Уязвимость в Slack грозит новой эпидемией шифровальщиков

Уязвимость в механизме обновлений мессенджера Slack грозит новой эпидемией зловредов-шифровальщиков. Распространение Linux-дистрибутивов без электронной подписи позволяет злоумышленникам отправить миллионам пользователей скомпрометированное приложение и получить доступ к их компьютерам и сетевым ресурсам. Обычно при распространении ПО дистрибутивы шифруются с использованием PGP-ключа. Это дает пользователям уверенность, что устанавливаемые программы поступили от настоящего…

Больше

Уязвимость в Joomla позволяет похитить учетные данные

Исследователи компании RIPS Technologies обнаружили серьезную уязвимость (CVE-2017-14596) в системе управления контентом Joomla. Проблема возникает при использовании протокола LDAP для аутентификации и затрагивает версии от 1.5 до 3.7.5. LDAP реализован в Joomla через «родной» плагин аутентификации, активировать которой можно в менеджере плагинов. Анализ страницы авторизации Joomla при включенном плагине LDAP…

Больше

Подключение через USB может привести к утечке конфиденциальных данных

USB-соединения, самый распространенный интерфейс для подключения внешних устройств к компьютерам, позволяют перехватывать данные с устройств, подключенных к соседним USB-портам, выяснила группа исследователей из университета Аделаиды (Австралия). Эксперты протестировали более 50 компьютеров и внешних USB-концентраторов и обнаружили, что свыше 90% из них «сливали» информацию на внешнее USB-устройство. К USB-совместимым гаджетам относятся…

Больше

Уязвимость в модулях управления телематикой автомобилей BMW, Ford, Infiniti и Nissan

В модулях управления телематикой (TCU, Telematics Control Module), оснащённых 2G-модемом на базе чипсета S-Gold 2 (PMB 8876), выявлены две уязвимости, которые позволяют выполнить код в контексте автомобильной информационной системы. TCU применяется для организации передачи данных о местоположении автомобиля, позволяя отслеживать перемещения через мобильное приложений или web-интерфейс. Наиболее опасная уязвимость (CVE-2017-9633) позволяет обойти проверку идентификатора…

Больше

Veritaseum стал четвертым криптовалютным сервисом, взломанным за последние недели

В минувшие выходные представители компании Veritaseum сообщили, что после старта процедуры ICO (Initial Coin Offering, первичного размещения токенов) платформу взломали неизвестные лица, которым удалось похитить $8,4 млн. ICO является своеобразным аналогом IPO. Посредством ICO стартапы, по сути, привлекают финансирование: за Bitcoin, Ethereum и так далее инвесторы покупают у компании токены,…

Больше

Критические уязвимости в проекте FreeRDP

Во FreeRDP, свободной реализации протокола удалённого доступа к рабочему столу RDP (Remote Desktop Protocol), выявлено шесть уязвимостей, из которых четыре позволяют осуществить отказ в обслуживании, а две (CVE-2017-2834, CVE-2017-2835) позволяют выполнить код в системе клиента, при получении специально оформленного ответа от сервера. Проблемы вызваны ошибками в обработке входящих сетевых пакетов: в обоих случаях для…

Больше

Valve устранила баг, позволявший устанавливать малварь посредством игр Steam

Специалист компании One Up Security Джастин Тафт (Justin Taft) обнаружил занимательную уязвимость в составе Valve Source SDK. Исследователь пишет, что уязвимость в движке Source затрагивала такие популярные игры, как Counter Strike: Global Offensive, Team Fortress 2, Left 4 dead 2, Potral 2. Дело в том, что игры, работающие на движке Source, используют Source SDK,…

Больше

Tor Project запускает собственную программу bug bounty и предлагает до $4000 за баги

Впервые разработчики Tor Project заговорили о запуске публичной программы вознаграждения за уязвимости еще в конце 2015 года. Приватная bug bounty программа стартовала в январе 2016 года, и благодаря ней специалистам удалось обнаружить ряд багов, включая ряд denial-of-service (DoS) и out-of-bounds (OOB) уязвимостей. Теперь Tor Project, при поддержке Open Technology Fund,…

Больше

Тысячи IoT-устройств под угрозой из-за уязвимости в библиотеке gSOAP

Специалисты компании Senrio обнаружили баг в популярной C/C++ библиотеке gSOAP, которая широко используется при разработке прошивок для различных IoT-девайсов. Авторы библиотеки, компания Genivia, пишут, что их продукт может пригодиться компаниям, которые «занимаются разработкой продуктов, отвечающих новейшим стандартам для XML, XML Web services, WSDL и так далее». Проблема, получившая название Devil’s…

Больше

Чужой аккаунт MySpace может захватить любой желающий

MySpace уже давно перестал быть популярной социальной сетью, и жизнь на страницах сайта не кипит, как это было раньше, в начале 2000-х годов. В последнее время о MySpace можно услышать разве что в контексте проблем с безопасностью. К примеру, в 2016 году в сеть утекла база данных, содержащая 427 484…

Больше