The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

27.11.2018 Обновление Samba 4.9.3, 4.8.7 и 4.7.12 с устранением 6 уязвимостей (14 +7)
  Подготовлены корректирующие выпуски пакета Samba 4.9.3, 4.8.7 и 4.7.12, в которых устранено несколько уязвимостей (проблемы CVE-2018-16852 и CVE-2018-16857 затрагивают только ветку 4.9.x):...
26.11.2018 Бэкдор в зависимости к event-stream, популярной библиотеке для Node.js (91 +24)
  Пользователи библиотеки event-stream, около 2 миллионов копий которой еженедельно загружается из репозитория NPM и которая используется во многих крупных проектах, выявили вредоносный код в одной из зависимостей. Проблема выявлена в пакете flatmap-stream, в котором под видом тестового набора данных (test/data.js) в одной из переменных передавался вредоносный код, предназначенный для кражи криптовалюты и проведения целевой атаки на связанные с криптовалютой сервисы...
23.11.2018 Разработан метод атаки на DRAM-память, позволяющий обойти защиту ECC (60 +22)
  Группа исследователей из Амстердамского свободного университета разработала (PDF) усовершенствованный вариант атаки RowHammer, позволяющей изменить содержимое отдельных битов в памяти на базе чипов DRAM, для защиты целостности в которых применяются коды коррекции ошибок (ECC). Атака может быть выполнена удалённо при наличии непривилегированного доступа к системе...
22.11.2018 Уязвимость в ядре Linux, позволяющая обойти ограничения user namespace (57 +16)
  В ядре Linux в коде трансляции uid/gid из пространства имён идентификаторов пользователей (user namespace) в основной набор идентификаторов выявлена уязвимость (CVE-2018-18955), позволяющая непривилегированному пользователю, имеющему полномочия администратора в изолированном контейнере (CAP_SYS_ADMIN), обойти ограничения безопасности и получить доступ к ресурсам вне текущего пространства имён идентификаторов. Например, при использовании общей файловой системы в контейнере и хост-окружении можно через прямое обращение к i-node прочитать содержимое файла /etc/shadow в основном окружении...
22.11.2018 В Ghostscript 9.26 устранена очередная порция уязвимостей (15 +11)
  Представлен релиз набора инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF - Ghostscript 9.26, в котором устранено несколько уязвимостей, которые позволяют организовать выполнение в системе произвольного кода при обработке в Ghostscript специально оформленных документов...
21.11.2018 Представлена атака на браузеры, позволяющая определить сайт в другой вкладке (202 +23)
  Группа исследователей из Университета имени Давида Бен-Гуриона в Негеве (Израиль), Аделаидского университета (Австралия) и Принстонского университета разработали метод атаки по сторонним каналам, позволяющий определить какой сайт открыт в соседней вкладке браузера через анализ задержек при обращении к кэшу. Проблеме подвержен в том числе Tor Browser...
19.11.2018 Удалённо эксплуатируемые уязвимости в маршрутизаторах TP-Link TL-R600VPN (74 +11)
  Исследователи безопасности из компании Cisco выявили несколько уязвимостей в маршрутизаторах TP-Link TL-R600VPN (проблемы устранены в свежем обновлении прошивки):...
14.11.2018 Семь новых атак на механизм спекулятивного выполнения в CPU (174 +31)
  Группа исследователей безопасности, из которых трое (Daniel Gruss, Michael Schwarz, Moritz Lipp) участвовали в выявлении первых уязвимостей Meltdown и Spectre, опубликовали сведения о семи новых атаках, затрагивающих механизм спекулятивного выполнения инструкций современных процессоров. Возможность проведения атак протестирована на CPU Intel, AMD и ARM. Две новые атаки являются вариантами уязвимости Meltdown (Meltdown-PK для CPU Intel и Meltdown-BR для Intel и AMD), а оставшиеся пять представляют собой варианты уязвимости Spectre (применимы для Intel, AMD и ARM). Для всех семи атак подготовлены работающие прототипы эксплоитов...
