Уязвимости

Компания AMD исправила уязвимость в реализации своей технологии AMD Secure Encrypted Virtualization (AMD SEV). С помощью уязвимости ( CVE-2019-9836 ) злоумышленник может скомпрометировать данные, защищенные с применением AMD SEV. Технология AMD SEV предназначена для шифрования содержимого памяти виртуальных машин на аппаратном уровне, при этом доступ к расшифрованным данным предоставляется только…

В браузере Firefox на этой неделе исправлена уже вторая уязвимость нулевого дня. Проблема, получившая идентификатор CVE-2019-11708, представляет собой обход песочницы и связана с ранее исправленной уязвимостью (CVE-2019-11707) типа type confusion (несоответствие используемых типов данных). CVE-2019-11708 позволяет злоумышленнику удаленно выполнить произвольный код на системе жертвы, заманив ее на вредоносный сайт. «По…

Компания Microsoft выпустила обновление Android-версии почтового клиента Outlook, устраняющее серьезную уязвимость, которая позволяет выполнить произвольный код на атакуемом устройстве и потенциально провести спуфинг-атаку. Проблема (CVE-2019-1105) связана с парсингом входящих сообщений и может быть проэксплуатирована путем отправки жертве специально сформированного сообщения. «Атакующий, успешно проэксплуатировавший уязвимость, может осуществить XSS-атаку и запустить скрипт…

Разработчики Oracle выпустили экстренный патч для серверов WebLogic, чтобы закрыть обнаруженную уязвимость нулевого дня. Эксперты призывают администраторов срочно установить обновление, поскольку баг уже получил применение в кибератаках. Первыми об угрозе сообщили специалисты Knownsec 404 Team. В субботу 15 июня они предупредили о появлении эксплойта, который якобы позволяет обойти защиту от CVE-2019-2725 — обнаруженной в апреле дыры, допускающей исполнение стороннего кода….

Команда проекта Tor выпустила обновление под номером 8.5.2, исправляющее критическую уязвимость, затрагивающую браузер Firefox в составе Tor. Речь идет об уязвимости удаленного выполнения кода (CVE-2019-11707) в Firefox, которую уже эксплуатируют злоумышленники. Инженеры Mozilla исправили проблему с выпуском обновлений Firefox 67.0.3 и Firefox ESR 60.7.1. Данная проблема не затрагивает пользователей с…

Критическая уязвимость в ряде усилителей WiFi-сигнала TP-Link позволяет неавторизованному злоумышленнику выполнить вредоносный код на устройстве и взять его под контроль с правами текущего пользователя. Ошибку обнаружил исследователь Гжегож Выпых (Grzegorz Wypych) из подразделения IBM X-Force. Баг связан с неправильной работой функции execFormatCmd прошивки прибора и дает атакующему возможность инициировать команду вида execvesystem через строку, включенную в заголовок HTTP-запроса. Производитель выпустил…

Mozilla в экстренном порядке выпустила Firefox 67.0.3 для Linux, macOS и Windows, чтобы устранить уязвимость, уже пущенную в ход злоумышленниками. Поскольку Firefox обновляется автоматически, пользователи смогут установить патч, просто перезапустив браузер. Согласно бюллетеню разработчика, уязвимость нулевого дня CVE-2019-11707 проявляется как путаница типов данных (type confusion). Ошибка может возникнуть в ходе…

Создатели почтового клиента Mozilla Thunderbird выпустили очередную версию продукта, устранив серию опасных ошибок, допущенных при интеграции с программой iCal. Среди закрытых багов — три особо серьезных: они открывали широкий доступ к компьютеру жертвы через переполнение буфера. Как пояснили эксперты некоммерческой организации Center for Internet Security, обнаруженные уязвимости представляют особую опасность для крупных предприятий и государственных организаций. Злоумышленники могли их…

Исследователь NewSky Security Анкит Анубхав (Ankit Anubhav) обнаружил в Интернете следы атак на оборудование для анализа ДНК. Кампания, которую ведут неизвестные злоумышленники из-под иранского IP-адреса, построена на уязвимости 2016 года. По словам эксперта, первые инциденты датированы 12 июня. Взломщики сканируют Интернет в поисках приложений dnaLIMS, которые представляют собой веб-интерфейс системы для работы с ДНК. Еще три года назад специалисты обнаружили в этой программе уязвимость исполнения стороннего кода…

Эксперт по безопасности компании Google Тэвис Орманди (Tavis Ormandy) опубликовал детали уязвимости криптографической библиотеки, входящей в ОС Windows 8 и старше. Баг позволяет злоумышленнику вызывать критические ошибки ПО, которые в отдельных случаях устраняются только перезагрузкой машины. Проблема содержится в компоненте SymCrypt — библиотеке с открытым исходным кодом, используемой для реализации криптоалгоритмов в Windows. Как…