Уязвимости

Специалист компании Bishop Fox Джейк Миллер (Jake Miller) представил новую разновидность атаки HTTP request smuggling, получившую название h2c smuggling. HTTP request smuggling – метод вмешательства в процесс обработки web-сайтом последовательностей HTTP-запросов, полученных от одного или нескольких пользователей. Такая атака может привести к различным последствиям, в том числе к XSS-атакам на…

«Невзламываемый» смарт-замок 360lock с механизмом безопасности на базе блокчейна можно взломать с помощью простой атаки повторного воспроизведения или… килограммового молотка. Навесной смарт-замок 360lock можно закрывать и открывать с помощью мобильного приложения через Bluetooth Low Energy. Разработчики даже внедрили в свое устройство «передовые коды», чтобы обеспечить «максимальный уровень безопасности». Такое претенциозное…

Исследователи безопасности компании DEVCORE раскрыли подробности об опасных уязвимостях в решениях для управления мобильными устройствами от MobileIron, в том числе об уязвимости, позволяющей удаленно выполнить произвольный код на сервере. CVE-2020-15505: Уязвимость удаленного выполнения кода в версии MobileIron Core and Connector 10.6 и более ранних, а также в версии Sentry 9.8…

Миллиарды смартфонов, планшетов, лэптопов и IoT-устройств с поддержкой Bluetooth находятся в зоне риска в связи с новой уязвимостью, обнаруженной исследовательской командой из Университета Пердью (США). Проблема, получившая название BLESA (Bluetooth Low Energy Spoofing Attack), затрагивает устройства, использующие протокол Bluetooth Low Energy (BLE). Как правило, большинство исследований в области безопасности BLE…

Американский производитель игровой периферии компания Razer непреднамеренно раскрыла частную информацию тысяч своих клиентов. Об утечке сообщил ИБ-эксперт Боб Дьяченко, который обнаружил некорректно сконфигурированный облачный кластер Elasticsearch, открывавший доступ из интернета к сегменту инфраструктуры Razer. База данных содержала различную информацию, которая может представлять интерес для злоумышленников, включая полные имена, адреса электронной…

В 2018 году исследователь безопасности Брэйдон Фуллер (Braydon Fuller) обнаружил серьезную уязвимость в Bitcoin Core – ПО, на базе которого работает блокчейн биткойна. Фуллер уведомил разработчиков о проблеме, и они выпустили исправление, однако исследователь решил не сообщать об уязвимости широкой общественности во избежание возможных попыток ее эксплуатации. Подробности о проблеме…

У пользователей, еще не успевших установить августовский пакет обновлений для Windows, появилась еще одна серьезная причина сделать это как можно скорее. Дело в том, что специалисты нидерландской компании Secura B.V. обнародовали подробности об уязвимости повышения привилегий в Netlogon, которая может использоваться для перехвата управления серверами Windows Server, работающими в качестве…

Международная группа ученых разработала новую технику атаки на защищенные системы с использованием механизма спекулятивного выполнения. По словам ученых, атака, получившая название BlindSide, может использоваться для создания эксплоитов, способных обходить ASLR. Адресные пространства памяти очень важны для атакующих. Зная, в какой области памяти выполняется приложение, они могут настроить эксплоиты таким образом,…

Незащищенная паролем база данных предоставляла любому желающему персональные данные сотен тысяч пользователей сайтов знакомств. Открытый сервер Elasticsearch был обнаружен в конце прошлого месяца специалистами из vpnMentor. Как оказалось, он принадлежит компании Mailfire, предоставляющей инструменты для online-маркетинга. В открытой БД хранились копии push-уведомлений, отправленных некоторыми сайтами своим пользователям с помощью сервиса…

Сотрудники компании Facebook вручную просматривают запросы на раскрытие информации пользователей, не проверяя электронные адреса тех, кто запрашивает доступ к порталам, предназначенным исключительно для сотрудников правоохранительных органов. Другими словами, любой, у кого есть электронный адрес, может получить доступ к порталам, где правоохранительные органы запрашивают данные о пользователях Facebook и WhatsApp. К…