Брешь в браузерах Xiaomi допускает подмену URL

Независимый исследователь Ариф Хан (Arif Khan) обнаружил незакрытую уязвимость в Android-браузерах Mi и Mint производства Xiaomi. Баг позволяет выполнить подмену URL и направить пользователя на вредоносную или фишинговую страницу. Брешь найдена в международных версиях приложений и не присутствует в интернет-обозревателях, распространяемых на китайском рынке. Команда разработчиков признала наличие проблемы, но не сообщила о сроках выпуска патча. Как выяснил ИБ-специалист, браузеры Xiaomi некорректно обрабатывают URL, содержащие…

Больше

Взломщики могут подделать результат компьютерной томограммы

Аппараты компьютерной томографии уязвимы для преступников, желающих изменить результаты сканирования. Как выяснили израильские ученые, данные, передаваемые между медицинским оборудованием и хранилищем изображений, можно скомпрометировать в результате атаки типа «человек посередине». Исследователи разработали PoC-код, при помощи которого злоумышленники способны добавлять или удалять опухоли на 3D-снимке до того, как он попадет в руки к врачу. В своей работе «CT-GAN: злонамеренное искажение медицинских…

Больше

В популярной Ruby-библиотеке Bootstrap-Sass обнаружен бэкдор

В популярной библиотеке Bootstrap-Sass, используемой в приложениях на Ruby и Ruby on Rails для отображения пользовательского интерфейса, обнаружен бэкдор. Bootstrap-Sass предоставляет разработчикам Sass-версию Bootstrap – наиболее популярного на сегодняшний день фреймворка для web-проектов. О наличии бэкдора стало известно 27 марта, когда разработчик Дерек Барнс (Derek Barnes) заметил , что кто-то…

Больше

В антивирусном приложении смартфонов Xiaomi нашли бэкдор

Исследователи Check Point описали сценарий MitM-атаки через антивирусное приложение Guard Provider, предустановленное на смартфонах Xiaomi. Злоумышленник может взломать соединение, по которому обновляются базы вредоносного ПО, и внедрить сторонний код на целевое устройство. По данным аналитической компании IDC, смартфоны Xiaomi входят в пятерку самых популярных среди российских пользователей. В 2018 году производитель занял 14% рынка, поставив покупателям 4,2 млн устройств — на 600 тыс. меньше…

Больше

Киберпреступники переадресовывают трафик маршрутизаторов D-Link на вредоносные сайты

В последние три месяца некая киберпреступная группировка взламывает домашние маршрутизаторы (в основном речь идет о моделях D-Link), меняет настройки DNS-сервера и перенаправляет трафик на вредоносные web-сайты. Для компрометации устройств злоумышленники используют известные уязвимости в прошивке. По данным специалистов Bad Packets, отслеживающих кампанию, список атакуемых маршрутизаторов включает модели D-Link DSL-2640B, D-Link…

Больше

Злоумышленники взломали веб-приложение института в США

Злоумышленники взломали веб-приложение Технологического института Джорджии (Georgia Tech) и получили доступ к личной информации студентов, преподавателей и сотрудников. Под угрозой оказались данные 1,3 млн человек. Атака произошла 14 декабря 2018 года, однако обнаружить это удалось только в конце прошлого месяца. «Разработчики ПО для института заметили значительное снижение производительности в одном из веб-приложений и начали проверку 21 марта 2019 года, — сообщили представители…

Больше

Advantech выпустила критические обновления к WebAccess

Разработчики Advantech выпустили пакет критических обновлений к IIoT-платформе WebAccess/SCADA. Опубликованные патчи устраняют возможности удаленного выполнения кода и вызова критических ошибок промышленного ПО. Проблемы удалось обнаружить благодаря специалистам Trend Micro Zero Day Initiative Мэту Пауэллу (Mat Powell) и Натнаэлу Самсону (Natnael Samson). Бреши оказались крайне опасными — в обоих случаях эксперты оценили угрозу в 9,8 балла по шкале CVSS 3.0. Это связано с тем,…

Больше

В Apache HTTP Server залатали баг эскалации привилегий

Разработчики Apache HTTP Server выпустили версию 2.4.39 своей системы, где закрыли шесть брешей. Три из них признаны существенными, остальные имеют низкий рейтинг опасности. Уязвимости допускали эскалацию привилегий, обход механизма аутентификации и неправильную обработку http/2-запросов. Апдейт содержит заплатку для CVE-2019-0211, использование которой позволяет подпроцессу с низкими привилегиями выполнить произвольный код с более высокими правами родительской задачи. Эксплуатация бреши была возможна…

Больше

Опубликованы PoC к 0-day в Internet Explorer и Edge

Независимый исследователь Джеймс Ли (James Lee) выложил в сеть PoC для уязвимостей в Internet Explorer и Edge. Найденные специалистом бреши позволяют обойти правило ограничения домена (SOP) и выполнить в среде браузера вредоносный скрипт, размещенный на сервере злоумышленника. Результатом такой атаки может быть утечка конфиденциальных данных. Как сообщил исследователь, проблема кроется в API Resource Timing, который некорректно обрабатывает кросс-доменные ссылки после…

Больше

Уязвимость в Apache позволяет перехватить контроль над сервером

Специалисты Apache Software Foundation исправили опасную уязвимость в Apache HTTP Server 2.4, которая при определенных обстоятельствах позволяла выполнить код с правами суперпользователя и перехватить управление сервером. Проблема (CVE-2019-0211) затрагивает исключительно версии Apache для Unix-систем (от Apache 2.4.17 до 2.4.38) и позволяет менее привилегированному пользователю выполнить код с правами суперпользователя на…

Больше