Joomla исправила критическую уязвимость SQL-инъекции в релизе 3.7.1

Выпущенное в среду обновление движка Joomla исправляет критическую уязвимость SQL-инъекций, которая может быть легко использована удаленным злоумышленником для получения конфиденциальных данных и взлома веб-сайтов. Эта брешь была обнаружена экспертом Sucuri и получила идентификатор CVE-2017-8917. Уязвимость затрагивает версию Joomla 3.7.0, а в релизе 3.7.1 уже устранена. По словам исследователя, уязвимость влияет…

Больше

Эксперт выявил 0day уязвимость CVE-2017-0262 в ОС Windows

Эксперт Positive Technologies Михаил Цветков проанализировал ранее неизвестную уязвимость в операционной системе Windows и уведомил Microsoft о наличии проблемы. Изначально ошибка позволяла злоумышленнику получить максимальные привилегии на рабочих станциях и серверах под управлением Windows 10, 8.1, 7, Server 2008, Server 2012, Server 2016. В короткие сроки уязвимость была устранена производителем…

Больше

Баг в Chrome для Windows позволяет похитить учетные данные, используя SCF-файлы

Специалист сербской компании DefenseCode Боско Станкович (Bosko Stankovic) предложил интересный способ хищения учетных данных из браузера Chrome. Станкович вдохновился двумя вещами: техникой, подсмотренной у известного вредоноса Stuxnet, а также докладом, который в 2015 году был представлен на конференции Black Hat. Специалист отмечает, что основная проблема заключается в том, что браузер…

Больше

Через 0-day уязвимость в Microsoft Office распространяется банкер Dridex

Ранее на этой неделе специалисты компаний McAfee и FireEye предупредили, что еще в январе 2017 года хакеры взяли на вооружение новую 0-day уязвимость в Microsoft Office. Злоумышленники распространяют спам, содержащий вредоносные документы Microsoft Word, и обманом заставляют жертву открыть опасное вложение. Внутри документа скрывается объект OLE2link. Стоит отметить, что атака…

Больше

Публикация архива эксплоитов АНБ вскрыла большой пласт старых уязвимостей

Хакерская группа Shadow Brokers открыла доступ к архиву с эксплоитами и инструментами для проведения атак, полученному в результате утечки информации из Агентства Национальной Безопасности США (АНБ). Активисты уже разобрали представленный архив и опубликовали структурированный вариант на GitHub. Несмотря на то, что в основном в архиве представлены достаточно старые эксплоиты, которым…

Больше

Для новой 0-day уязвимости в Microsoft Office нет патча, и ее эксплуатируют хакеры

Специалисты компаний McAfee и FireEye предупреждают, что хакеры еще в январе взяли на вооружение новую 0-day уязвимость в Microsoft Office. Баг позволяет злоумышленнику тайно выполнить произвольный код на машине жертвы и установить малварь. Хотя специалисты Microsoft знают о проблеме, патча для нее пока нет. Вероятнее всего, он войдет в состав…

Больше

Уязвимость в WhatsApp и Telegram позволяла получить контроль над учетной записью

В web-версиях WhatsApp и Telegram и других приложениях со сквозным шифрованием присутствует уязвимость, позволяющая злоумышленникам получать полный доступ к чужим учетным записям. По словам экспертов, проэксплуатировать уязвимость очень просто, достаточно лишь отправить жертве безобидное на первый взгляд изображение со встроенным вредоносным кодом. Как только пользователь откроет картинку, злоумышленник получит полный…

Больше

Две бреши в WordPress позволяют вставлять вредоносный код в публикации

Sucuri поделилась подробностями об одной из уязвимостей межсайтового скриптинга (XSS), исправленных на прошлой неделе в WordPress. Брешь может быть очень полезна для злоумышленников в сочетании с другой уязвимостью инъекции контента, которая была использована в реальных атаках. Версия WordPress 4.7.3, выпущенная 6 марта, исправляет шесть уязвимостей, в том числе три XSS-дыры….

Больше

Уязвимость в mysqldump, позволяющая выполнить код при восстановлении бэкапа

Во входящей в состав MySQL утилите mysqldump, используемой для создания резервных копий, выявлена уязвимость (CVE-2016-5483), позволяющая организовать выполнение произвольных shell-команд или привилегированных конструкций SQL во время восстановления резервной копии при помощи утилиты mysql. Код выполнятся с правами администратора, запустившего mysql. Уязвимостью может воспользоваться пользователь СУБД, имеющий права на создание таблиц….

Больше

В Chrome 57 появился новый функционал и исправлено 36 уязвимостей

В четверг Google объявила, что стабильная версия браузера Chrome обновлена до версии 57 на Windows, Mac и Linux. Выпущенная версия содержит несколько новых функций, в их числе CSS Grid Layout и различные улучшения функциональности. Кроме этого, Chrome 57 также устраняет 36 уязвимостей, за обнаружение которых исследователи получили 38 000 долларов….

Больше