The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

·19.10.2021 Техника определения PIN-кода по видеозаписи закрытого рукой ввода в банкомате (159 +20)
  Группа исследователей из Падуанского (Италия) и Делфтского (Нидерланды) университетов опубликовала метод использования машинного обучения для воссоздания введённого PIN-кода по видеозаписи прикрытой рукой области ввода в банкомате. При вводе PIN-кода из 4 цифр вероятность предсказания правильного кода оценена в 41%, учитывая возможность совершения трёх попыток до блокировки. Для PIN-кодов из 5 цифр вероятность предсказания составила 30%. Отдельно был проведён эксперимент, в ходе которого 78 добровольцев попытались предсказать PIN-код по аналогичным записанным видео. В этом случае вероятность успешного предсказания составила 7.92% при наличии трёх попыток...
·18.10.2021 В процессорах AMD выявлена ещё одна уязвимость, допускающая атаки класса Meltdown (155 +30)
  Группа исследователей из Грацского технического университета (Австрия) и Центра Гельмгольца по информационной безопасности (CISPA) раскрыла сведения об уязвимости (CVE-2021-26318) во всех процессорах AMD, делающей возможным проведение атак по сторонним каналам класса Meltdown (изначально предполагалось, что процессоры AMD не подвержены уязвимости Meltdown). С практической стороны атака может...
·13.10.2021 Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mitmproxy-iframe (33 +20)
  Автор mitmproxy, инструмента для анализа трафика HTTP/HTTPS, обратил внимание на появление в каталоге Python-пакетов PyPI (Python Package Index) форка своего проекта. Форк распространялся под похожим именем mitmproxy2 и несуществующей версией 8.0.1 (актуальный выпуск mitmproxy 7.0.4) с расчётом на то, что невнимательные пользователи воспримут пакет как новую редакцию основного проекта (тайпсквоттинг) и пожелают опробовать новую версию...
·12.10.2021 GitHub заблокировал SSH-ключи, сгенерированные при помощи библиотеки keypair (68 +30)
  GitHub заблокировал SSH-ключи пользователей Git-клиентов, использующих для генерации ключей JavaScript-библиотеку keypair. Например, под блокировку попали ключи Git-клиента GitKraken. Уязвимость приводит к формированию предсказуемых RSA-ключей из-за ошибки, существенно снижающей качество энтропии при генерации случайной последовательности для ключей. Проблема устранена в выпусках keypair 1.0.4 и в GitKraken 8.0.1...
·12.10.2021 Уязвимости в LibreOffice и Apache OpenOffice, позволяющие обойти проверку цифровой подписи (41 +9)
  Раскрыты сведения о трёх уязвимостях в офисных пакетах LibreOffice и Apache OpenOffice, позволяющих атакующим подготовить документы, выглядящие как подписанные заслуживающим доверия источником, или изменить дату уже подписанного документа. Проблемы были устранены в выпусках Apache OpenOffice 4.1.11 и LibreOffice 7.0.6/7.1.2 под видом не связанных с безопасностью ошибок (выпуски LibreOffice 7.0.6 и 7.1.2 опубликованы в начале мая, но сведения об уязвимости раскрыты только сейчас)...
·08.10.2021 Ещё одна уязвимость в Apache httpd, позволяющая обратиться за пределы корневого каталога сайта (84 +13)
  Найден новый вектор атаки на http-сервер Apache, который остался неисправленным в обновлении 2.4.50 и позволяет получить доступ к файлам из областей вне корневого каталога сайта. Кроме того, исследователями найден способ, позволяющий при наличии определённых нестандартных настроек не только прочитать системные файлы, но и удалённо выполнить свой код на сервере. Проблема проявляется только в выпусках 2.4.49 и 2.4.50, более ранние версии уязвимости не подвержены. Для устранения нового варианта уязвимости оперативно сформирован выпуск Apache httpd 2.4.51...
·07.10.2021 Уязвимость в PHP, позволяющая обойти ограничения, заданные в php.ini (113 +27)
  Опубликован метод обхода в интерпретаторе PHP ограничений, заданных при помощи директивы disable_functions и других настроек в php.ini. Напомним, что директива disable_functions даёт возможность запретить использование в скриптах определённых внутренних функций, например можно запретить "system, exec, passthru, popen, proc_open и shell_exec" для блокирования вызова внешних программ или fopen для запрета открытия файлов...
