Adobe пропатчила RCE во Flash, Reader, Acrobat

Adobe выпустила первую новогоднюю порцию патчей, традиционно закрывающих уязвимости во Flash Player и Reader. Ни одна из этих брешей пока не используется в дикой природе. Обновление для Flash устраняет 13 уязвимостей, из которых 12 грозят удаленным исполнением кода. В Reader и Acrobat пропатчено 29 багов, все они, кроме одного, влекут…

Больше

Уязвимость, позволяющая осуществить подстановку SQL-кода в GitHub Enterprise

В GitHub Enterprise, варианте GitHub для предприятий, позволяющем развернуть окружение для совместной разработки внутри корпоративной сети на подконтрольном оборудовании, выявлена уязвимость, позволяющая через отправку специально оформленного запроса выполнить произвольный SQL-код на сервере. В описании уязвимости приводится заслуживающий внимания рассказ об организации работы кода GitHub Enterprise, который во многом пересекается с…

Больше

В PHP 7 обнаружены три серьезные уязвимости

Исследователи компании Check Point обнаружили три ранее неизвестные опасные уязвимости в механизме десериализации в языке программирования PHP 7. В PHP 5 данный механизм также был уязвим и активно эксплуатировался злоумышленниками для компрометации сайтов на базе Drupal, Joomla, Magento, vBulletin и пр. В PHP 7 уязвимым оказался тот же механизм, что…

Больше

Обновление libpng 1.6.27 с устранением уязвимости

В очередной серии обновлений библиотеки libpng 1.6.27, 1.5.28, 1.4.20, 1.2.57 и 1.0.67 устранена уязвимость, которая может привести к разыменованию нулевого указателя (в современных системах приводит к краху приложения), при определённых манипуляциях с PNG-изображениями. Примечательно, что вызывающая уязвимость ошибка присутствует в коде libpng более 20 лет, с 26 июня 1995 года….

Больше

В библиотеке PHPMailer обнаружена критическая уязвимость

Польский исследователь безопасности Давид Голунски (Dawid Golunski) из Legal Hackers обнаружил критическую уязвимость в одной из самых популярных библиотек с открытым исходным кодом PHPMailer. С ее помощью хакер может удаленно выполнить код в контексте web-сервера и скомпрометировать web-приложение. Для эксплуатации уязвимости (CVE-2016-10033) атакующий может использовать такие компоненты сайта, как формы…

Больше

Уязвимость в Facebook раскрывает электронные адреса пользователей

Разработчик из США Томми ДеВосс (Tommy DeVoss) обнаружил в Facebook уязвимость, позволяющую получить доступ к конфиденциальным адресам электронной почты пользователей соцсети. Проблема связана с функцией Facebook Groups, позволяющей любому пользователю создавать группы по интересам в соцсети. В качестве администратора одного из сообществ ДеВосс мог предоставлять пользователям право администрирования группы, например,…

Больше

0day уязвимость в роутерах NETGEAR WNR2000 позволяет захватить контроль над устройством

ИБ-специалист Педро Риберио (Pedro Ribeiro) обнаружил ряд опасных уязвимостей в роутерах NETGEAR WNR2000. Проблемы позволяют атакующему удаленно скомпрометировать девайс и взять его под свой контроль. Описанные исследователем проблемы можно эксплуатировать через LAN, однако Риберио пишет, что если на устройстве включена функция удаленного администрирования, атаки также можно осуществить и через интернет….

Больше

Устранены всем известные баги в IE и Edge

Декабрьские обновления от Microsoft закрывают в числе прочих несколько критических уязвимостей, которые уже обнародованы, но пока не используются в атаках. Всего разработчик выпустил шесть «важных» бюллетеней и шесть «критических», в том числе накопительные обновления для Internet Explorer и Microsoft Edge. Как определили в Qualys, суммарное количество бюллетеней безопасности, опубликованных Microsoft…

Больше

Уязвимость в Facebook позволяла читать чужие сообщения в Messenger

Исследователь из Cynet Израэль Гурт (Ysrael Gurt) обнаружил уязвимость в Facebook Messenger, позволяющую читать чужие личные сообщения и ставящую под угрозу безопасность данных 1 млрд пользователей. С ее помощью злоумышленник может получить доступ к содержимому сообщений, в том числе к прикрепленным файлам и фотографиям. Для того чтобы проэксплуатировать уязвимость, хакеру…

Больше

В Roundcube пропатчена уязвимость, связанная с функцией PHP mail()

Исследователи обнаружили критическую уязвимость в почтовом клиенте с открытым исходным кодом Roundcube. Она позволяет выполнить произвольные команды на системе, просто отправив электронное письмо. Недостаток был обнаружен фирмой RIPS Technologies и связан с функцией PHP mail(), которая используется для отправки электронной почты. При вызове этой функции PHP выполняет программу командной строки…

Больше