Уязвимость в WhatsApp и Telegram позволяла получить контроль над учетной записью

В web-версиях WhatsApp и Telegram и других приложениях со сквозным шифрованием присутствует уязвимость, позволяющая злоумышленникам получать полный доступ к чужим учетным записям. По словам экспертов, проэксплуатировать уязвимость очень просто, достаточно лишь отправить жертве безобидное на первый взгляд изображение со встроенным вредоносным кодом. Как только пользователь откроет картинку, злоумышленник получит полный…

Больше

Две бреши в WordPress позволяют вставлять вредоносный код в публикации

Sucuri поделилась подробностями об одной из уязвимостей межсайтового скриптинга (XSS), исправленных на прошлой неделе в WordPress. Брешь может быть очень полезна для злоумышленников в сочетании с другой уязвимостью инъекции контента, которая была использована в реальных атаках. Версия WordPress 4.7.3, выпущенная 6 марта, исправляет шесть уязвимостей, в том числе три XSS-дыры….

Больше

Уязвимость в mysqldump, позволяющая выполнить код при восстановлении бэкапа

Во входящей в состав MySQL утилите mysqldump, используемой для создания резервных копий, выявлена уязвимость (CVE-2016-5483), позволяющая организовать выполнение произвольных shell-команд или привилегированных конструкций SQL во время восстановления резервной копии при помощи утилиты mysql. Код выполнятся с правами администратора, запустившего mysql. Уязвимостью может воспользоваться пользователь СУБД, имеющий права на создание таблиц….

Больше

В Chrome 57 появился новый функционал и исправлено 36 уязвимостей

В четверг Google объявила, что стабильная версия браузера Chrome обновлена до версии 57 на Windows, Mac и Linux. Выпущенная версия содержит несколько новых функций, в их числе CSS Grid Layout и различные улучшения функциональности. Кроме этого, Chrome 57 также устраняет 36 уязвимостей, за обнаружение которых исследователи получили 38 000 долларов….

Больше

Атака на SHA-1 коллизией хэша стала реальностью

Исследователям впервые удалось реализовать атаку коллизией хэша на алгоритм SHA-1, введенный в обиход 22 года назад. Это событие ожидалось давно; новость об успехе SHAttered, как был поименован этот метод взлома, должна ускорить окончательный отказ от устаревшего и слабого криптографического алгоритма. Новую атаку на SHA-1 разработала и воплотила в жизнь группа…

Больше

В продуктах Microsoft найден еще один опасный баг

В субботу Google Project Zero раскрыл уязвимость в браузерах Microsoft Edge и Internet Explorer; данная брешь позволяет удаленно исполнить произвольный код и оценена как высокой степени опасности. Это новое дополнение к растущему списку известных багов в продуктах Microsoft, патчи для которых пока не выпущены. Новейшую уязвимость обнаружил исследователь Иван Фратрик…

Больше

CDN-провайдер Cloudflare внедрял содержимое памяти своего сервера в код веб-страниц

Специалисты по безопасности из Google обнаружили неприятный баг, чем-то похожий на приснопамятную уязвимость Heartbleed в OpenSSL. Она тоже выдаёт любому желающему криптографические ключи, а также куки, пароли, содержимое POST-запросов с личными данными, кредитные карты, ключи API и другое содержимое чужих сессий. Здесь уязвимость ограничена всего одним сервис-провайдером, пусть и таким…

Больше

Google раскрыла не пропатченную Microsoft уязвимость

Участники Google Project Zero предали гласности уязвимость в графическом интерфейсе Windows, открывающую возможность для кражи конфиденциальных данных из памяти программы. Microsoft закрыла эту брешь в июне, однако патч, по свидетельству Google, оказался неполным. Июньский бюллетень, посвященный уязвимостям в GDI Windows (MS16-074), Microsoft оценила как «важный», а саму брешь классифицировала как…

Больше

В OpenSSL 1.1.0 исправлена серьезная уязвимость

Серьезная уязвимость отказа в обслуживании (DoS) была исправлена в четверг в OpenSSL с выпуском версии 1.1.0e. Брешь в безопасности получила идентификатор CVE-2017-3733. О ней 31 января сообщил Джо Ортон (Joe Orton) из Red Hat, уязвимость не затрагивает OpenSSL 1.0.2. В опубликованном OpenSSL Project официальном сообщении относительно этой уязвимости говорится о…

Больше

Эксперты Google опять описали еще неисправленную уязвимость в Windows

Google Project Zero вновь раскрыл подробности уязвимость в Windows до того, как компании Microsoft удалось устранить ее. Project Zero дает компаниям 90 дней после того, как сообщит им о найденных брешах в безопасности, если компания не устранит их в течение этого периода, подробности уязвимости будут раскрыты. В этом случае уязвимость…

Больше