6,5 ТБ данных поисковой системы Bing Mobile оказались доступны в Сети

Исследователь безопасности Ата Хаксил (Ata Hakcil) из WizCase обнаружил незащищенный сервер Elasticsearch, принадлежащий компании Microsoft, который содержал более 6,5 ТБ файлов журналов с 13 млрд записей, полученных из поисковой системы Bing Mobile. По словам Хаксила, сервер находился в общем доступе в Сети с 10 по 16 сентября. В период с…

Больше

В видеокодерах с чипами от Huawei обнаружены критические уязвимости

Инженер по безопасности продуктов Алексей Коженов из компании Salesforce обнаружил ряд критических уязвимостей в аппаратных видеокодерах от нескольких поставщиков. Проблемы затрагивают видеокодеры IPTV/H.264/H.265, работающие на чипсете hi3520d от HiSilicon Technologies — дочерней компании Huawei. Бэкдоры содержатся в программном обеспечении от неизвестного разработчика, которое работает поверх стека Linux, предоставляемого HiSilicon для…

Больше

Уязвимости в iOS и iPadOS позволяют выполнить произвольный код

Компания Apple выпустила обновления для своих операционных систем iOS 14 и iPadOS 14, устраняющие ряд уязвимостей. Наиболее опасные из них позволяют злоумышленнику повысить привилегии на устройстве и в конечном итоге получить возможность произвольно выполнять код. В общей сложности Apple исправила 11 проблем в продуктах и ​​компонентах, включая AppleAVD, Apple Keyboard,…

Больше

Уязвимость в Firefox позволяет перехватить управление браузерами в той же сети Wi-Fi

Инженеры Mozilla исправили серьезную уязвимость в версии браузера Firefox для Android, с помощью которой злоумышленники могли бы перехватить управление всеми браузерами Firefox, находящимися в той же сети Wi-Fi, и вынудить пользователей посетить вредоносные сайты, например, фишинговые страницы. Как пояснил ИБ-эксперт Крис Моберли (Chris Moberly), обнаруживший уязвимость, проблема связана с протоколом…

Больше

Представлена новая разрушительная разновидность атаки HTTP request smuggling

Специалист компании Bishop Fox Джейк Миллер (Jake Miller) представил новую разновидность атаки HTTP request smuggling, получившую название h2c smuggling. HTTP request smuggling – метод вмешательства в процесс обработки web-сайтом последовательностей HTTP-запросов, полученных от одного или нескольких пользователей. Такая атака может привести к различным последствиям, в том числе к XSS-атакам на…

Больше

Защищенный с помощью блокчейна смарт-замок уязвим к простой атаке

«Невзламываемый» смарт-замок 360lock с механизмом безопасности на базе блокчейна можно взломать с помощью простой атаки повторного воспроизведения или… килограммового молотка. Навесной смарт-замок 360lock можно закрывать и открывать с помощью мобильного приложения через Bluetooth Low Energy. Разработчики даже внедрили в свое устройство «передовые коды», чтобы обеспечить «максимальный уровень безопасности». Такое претенциозное…

Больше

В решениях для управления мобильными устройствами от MobileIron исправлены уязвимости

Исследователи безопасности компании DEVCORE раскрыли подробности об опасных уязвимостях в решениях для управления мобильными устройствами от MobileIron, в том числе об уязвимости, позволяющей удаленно выполнить произвольный код на сервере. CVE-2020-15505: Уязвимость удаленного выполнения кода в версии MobileIron Core and Connector 10.6 и более ранних, а также в версии Sentry 9.8…

Больше

Миллиарды Bluetooth-устройств уязвимы к атаке BLESA

Миллиарды смартфонов, планшетов, лэптопов и IoT-устройств с поддержкой Bluetooth находятся в зоне риска в связи с новой уязвимостью, обнаруженной исследовательской командой из Университета Пердью (США). Проблема, получившая название BLESA (Bluetooth Low Energy Spoofing Attack), затрагивает устройства, использующие протокол Bluetooth Low Energy (BLE). Как правило, большинство исследований в области безопасности BLE…

Больше

Razer допустила утечку данных порядка 100 тыс. пользователей

Американский производитель игровой периферии компания Razer непреднамеренно раскрыла частную информацию тысяч своих клиентов. Об утечке сообщил ИБ-эксперт Боб Дьяченко, который обнаружил некорректно сконфигурированный облачный кластер Elasticsearch, открывавший доступ из интернета к сегменту инфраструктуры Razer. База данных содержала различную информацию, которая может представлять интерес для злоумышленников, включая полные имена, адреса электронной…

Больше

Исследователь два года молчал об уязвимости в Bitcoin в целях безопасности

В 2018 году исследователь безопасности Брэйдон Фуллер (Braydon Fuller) обнаружил серьезную уязвимость в Bitcoin Core – ПО, на базе которого работает блокчейн биткойна. Фуллер уведомил разработчиков о проблеме, и они выпустили исправление, однако исследователь решил не сообщать об уязвимости широкой общественности во избежание возможных попыток ее эксплуатации. Подробности о проблеме…

Больше