·06.10.2021 Выпуск Apache OpenOffice 4.1.11 (77 +8)
  После пяти месяцев разработки и семи с половиной лет с момента прошлого значительного выпуска сформирован корректирующий релиз офисного пакета Apache OpenOffice 4.1.11, в котором предложено 12 исправлений. Готовые пакеты подготовлены для Linux, Windows и macOS...
·05.10.2021 Уязвимость в http-сервере Apache 2.4.49, позволяющая получить файлы вне корня сайта (122 +28)
  В экстренном порядке сформировано обновление http-сервера Apache 2.4.50, в котором устранена уже активно эксплуатируемая 0-day уязвимость (CVE-2021-41773), позволяющая получить доступ к файлам из областей вне корневого каталога сайта. При помощи уязвимости можно загрузить произвольные системные файлы и исходные тексты web-скриптов, доступные для чтения пользователю, под которым запущен http-сервер. Разработчики были уведомлены о проблеме ещё 17 сентября, но смогли выпустить обновление только сегодня, после того как в сети были зафиксированы случаи применения уязвимости для атаки на сайты...
·04.10.2021 Обновление СУБД Redis 6.2.6, 6.0.16 и 5.0.14 с устранением 8 уязвимостей (31 +5)
  Опубликованы корректирующие выпуски CУБД Redis 6.2.6, 6.0.16 и 5.0.14, в которых устранено 8 уязвимостей. Всем пользователям рекомендовано срочно обновить Redis до новых версий...
·01.10.2021 Обновление Chrome 94.0.4606.71 с устранением 0-day уязвимостей (99 +3)
  Компания Google сформировала обновление Chrome 94.0.4606.71, в котором исправлены 4 уязвимости, в том числе две проблемы, уже применяемые злоумышленниками в эксплоитах (0-day). Детали пока не раскрываются, известно лишь, что первая уязвимость (CVE-2021-37975) вызвана обращением к области памяти после её освобождения (use-after-free) в JavaScript-движке V8, а вторая проблема (CVE-2021-37976) приводит к утечке информации. В анонсе новой версии также упомянута проблема CVE-2021-37974, связанная с обращением к области памяти после её освобождения в реализации режима Safe Browsing.
·27.09.2021 Firefox-дополнение Safepal Wallet осуществляло кражу криптовалют (153 +31)
  В каталоге дополнений к Firefox (AMO) выявлено вредоносное дополнение Safepal Wallet, которое выдавало себя за официальное дополнение для криптокошелька Safepal, но на деле осуществляло кражу имеющихся у пользователя средств после введения данных учётной записи. Оформление и описание были стилизованы под мобильное приложение Safepal...
·24.09.2021 GitHub добавил поддержку отслеживания уязвимостей в проектах на языке Rust (190 +13)
  Компания GitHub объявила о добавлении поддержки языка Rust в каталог GitHub Advisory Database, в котором публикуются сведения об уязвимостях, затрагивающих проекты, размещённые на GitHub, а также выполняется отслеживание проблем в пакетах, связанных зависимостями с уязвимым кодом...
·21.09.2021 Уязвимость в OpenOffice, позволяющая выполнить код при открытии файла (78 +18)
  В офисном пакете Apache OpenOffice выявлена уязвимость (CVE-2021-33035), позволяющая добиться выполнения кода при открытии специально оформленного файла в формате DBF. Выявивший проблему исследователь предупредил о создании рабочего эксплоита для платформы Windows. Исправление уязвимости пока доступно только в форме патча в репозитории проекта, который вошёл в состав тестовых сборок OpenOffice 4.1.11. Обновления для стабильной ветки пока не сформировано...
·19.09.2021 Уязвимость в подсистеме io_uring ядра Linux, позволяющая поднять свои привилегии (30 +15)
  В ядре Linux выявлена уязвимость (CVE-2021-41073), позволяющая локальному пользователю поднять свои привилегии в системе. Проблема вызвана ошибкой в реализации интерфейса асинхронного ввода/вывода io_uring, приводящей к обращению к уже освобождённому блоку памяти. Отмечается, что исследователем удалось добиться освобождения памяти по заданному смещению при манипуляции с функцией loop_rw_iter() со стороны непривилегированного пользователя, что делает возможным создание рабочего эксплоита. Проблема пока устранена только в виде патча, который бэкпортирован в стабильные ветки ядра, но обновление ещё не выпущено (в сегодняшние обновления 5.14.6, 5.13.19 и 5.10.67 исправление не вошло)...
<< Предыдущая страница (позже)
Следующая страница (раньше) >>



Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру