В браузере Firefox исправили уязвимость обхода мастер-пароля

Компания Mozilla выпустила обновление для браузера Firefox, исправляющее уязвимость в менеджере паролей. Эксплуатация уязвимости (CVE-2019-11733) позволяет злоумышленнику копировать пароли в «сохраненных учетных данных» без ввода мастер-пароля. После установки мастер-пароля необходимо ввести его, прежде чем к паролям можно будет получить доступ в диалоговом окне «сохраненные учетные данные». По словам исследователей, злоумышленник…

Больше

Ключи шифрования Bluetooth можно ослабить

Специалисты CISPA (Центр IT-безопасности, приватности и подотчетности) определили уязвимость Bluetooth, которая может привести к раскрытию информации и несанкционированному повышению привилегий. Баг CVE-2019-9506 получил 9,3 балла по шкале CVSS, что соответствует критическому уровню угрозы. Исследователи назвали обнаруженный сценарий атаки KNOB, что означает «определение Bluetooth-ключей» (key negotiation of Bluetooth). Именно с этим процессом и связана проблема, конкретно — с возможностью принудительно установить слабый ключ…

Больше

HTTP/2-серверы под угрозой DoS-атак

Специалисты компаний Google и Netflix нашли группу DoS-уязвимостей в конфигурациях HTTP/2-серверов крупных вендоров и в аналогичных решениях с открытым кодом. Обнаруженные баги позволяют даже не самому продвинутому злоумышленнику заблокировать сервер — вредоносный клиент обрушит на цель запросы без возможности предоставить адекватные ответы. По информации на момент публикации, заплатки ко всем уязвимостям выпустила компания Cloudfare, которая работает с решением NGINX. Разработчики Apple и Microsoft залатали…

Больше

Microsoft нашла две похожие на BlueKeep RCE-уязвимости

Специалисты Microsoft призывают пользователей оперативно установить обновления безопасности, устраняющие две уязвимости исполнения стороннего кода в Remote Desktop Services. По словам экспертов, CVE‑2019‑1181 и CVE‑2019‑1182 схожи с багом BlueKeep, который позволял злоумышленникам удаленно атаковать устройства без каких-либо действий со стороны пользователей. Сотрудники Microsoft обнаружили новые проблемы, когда работали над укреплением защиты Remote Desktop Services. Технические подробности багов пока не раскрываются. Известно лишь, что…

Больше

Уязвимости в Canon EOS 80D позволяют заразить камеру вымогательским ПО

Уязвимости в фотоаппаратах Canon позволяют заражать их вредоносным ПО, в том числе вымогательским. Уязвимости можно проэксплуатировать как с помощью беспроводного подключения (по Wi-Fi), так и при подключении фотоаппарата к компьютеру через USB-порт. Исследователи компании Check Point осуществили реверс-инжиниринг прошивки цифровых зеркальных фотоаппаратов Canon EOS 80D и обнаружили в ней шесть…

Больше

В маршрутизаторах 4G обнаружены критические уязвимости

Исследователи безопасности из Pen Test Partners обнаружили многочисленные уязвимости в маршрутизаторах 4G от разных компаний, эксплуатация которых позволяет злоумышленникам получить доступ к конфиденциальной информации пользователей и выполнять команды. Уязвимости затрагивают маршрутизаторы 4G самых разных ценовых категорий, от потребительских роутеров и донглов до очень дорогих устройств, предназначенных для использования в крупных…

Больше

В клиенте Steam для Windows нашли 0-day

Независимый исследователь Василий Кравец раскрыл уязвимость нулевого дня в клиенте Steam для Windows после того, как компания — владелица игровой платформы отказалась исправлять ошибку и выплачивать за нее награду. Несколько позже разработчики Valve все же опубликовали патч, который, по словам эксперта, можно обойти. Баг позволяет злоумышленнику повысить привилегии в системе…

Больше

Критически важное ПО Windows содержит фундаментальные ошибки

Исследователи ИБ обнаружили опасные уязвимости более чем в 40 драйверах ядра, которые используются в процессорах ведущих поставщиков компьютерного оборудования. Баги позволяют злоумышленникам получать максимальные привилегии на пользовательских устройствах и оставаться в системе даже после полного удаления данных. Как пояснили эксперты, проблема связана с ошибками проектирования компьютерных систем. Некоторые аппаратные ресурсы, включая ядро Windows, должны…

Больше

Гаджеты могут быть взломаны для создания «опасных звуков»

Исследователь безопасности Мэтт Уикси (Matt Wixey) обнаружил уязвимости в ряде устройств, эксплуатация которых позволяет превратить девайс в «наступательное» низкосортное кибероружие. Уязвимости затрагивают ноутбуки, мобильные телефоны, наушники, акустические системы и несколько типов динамиков, сообщил исследователь изданию BBC. По словам Уикси, злоумышленник может использовать слабости девайсов для причинения физического вреда и беспокойства…

Больше

В стационарных телефонах Avaya нашли RCE-уязвимость

ИБ-исследователи обнаружили критическую уязвимость удаленного выполнения кода (RCE) в стационарных IP-телефонах производства компании Avaya, которыми пользуются 90% компаний из списка Fortune 100. Баг дает злоумышленникам возможность перехватить контроль над устройством, прослушивать звонки и даже превращать телефон в «жучок» для отслеживания и записи всего происходящего в помещении. Ошибка, получившая идентификатор CVE-2009-0692, содержалась в DHCP-клиенте с открытым исходным кодом, который…

Больше