The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

04.08.2019 Новые уязвимости в технологии защиты беспроводных сетей WPA3 и в EAP-pwd (62 +24)
  Мэти Ванхофом (Mathy Vanhoef) и Эяль Ронен (Eyal Ronen) выявили новый метод атаки (CVE-2019-13377) на беспроводные сети, использующие технологию защиты WPA3, позволяющий получить сведения о характеристиках пароля, которые можно использовать для проведения его подбора в offline-режиме. Проблема проявляется в актуальной версии Hostapd...
03.08.2019 Уязвимость в LibreOffice, позволяющая выполнить код при открытии вредоносных документов (106 +18)
  В офисном пакете LibreOffice выявлена уязвимость (CVE-2019-9848), которую можно использовать для выполнения произвольного кода при открытии документов, подготовленных злоумышленником...
30.07.2019 11 удалённо эксплуатируемых уязвимостей в TCP/IP стеке VxWorks (28 +10)
  Исследователи безопасности из компании Armis раскрыли информацию об 11 уязвимостях (PDF) в TCP/IP стеке IPnet, используемом в операционной системе VxWorks. Проблемам присвоено кодовое имя "URGENT/11". Уязвимости могут быть эксплуатированы удалённо через отправку специально оформленных сетевых пакетов, в том числе для некоторых проблем возможно совершение атаки при доступе через межсетевые экраны и NAT (например, если атакующий контролирует сервер DNS, к которому обращается размещённое во внутренней сети уязвимое устройство)...
25.07.2019 Во FreeBSD устранено 6 уязвимостей (209 +7)
  Во FreeBSD устранено шесть уязвимостей, которые позволяют повысить свои привилегии в системе или получить доступ к данным ядра. Проблемы исправлены в обновлениях 12.0-RELEASE-p8, 11.2-RELEASE-p12 и 11.3-RELEASE-p1...
24.07.2019 Уязвимость в медиапроигрывателе VLC (проблема оказалась в libebml) (92 +18)
  В медиапроигрывателе VLC выявлена уязвимость (CVE-2019-13615), которая потенциально может привести к выполнению кода злоумышленника при воспроизведении специально оформленного видео в формате MKV (прототип эксплоита). Проблема вызвана обращением к области памяти вне выделенного буфера в коде распаковки медиаконтейнера MKV и проявляется в актуальном выпуске 3.0.7.1...
24.07.2019 Google заблокирует сертификаты DarkMatter в Chrome и Android (83 +3)
  Девон О'Брайен (Devon O'Brien) из команды, отвечающей за безопасность браузера Chrome, объявил о намерении компании Google заблокировать промежуточные сертификаты DarkMatter в браузере Chrome и платформе Android. Также планируется отклонить заявку на включение корневого сертификата DarkMatter в хранилище сертификатов Google. Напомним, что ранее аналогичное решение было принято компанией Mozilla. Google согласился с высказанными представителями Mozilla доводами и посчитал имеющиеся претензии к DarkMatter достаточными...
23.07.2019 Критическая уязвимость в ProFTPd (94 +9)
  В ftp-сервере ProFTPD выявлена опасная уязвимость (CVE-2019-12815), которая позволяет копировать файлы в пределах сервера без проведения аутентификации с помощью команд "site cpfr" и "site cpto". Проблеме присвоен уровень опасности 9.8 из 10, так как она может применяться для организации удалённого выполнения кода при предоставлении анонимного доступа к FTP...
23.07.2019 Предупреждение о критической уязвимости в Exim (70 +7)
  Разработчики почтового сервера Exim предупредили администраторов о намерении выпустить 25 июля обновление 4.92.1, в котором будет устранена критическая уязвимость (CVE-2019-13917), позволяющая удалённо добиться выполнения своего кода с правами root при наличии в конфигурации определённых специфичных настроек...
22.07.2019 Уязвимость в fbdev, эксплуатируемая при подключении вредоносного устройства вывода (60 +28)
  В подсистеме fbdev (Framebuffer) выявлена уязвимость, которая может привести к переполнению стека ядра на 64 байта при обработке некорректно оформленных параметров EDID. Эксплуатация может быть осуществлена через подключение к компьютеру вредоносного монитора, проектора или иного устройства вывода (например, специально подготовленного устройства, симулирующего монитор). Интересно, что на уведомление об уязвимости первым откликнулся Линус Торвальдс, который предложил собственноручно написанный патч с исправлением.
22.07.2019 Уязвимость, позволяющая дополнениям Chrome выполнять внешний код, несмотря на права доступа (27 +8)
  Опубликован метод, позволяющий в любом дополнении к Chrome добиться выполнения внешнего JavaScript-кода без предоставления дополнению расширенных полномочий (без unsafe-eval и unsafe-inline в manifest.json). Права доступа предполагают, что без unsafe-eval дополнение имеет возможность выполнить только код, входящий в локальную поставку, но предложенный метод даёт возможность обойти данное ограничение и выполнить в контексте дополнения любой JavaScript, загруженный с внешнего сайта...
18.07.2019 В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика (666 –26)
  В соответствии с действующими в Казахстане с 2016 года поправками к закону «О связи», многие казахские провайдеры, включая Kcell,...
18.07.2019 Уязвимость в прошивках BMC-контроллеров, затрагивающая серверы многих производителей (49 +5)
  Компания Eclypsium выявила две уязвимости в прошивках BMC-контроллера, поставляемого в серверах Lenovo ThinkServer, позволяющие локальному пользователю подменить прошивку или выполнить произвольный код на стороне чипа BMC...
17.07.2019 Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей (16 +7)
  Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В июльском обновлении в сумме устранено 319 уязвимостей...
16.07.2019 Неофициальный Telegram-клиент MobonoGram 2019 оказался троянским ПО (112 +10)
  Из каталога Google Play удалено приложение MobonoGram 2019, позиционируемое как неофициальный альтернативный клиент мессенджера Telegram и насчитывающее более 100 тысяч установок. Причиной удаления стало выявление поставки в составе программы троянского кода Android.Fakeyouwon, осуществляющего совершение вредоносных действий...
15.07.2019 В зависимостях к npm-пакету с установщиком PureScript выявлены вредоносные изменения (53 +4)
  В зависимостях к npm-пакету с установщиком PureScript выявлен вредоносный код, проявляющийся при попытке установки пакета purescript. Вредоносный код встроен через зависимости load-from-cwd-or-npm и rate-map. Примечательно, что сопровождением пакетов с данными зависимостями занимается изначальный автор npm-пакета с инсталлятором PureScript, который до недавних пор занимался сопровождением данного npm-пакета, но около месяца назад пакет перешёл к другим сопровождающим...
<< Предыдущая страница (позже)
Следующая страница (раньше) >>



Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру