Архивы Security - AsaDagar

Метка: Security

  • Обновление СУБД Redis 6.2.6, 6.0.16 и 5.0.14 с устранением 8 уязвимостей

    Обновление СУБД Redis 6.2.6, 6.0.16 и 5.0.14 с устранением 8 уязвимостей

    Опубликованы корректирующие выпуски СУБД Redis 6.2.6, 6.0.16 и 5.0.14, в которых устранено 8 уязвимостей. Всем пользователям рекомендовано срочно обновить Redis до новых версий. Четыре уязвимости (CVE-2021-41099, CVE-2021-32687, CVE-2021-32628, CVE-2021-32627) могут привести к переполнению буфера при обработке специально оформленных команд и сетевых запросов, но для эксплуатации необходимо чтобы некоторые параметры конфигурации (proto-max-bulk-len, set-max-intset-entries, hash-max-ziplist-*, proto-max-bulk-len, client-query-buffer-limit) […]

  • Google выделил миллион долларов на работу по повышению безопасности открытого ПО

    Google выделил миллион долларов на работу по повышению безопасности открытого ПО

    Компания Google представила инициативу Secure Open Source (SOS), в рамках которой будет организована выплата премий за проведение работ, связанных с усилением безопасности критически важного открытого ПО. На первые выплаты выделен миллион долларов, но если инициатива будет признана успешной, инвестирование в проект будет продолжено. Предусмотрены следующие премии: $10000 и больше — за внесение сложных, имеющих большое […]

  • Обновление Chrome 94.0.4606.71 с устранением 0-day уязвимостей

    Обновление Chrome 94.0.4606.71 с устранением 0-day уязвимостей

    Компания Google сформировала обновление Chrome 94.0.4606.71, в котором исправлены 4 уязвимости, в том числе две проблемы, уже применяемые злоумышленниками в эксплоитах (0-day). Детали пока не раскрываются, известно лишь, что первая уязвимость (CVE-2021-37975) вызвана обращением к области памяти после её освобождения (use-after-free) в JavaScript-движке V8, а вторая проблема (CVE-2021-37976) приводит к утечке информации. В анонсе новой […]

  • HackerOne реализовал выплату вознаграждений за выявление уязвимостей в открытом ПО

    HackerOne реализовал выплату вознаграждений за выявление уязвимостей в открытом ПО

    Платформа HackerOne, дающая возможность исследователям безопасности информировать компании и разработчиков программных продуктов о выявлении уязвимостей и получать за это вознаграждения, сообщила о включении открытого программного обеспечения в область действия проекта Internet Bug Bounty. Выплаты вознаграждений теперь могут быть совершены не только за выявление уязвимостей в корпоративных системах и сервисах, но за информирование о проблемах в […]

  • Уязвимость в драйвере процессора AMD позволяет обойти KASLR и раскрыть данные

    Уязвимость в драйвере процессора AMD позволяет обойти KASLR и раскрыть данные

    Специалисты компании AMD выпустили исправление для опасной уязвимости в одном из драйверов процессора, эксплуатация которой позволяет выполнить сброс системной памяти и похитить конфиденциальную информацию с компьютеров на базе AMD. Уязвимость (CVE-2021-26333), обнаруженная соучредителем ИБ-фирмы ZeroPeril Кириакосом Эконому (Kyriakos Economou), содержится в драйвере для AMD Platform Security Processor (PSP), который является эквивалентом технологии Intel SGX. Выполняя […]

  • Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываемом в Linux-окружениях Microsoft Azure

    Удалённо эксплуатируемая уязвимость в OMI-агенте, навязываемом в Linux-окружениях Microsoft Azure

    Клиенты облачной платформы Microsoft Azure, использующие Linux в виртуальных машинах, столкнулись с критической уязвимостью (CVE-2021-38647), позволяющей удалённо выполнить код с правами root. Уязвимость получила кодовое имя OMIGOD и примечательна тем, что проблема присутствует в приложении OMI Agent, которое без лишней огласки устанавливается в Linux-окружения. OMI Agent активируется при использовании таких сервисов, как Azure Automation, Azure […]

  • Anonymous опубликовали 180 ГБ данных регистратора доменов Epik

    Anonymous опубликовали 180 ГБ данных регистратора доменов Epik

    Хактивисты Anonymous заявили о похищении почти двух сотен гигабайт данных у регистратора доменов Epik. В список клиентов компании входят праворадикальные сайты, в том числе Texas GOP, Gab, Parler, 8chan и пр. Похищенные данные были опубликованы в виде torrent-файлов, а также выложены на сайте Distributed Denial of Secrets (DDoSecrets). По словам Anonymous, набор данных, общий объем […]

  • Zloader отключает Защитника Windows на системах жертв

    Zloader отключает Защитника Windows на системах жертв

    Организаторы новой вредоносной кампании Zloader в ходе кибератак отключают антивирусное решение Microsoft Defender (Защитник Windows) на компьютерных системах жертв во избежание обнаружения. Злоумышленники также изменили вектор распространения вредоносных программ со спама или фишинговых писем на рекламу TeamViewer с помощью Google Adwords, перенаправляя жертв на вредоносные сайты. Жертв обманом заставляют загружать подписанные вредоносные установщики MSI, предназначенные […]

  • Уязвимость в Travis CI поставила под угрозу тысячи проектов

    Уязвимость в Travis CI поставила под угрозу тысячи проектов

    Уязвимость в web-сервисе для сборки и тестирования программного обеспечения Travis CI поставила под угрозу тысячи полагающихся на него проектов с открытым исходным кодом. Так, сервис насчитывает порядка 600 тыс. пользователей и используется более чем в 900 тыс. проектов с открытым исходным кодом. По словам исследователя безопасности Феликса Ланжа (Felix Lange), из-за уязвимости в Travis CI […]

  • Linux-вариант Cobalt Strike Beacon атакует организации по всему миру

    Linux-вариант Cobalt Strike Beacon атакует организации по всему миру

    Исследователи израильской ИБ-компании Intezer рассказали о недавно обнаруженных новых версиях Cobalt Strike Beacon для Linux и Windows, использующихся хакерами в атаках на правительственные организации, банки, телекоммуникационные и IT-компании. Пока не детектируемая антивирусными решениями версия Cobalt Strike Beacon под кодовым названием Vermilion Strike представляет собой редкий случай портирования на Linux инструмента, традиционно использующегося «красными» командами тестировщиков […]