13.11.2018 Ошибочный BGP-анонс на 74 минуты нарушил связность сетей Google и Cloudflare (59 +27)
  Маршрутизация к нескольким миллионам IP-адресов Google вчера была нарушена в результате ошибочного BGP-анонса, отправленного небольшим провайдером MainOne из Нигерии (AS 37282). Данный провайдер анонсировал для своей автономной системы 212 префиксов подсетей Google, после чего новый маршрут подхватил крупнейший китайский провайдер China Telecom (AS 4809) и ретранслировал его для своих пиров, среди которых изменение приняли Транстелеком, NTT и многие другие транзитные провайдеры первого уровня (Tier 1)...
13.11.2018 Уязвимость в gettext, позволяющая выполнить код при обработке po-файлов (30 +11)
  В библиотеке gettext, применяемой для создания многоязычных приложений, выявлена опасная уязвимость (CVE-2018-18751), которая может использоваться для организации выполнения произвольного кода при обработке специально оформленных сообщений в po-файлах. Проблема вызвана двойным освобождением блока памяти (double free) в функции default_add_message, определённой в файле read-catalog.c. В сети уже доступны варианты po-файлов, эксплуатирующие уязвимость...
08.11.2018 Уязвимость в платформе для создания интернет-магазинов WooCommerce (6 +4)
  В WooCommerce, плагине к системе управления контентом WordPress, позволяющем создавать площадки для продажи товаров, выявлена уязвимость, позволяющая выполнить код на сервере и получить полный контроль за сайтом. WooCommerce насчитывает более 4 млн установок и по статистике разработчиков используется для обеспечения работы около 30% всех интернет-магазинов в сети. Проблема устранена в выпуске WooCommerce 3.4.6...
07.11.2018 Уязвимость в VirtualBox, позволяющая выполнить код на стороне хост-системы (73 +30)
  Сергей Зеленюк раскрыл детальную информацию об ещё не исправленной (0-day) критической уязвимости в системе виртуализации VirtualBox, позволяющей обойти механизм изоляции гостевых систем и выполнить код на стороне хост-окружения. Для демонстрации уязвимости подготовлен рабочий прототип эксплоита. Для атаки требуется наличие прав root или администратора в гостевой системе. Проблема проявляется в конфигурации по умолчанию с сетевым адаптером E1000 при применении трансляции адресов (NAT) для организации сетевого взаимодействия...
06.11.2018 Атака на биржу криптовалюты через взлом счётчика StatCounter (38 +26)
  Зафиксирован взлом популярного сервиса web-аналитики StatCounter, JavaScript-код со счётчиком которого размещён на более чем двух миллионах сайтов, а число загрузок составляет около 10 миллиардов страниц в месяц. По данным компании ESET взлом выполнен для совершения целевой атаки на биржу криптовалют gate.io, на страницах которой размещён код счётчика StatCounter...
06.11.2018 Уязвимость, предоставляющая доступ к данным на самошифруемых SSD-накопителях (132 +32)
  Группа исследователей из Университета Неймегена (Нидерланды) в ходе проведения обратного инжиниринга прошивок некоторых моделей самошифруемых SSD-накопителей выявила фундаментальную недоработку, позволяющую получить доступ к зашифрованным данным. Пользователям рекомендовано не доверять встроенным в SSD-накопители аппаратным механизмам шифрования, а использовать полностью программные реализации, такие как VeraCrypt...
05.11.2018 Выпуск сервера потокового вещания Icecast 2.4.4 с устранением уязвимостей (19 +4)
  Опубликован выпуск Icecast 2.4.4, сервера для организации потокового вещания звука и видео (Ogg Theora, Ogg Vorbis, Opus, WebM и MP3) по сети. В новой версии устранена опасная уязвимость (CVE-2018-18820), вызванная переполнением буфера в коде аутентификации по URL. Уязвимость потенциально может привести к выполнению кода злоумышленника при отправке на сервер HTTP-запроса со специально оформленными слишком длинными HTTP-заголовками. Проблема присутствует во всех выпусках ветки 2.4.x и проявляется при включении аутентификации по URL ("authentication type=url") в секции "mount" (не применяется по умолчанию)...
<< Предыдущая страница (позже)
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor