MaxPatrol VM

Еще одна программа по поиску уязвимостей в наших продуктах стартовала на платформе Standoff 365 Bug Bounty. За обнаруженные недостатки исследователи могут получить до 1 млн рублей.

22.03 / 10:10

атака уязвимости фишинг ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — анализ спама и фишинга в 2023 году, исправление уязвимости высокой критичности в Kubernetes, патчи для критических RCE-уязвимостей от Fortinet, расследование атаки на российское предприятие машиностроительного сектора, новая атака GhostRace. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Артур Сафаров.

16.03 / 09:07

уязвимости Эксперты Positive Technologies нашли критическую уязвимость в промышленных беспроводных преобразователях компании Moxa

Эксперты Positive Technologies рассказали о найденной уязвимости CVE-2024–1220 (BDU:2024–01 811) в промышленных беспроводных преобразователях компании Moxa. Уязвимость была обнаружена в преобразователях NPort W2150a и W2250a. Эти устройства позволяют подключать к локальной сети Wi‑Fi промышленные контроллеры, счётчики и датчики. Беспроводной доступ необходим для контроля за оборудованием, расположенным, например, на движущихся объектах (контейнеры, лифты, роботы) или в агрессивных средах (химическое и металлургическое производство), рассказали информационной службе Хабра в пресс‑службе ИБ‑компании. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения. Уязвимость получила оценку 8,2 из 10 по шкале оценки уязвимостей CVSS v3.1.

16.03 / 08:17

кибератаки уязвимости ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — исправление уязвимостей безопасности от VMware, экстренные zero-day патчи от Apple, вредоносный ИИ-червь Morris II, исправленная версия TeamCity, обзор атак группировки Shadow. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Даниил Кирьяков.

13.03 / 13:17

искусственный интеллект награда уязвимости персональные данные google Белые хакеры взломали ИИ Google и заработали $50 тысяч

Белые хакеры Джозеф «rez0» Такер, Джастин «Rhynorater» Гарднер и Рони «Lupin» в рамках мероприятия LLM bugSWAT смогли взломать чат-бот Google Bard, воспользовавшись уязвимостью одной из функций. Они заработали $50 тысяч.

09.03 / 04:09

риски атаки уязвимости ios Евросоюз ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — эксплойт для повышения привилегий в драйвере AppLocker, новые риски пользователей IOS, масштабная фишинговая кампания SubdoMailing, новые уязвимости в плагинах WordPress и уязвимость популярного AI-сервиса Hugging Face к атакам на цепочки поставок. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Константин Маслов.

01.03 / 08:38

уязвимости ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — инструкция по удалению устаревшего плагина от VMware, дешифратор для шифровальщика LockBit, уязвимости на Joomla, анализ вредоносного ПО DOPLUGS и анализ Nood RAT, используемого в атаках на Linux. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Роман Драньков.

16.02 / 11:17

уязвимости госуслуги Генеральный директор ГК «Солар» рассказал о защите Госуслуг в 2023 году от краж учётных данных

По словам группы компаний «Солар», за 2022 и 2023 года не было ни одной реальной утечки из инфраструктуры Госуслуг или недоступности сервисов, вызваной нарушением информационной безопасности портала. Как заявил генеральный директор ГК «Солар» Игорь Ляпунов на форуме национальных достижений «Государственные услуги», за 2023 год специалисты его компании заблокировали сотни миллионов кибератак разного уровня на портал Госуслуг. Об этом рассказали информационной службе Хабра в пресс‑службе ИБ‑компании.

15.02 / 06:30

уязвимости Positive Technologies проанализировали реакции вендоров на раскрытие уязвимостей

Эксперты Positive Technologies проанализировали опыт взаимодействия с вендорами в области раскрытия уязвимостей. В 2022–2023 годах 57% вендоров оперативно отвечали исследователям компании и только 14% выпускали обновления в оптимально короткие сроки, рассказали информационной службе Хабра в пресс‑службе компании.

09.02 / 08:47

атаки уязвимости ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — вредоносные пакеты в Python Package Index, фишинговые письма от Минцифры России, новый вариант программ-вымогателей Phobos семейства FAUST, важные уязвимости в syslog() библиотеки GNU C и детали атаки на системы Cloudflare. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Данил Глазырин.

08.02 / 12:26

уязвимости HR BI.ZONE сообщила о пяти уязвимостях в Websoft HCM

Специалисты BI.ZONE обнаружили пять уязвимостей в версии платформы Websoft HCM 2019.2.3 (ранее — WebTutor). Websoft HCM представляет собой систему для создания корпоративных HR‑порталов и автоматизации бизнес‑процессов, связанных с управлением персоналом. Данные были переданы разработчикам, после чего было выпущено обновление с исправлением самой критичной уязвимости — уязвимости нулевого дня. Для остальных четырёх уязвимостей исправления были выпущены ранее и в актуальных версиях ПО не могут быть проэкплуатированы, рассказали информационной службе Хабра в пресс-службе ИБ-компании.

05.01 / 11:32

ВСУ модернизация уязвимости война в Украине российско-украинская война Leopard 2 У устаревших Abrams серьезные уязвимости: 31 танку ВСУ нужна модернизация, — Forbes

По словам военного аналитика Дэвида Экса, американские M-1 Abrams выпускались в нулевых годах, у них тонкая броня сверху и по бокам. Прошло два месяца с тех пор, как в Украину поставили танки американского производства М1A1SA Abrams. С тех пор они так и не оставили какой-либо заметный след на поле боя.

26.10 / 17:03

искусственный интеллект уязвимости ИИ google Google расширяет программу «вознаграждения за уязвимости» — искусственный интеллект среди потенциальных угроз

В прошлом году Google выделила около $12 млн на вознаграждения исследователям, которые обнаружат ошибки в программном обеспечении.

10.08 / 12:05

процессоры уязвимости intel AMD Downfall и Inception: в процессорах Intel и AMD найдены новые ошибки, позволяющие воровать данные

Во многих актуальных процессорах AMD и Intel выявлены новые уязвимости, влияющие на безопасность систем. Ошибки Inception и Downfall являются производными от нашумевших ранее ошибок Meltdown и Spectre. Они имеют средний уровень опасности и могут быть исправлены либо обновлениями микрокода на уровне ОС, либо обновлениями прошивки.

11.07 / 07:19

Apple безопасность уязвимости ios обновления Apple рекомендует побыстрее установить срочные обновления iOS, iPadOS и macOS, устраняющие критическую уязвимость WebKit

Apple выпустила несколько обновлений Rapid Security Response (RSR, Быстрые ответы на угрозы) для устранения новой уязвимости нулевого дня, которая активно эксплуатируется злоумышленниками. Ошибка затрагивает iPhone, Mac и iPad, что может поставить под угрозу безопасность этих устройств.

Часто задаваемые вопросы о уязвимости

Что такое уязвимости и почему это важно?

Уязвимости — это одна из ключевых тем, которое находится в центре внимания. Мы регулярно публикуем факты по этой теме.

Где найти свежие новости по теме уязвимости?

Все важные обновления по теме уязвимости собраны в одном разделе. Обновления происходят по мере поступления информации.

Как узнать, насколько достоверны материалы про уязвимости?

Мы работаем с экспертами, чтобы публикации по теме уязвимости были максимально точными и полезными для читателей.