Новости Twitter предупредил пользователей Android об уязвимости

Компания Twitter начала уведомлять своих пользователей о проблеме, из-за которой вредоносные Android-приложения, работающие на устройствах пользователей, могли получить доступ к данным Twitter, включая личные сообщения. Разработчики пишут, что недавно обнаружили и устранили уязвимость в приложении Twitter для Android возникшую в связи с проблемой безопасности Android, которая затрагивала Android 8 (Oreo) и…

Больше

Уязвимости в Gmail и iCloud позволяют скрыть отправителя

В четверг, 6 августа, на конференции по безопасности Black Hat исследователи безопасности сообщат о 18 уязвимостях в отраслевых средствах защиты электронной почты. Эксплуатация проблем позволяет злоумышленникам скрыть свою личность от жертвы. В исследовании были рассмотрены три основных протокола, используемых при аутентификации отправителя электронной почты: Sender Policy Framework (SPF), DomainKeys Identified…

Больше

Обнаружен способ перехвата сообщений через подделку «Избранного» в Telegram

Мошенники научились воровать информацию через подделку «Избранного» (Saved Messages) в Telegram. Этим чатом люди пользуются как перепиской с самим собой, и могут сохранять там важные и конфиденциальные сведения. Для этого нужно создать новый аккаунт под названием Saved Messages, поставить на аватар иконку закладки, напоминающую оригинальную, а затем написать жертве любое…

Больше

Уязвимости в SAP Solution Manager позволяют получить привилегии суперпользователя

Исследователи безопасности Пабло Артузо (Pablo Artuso) и Иван Генуэр (Yvan Genuer) из компании Onapsis продемонстрировали на конференции Black Hat USA, как можно использовать многочисленные уязвимости в SAP Solution Manager (SolMan) для получения прав суперпользователя и доступа к корпоративным серверам. SolMan — централизованное приложение, предназначенное для управления IT-решениями локально, в облаке…

Больше

Уязвимость в Apple Touch ID позволяла взломать учетные записи iCloud

В начале нынешнего года компания Apple устранила уязвимость в iOS и macOS, которая потенциально могла позволить злоумышленнику получить несанкционированный доступ к учетной записи iCloud пользователя. Уязвимость была обнаружена ИБ-специалистом из компании Computest Тийсом Алкемаде (Thijs Alkemade). Проблема была связана с реализацией биометрической функции TouchID (или FaceID), позволяющей аутентифицировать пользователей для…

Больше

Обнаружены 4 новых варианта атаки HTTP Request Smuggling

Специалист из компании SafeBreach сообщил о четырех новых вариантах атаки HTTP Request Smuggling («контрабандный HTTP-запрос»), которые могут быть использованы против различных коммерческих web-серверов и прокси-серверов HTTP. Вице-президент по исследованиям безопасности в SafeBreach Амит Кляйн (Amit Klein) представил свои находки на конференции по кибербезопасности Black Hat. По его словам, web-серверы и…

Больше

Уязвимость в сервисе Meetup позволяла украсть у пользователей деньги

Специалисты израильской компании Checkmarx провели анализ платформы Meetup и обнаружили опасные уязвимости, позволяющие злоумышленнику получить права соорганизатора или похитить денежные средства пользователей. Meetup — сервис, позволяющий пользователям создавать личные или виртуальные мероприятия. Для организаторов за пределами США платформа предлагает поддержку PayPal для выставления счетов участникам платных мероприятий. Эксперты обнаружили уязвимость…

Больше

Netgear не будет устранять критическую уязвимость в 45 моделях маршрутизаторов

Более половины проблемных маршрутизаторов компании Netgear не получат обновление, устраняющее возможность для хакеров получить удаленный доступ к устройству. 79 моделей маршрутизаторов от Netgear содержат критическую уязвимость , эксплуатация которой позволяет злоумышленникам удаленно перехватить контроль над устройством. Уязвимость была обнаружена двумя исследователями безопасности — Адамом Николсом (Adam Nichols) из компании GRIMM…

Больше

Уязвимость в инструменте Ark среды KDE позволяет взламывать учетные записи Linux

В инструменте архивации Ark среды рабочего стола KDE содержится уязвимость, эксплуатация которой позволяет злоумышленникам перезаписывать файлы или выполнять удаленный код на системе путем распространения вредоносных архивов. Уязвимость была обнаружена исследователем безопасности Домиником Пеннером (Dominik Penner) из компании Hackers for Change. Как только пользователь открывает вредоносный архив, злоумышленник может осуществить автозапуск…

Больше

Баг в Zoom позволял за считанные минуты взломать код доступа

Отсутствие ограничений на количество попыток ввода пароля в web-клиенте Zoom позволяло злоумышленникам быстро подбирать коды доступа, используемые для защиты встреч. По словам специалиста компании SearchPilot Тома Энтони (Tom Anthony), встречи в Zoom по умолчанию были защищены шестизначным кодом, а значит, что существовало 1 млн возможных комбинаций. На перебор такого количества…

Больше