Уязвимости

Уязвимость в Microsoft Windows 10 позволяет злоумышленникам повредить жесткий диск, отформатированный под NTFS, с помощью однострочной команды. Однострочный файл может быть скрыт внутри ярлыка Windows, ZIP-архива, пакетных файлов или различных других векторов, чтобы вызвать ошибки в работе жесткого диска, мгновенно повреждающие индекс файловой системы. Исследователь информационной безопасности, использующий псевдоним Jonas…

Продолжающиеся споры вокруг TikTok обострились в четверг, 14 января, когда сервис обвинили в слежке за миллионами пользователей Android-устройств с использованием техники, запрещенной компанией Google. Как сообщает газета Wall Street Journal, с помощью техники, замаскированной с использованием необычного дополнительного слоя шифрования, TikTok обходил реализованные в Android механизмы безопасности и собирал уникальные…

Исследователь безопасности из австрийской компании SEC Consult обнаружил ряд уязвимостей в промышленных шлюзах Pepperl+Fuchs Comtrol IO-Link Master. Эксплуатация уязвимостей позволяет получить корневой доступ к устройству и создавать бэкдоры. Обнаруженные проблемы представляют собой уязвимости подделки межсайтовых запросов (CVE-2020-12511), межсайтового скриптинга (CVE-2020-12512), слепого внедрения команд (CVE-2020-12513) и вызова состояния «отказа в обслуживании»…

Во вторник, 12 января, компания Microsoft выпустила первые в нынешнем году плановые обновления безопасности для своих продуктов. Январские патчи исправляют в общей сложности 83 уязвимости в ОС Windows, облачных продуктах, инструментах для разработчиков и корпоративных серверах. Из всех исправленных уязвимостей самой серьезной является уязвимость нулевого дня в антивирусном решении Microsoft…

Межсетевой экран уровня приложений (Web Application Firewall, WAF) компании Cloudflare используемый более чем 25 млн сайтов, содержит уязвимость, позволяющую обойти правила и осуществить XSS-атаку. Примечательно, что о проблеме известно по меньшей мере с июня 2019 года, однако она все еще остается неисправленной. В начале этого года ИБ-эксперт Джексон Генри (Jackson…

Вчера компания Fortinet опубликовала 6 бюлетеней безопасности для своих продуктов FortiWeb, FortiGate и FortiDeceptor. Согласно информации на сайте производителя, устраненные уязвимости позволяют злоумышленнику получить доступ к важным данным, вызвать отказ в обслуживании или скомпрометировать уязвимое устройство. Особое внимание стоит уделить уязвимостям в FortiWeb. Уязвимость CVE-2020-29016 позволяет удаленному неавторизованному пользователю перезаписать…

Мессенджер Telegram предоставляет пользователям функцию «Люди рядом», благодаря которой можно определить местоположение клиента соцсети с точностью до нескольких десятков метров. Сообщение о найденной уязвимости опубликовал в своем блоге энтузиаст Ахмед Хасан. Несколько лет назад он уже сообщал об аналогичном недостатке команде разработчиков мессенджера Line. Создатели мессенджера выплатили Хасану премию в…

Производители современных гаджетов постоянно улучшают защиту своих устройств, стремясь максимально обезопасить пользователей. К сожалению, это получается далеко не всегда. Ещё одно тому доказательство — баг в безопасности Galaxy Note20. Оказалось, что получить к устройству доступ мог кто угодно. Об уязвимости стало известно из описания январского обновления безопасности от Samsung. В…

Вчера компания Fortinet опубликовала 6 бюлетеней безопасности для своих продуктов FortiWeb, FortiGate и FortiDeceptor. Согласно информации на сайте производителя, устраненные уязвимости позволяют злоумышленнику получить доступ к важным данным, вызвать отказ в обслуживании или скомпрометировать уязвимое устройство. Особое внимание стоит уделить уязвимостям в FortiWeb. Уязвимость CVE-2020-29016 позволяет удаленному неавторизованному пользователю перезаписать…

Производители современных гаджетов постоянно улучшают защиту своих устройств, стремясь максимально обезопасить пользователей. К сожалению, это получается далеко не всегда. Ещё одно тому доказательство — баг в безопасности Galaxy Note20. Оказалось, что получить к устройству доступ мог кто угодно. Об уязвимости стало известно из описания январского обновления безопасности от Samsung. В…