В OpenSSL 1.1.0 исправлена серьезная уязвимость

Серьезная уязвимость отказа в обслуживании (DoS) была исправлена в четверг в OpenSSL с выпуском версии 1.1.0e. Брешь в безопасности получила идентификатор CVE-2017-3733. О ней 31 января сообщил Джо Ортон (Joe Orton) из Red Hat, уязвимость не затрагивает OpenSSL 1.0.2. В опубликованном OpenSSL Project официальном сообщении относительно этой уязвимости говорится о…

Больше

Эксперты Google опять описали еще неисправленную уязвимость в Windows

Google Project Zero вновь раскрыл подробности уязвимость в Windows до того, как компании Microsoft удалось устранить ее. Project Zero дает компаниям 90 дней после того, как сообщит им о найденных брешах в безопасности, если компания не устранит их в течение этого периода, подробности уязвимости будут раскрыты. В этом случае уязвимость…

Больше

Apple устранила RCE-уязвимость, связанную с приложением GarageBand

Компания Apple представила обновленную версию приложения GarageBand (10.1.6), предназначенного для создания музыки и подкастов. GarageBand входит в состав пакета iLife, поэтому зачастую оно поставлялось предустановленным с новыми macOS-устройствами. Проблему в GarageBand, которая опасна для пользователей OS X Yosemite и выше, обнаружили исследователи Cisco Talos. Свежее обновление адресовано уязвимости CVE-2017-2374, которая…

Больше

Во Flash закрыто 13 критических брешей

Adobe выпустила плановые патчи для Flash Player, устранив 13 уязвимостей, влекущих исполнение кода. Ни одна из этих брешей не эксплуатируется в дикой природе, однако пользователям Flash, работающих на Windows, macOS или в браузерах Chrome, IE 11 и Microsoft Edge, рекомендуется произвести обновление в кратчайшие сроки. Всем уязвимостям присвоен высший приоритет…

Больше

Новая уязвимость в BIND, чреватая крэшем

Консорциум разработчиков программного обеспечения для Интернета (Internet Systems Consortium, ISC) выпустил патч для высокоопасной уязвимости в популярной реализации DNS-сервера BIND. Согласно информационному бюллетеню, данная брешь допускает удаленный эксплойт и позволяет аварийно завершить работу сервера. Уязвимости подвержены серверы, настройки которых предполагают одновременное использование DNS64 и RPZ. Функция DNS64 позволяет создавать ресурсные…

Больше

Баг в jQuery Mobile может обернуться XSS-уязвимостью

Инженер компании Google Эдуардо Вила (Eduardo Vela) обнаружил неприятную проблему во фреймворке jQuery Mobile. Согласно статистике BuiltWith, в настоящий момент более 150 000 активных сайтов полагаются в своей работе на jQuery Mobile. В своем блоге Вила объясняет, что любой сайт, использующий jQuery Mobile и Open Redirect, уязвим для XSS-атак, причем исправления…

Больше

Исследователи проанализировали методы локального перехвата HTTPS-трафика

Группа, в которую вошли исследователи из ряда известных университетов, а также представители Mozilla, Cloudflare и Google, провела анализ распространения методов локального перехвата HTTPS-трафика и влияния такого перехвата на сетевую безопасность. Результаты превзошли ожидания исследователей, оказалось, что 4-11% HTTPS-трафика перехватывается и анализируется сторонним ПО на стороне клиента (антивирусное ПО, межсетевые экраны),…

Больше

Ждем патч для 0-day в SMB-протоколе Windows

Американская CERT при университете Карнеги — Меллона предупреждает о наличии уязвимости нулевого дня в SMB v3, новейшей версии протокола общего доступа к сетевым ресурсам, используемого системами Windows. Этот баг, оцененный в 10 баллов из 10 возможных по шкале CVSS, позволяет удаленно и без аутентификации вызвать состояние отказа в обслуживании, а…

Больше

Уязвимость в Steam позволяла разместить вредоносный javascript-код на странице профиля

Сообщения об XSS-уязвимости в Steam начали появляться на Reddit 7 февраля 2017 года, причем сообщалось, что эксплуатировать баг довольно легко. Вскоре модераторы сабреддита /Steam стали предупреждать пользователей об опасности, они просили вообще не загружать чужие профили и даже ленту Activity. Как оказалось, проблема была связана с тем, что фильтры Steam…

Больше

Минимум 76 популярных iOS приложений неправильно используют TLS и уязвимы для MitM-атак

Специалисты Sudo Security Group создали сервис verify.ly, предназначенный для поиска проблем с безопасности в iOS-приложениях. В связи с созданием verify.ly, исследователям было интересно понять, каким именно проблемам мобильные приложениям подвержены чаще всего. В итоге автоматический анализ популярных решений из Apple App Store выявил весьма грустную картину. Исследователи пишут, что им…

Больше