The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

13.03.2021 Google продемонстрировал эксплуатацию уязвимостей Spectre через выполнение JavaScript в браузере (330 +27)
  Компания Google опубликовала несколько прототипов эксплоитов, показывающих возможность эксплуатации уязвимостей класса Spectre при выполнении JavaScript-кода в браузере в обход ранее добавленных методов защиты. Эксплоиты могут использоваться для получения доступа к памяти процесса, выполняющего обработку web-контента в текущей вкладке. Для тестирования работы эксплоита запущен сайт leaky.page, а код с описанием логики работы размещён на GitHub...
13.03.2021 Обновление Chrome 89.0.4389.90 с устранением 0-day уязвимости (40 +1)
  Компания Google сформировала обновление Chrome 89.0.4389.90, в котором исправлены пять уязвимостей, в том числе проблема CVE-2021-21193, уже применяемая злоумышленниками в эксплоитах (0-day). Детали пока не раскрываются, известно лишь, что уязвимость вызвана обращением к уже освобождённой области памяти в браузерном движке Blink...
10.03.2021 Cloudflare, Tesla многие другие компании скомпрометированы через камеры наблюдения Verkada (203 +48)
  В результате взлома инфраструктуры компании Verkada, занимающейся поставкой умных камер наблюдения с поддержкой распознавания лиц, злоумышленники получили полный доступ к более 150 тысячам камер, используемым в таких компаниях, как Cloudflare, Tesla, OKTA, Equinox, а также во многих банках, тюрьмах, школах, полицейских участках и больницах...
09.03.2021 Обновление Git с устранением уязвимости, допускающей удалённое выполнение кода (38 +16)
  Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3, 2.27.1, 2.28.1 и 2.29.3, в которых устранена уязвимость (CVE-2021-21300), позволяющая организовать удалённое выполнение кода при клонировании репозитория злоумышленника с использованием команды "git clone". Уязвимости подвержены все выпуски Git, начиная с версии 2.15...
09.03.2021 Атака по извлечению данных из кэша CPU, реализуемая в web-браузере без JavaScript (121 +44)
  Группа исследователей из нескольких американских, израильских и австралийских университетов разработала три работающих в web-браузерах атаки для извлечения информации о содержимом процессорного кэша. Один метод работает в браузерах без JavaScript, а два остальных в обход существующих методов защиты от атак по сторонним каналам, в том числе применяемых в Tor browser и DeterFox. Код для демонстрации атак, а также необходимые для атак серверные компоненты, опубликованы на GitHub...
09.03.2021 GitHub устранил уязвимость, приводившую к подмене сеанса пользователя (28 +5)
  GitHub сообщил о сбросе всех аутентифицированных сеансов к GitHub.com и необходимости подключиться к сервису вновь из-за выявления проблемы с безопасностью. Отмечается, что проблема проявляется очень редко и затрагивает лишь небольшое число сеансов, но потенциально представляет большую опасность, так как позволяет одному аутентифицированному пользователю получить доступ к сеансу другого пользователя...
08.03.2021 Утечка данных через кольцевую шину CPU Intel (324 +43)
  Группа исследователей из Иллинойсского университета разработала новую технику атаки по сторонним каналам, манипулирующую утечкой информации через кольцевую шину (Ring Interconnect) процессоров Intel. Атака позволяет выделять сведения о работе с памятью в другом приложении и отслеживать информацию о времени нажатия клавиш. Исследователи опубликовали инструментарий для проведения сопутствующих измерений и несколько прототипов эксплоитов...
03.03.2021 Трудноустранимые уязвимости в GRUB2, позволяющие обойти UEFI Secure Boot (341 +26)
  Раскрыта информация о 8 уязвимостях в загрузчике GRUB2, позволяющих обойти механизм UEFI Secure Boot и добиться запуска неверифицированного кода, например, осуществить внедрение вредоносного ПО, работающего на уровне загрузчика или ядра...
02.03.2021 Опасные уязвимости в системе управления конфигурацией SaltStack (34 +9)
  В новых выпусках системы централизованного управления конфигурацией SaltStack 3002.5, 3001.6 и 3000.8 устранена уязвимость (CVE-2020-28243) позволяющая непривилегированному локальному пользователю хоста повысить свои привилегии в системе. Проблема вызвана ошибкой в обработчике salt-minion, применяемом для приёма команд с центрального сервера. Уязвимость была выявлена в ноябре, но исправлена только сейчас...
02.03.2021 Опубликован разбор инцидента с потерей контроля над доменом perl.com (31 +10)
  Брайан Фой (brian d foy), основатель организации Perl Mongers, опубликовал подробный разбор инцидента, в результате которого домен perl.com был захвачен посторонними лицами. Захват домена не затронул серверную инфраструктуру проекта и был совершён на уровне смены владельца и замены параметров DNS-серверов у регистратора. Утверждается, что компьютеры ответственных за домен также не были скомпрометированы и атакующие пользовались методами социальной инженерии для введения регистратора Network Solutions в заблуждение и смены данных о владельце, используя фальшивые документы для подтверждения прав на владение доменом...
01.03.2021 Уязвимость в wpa_supplicant, не исключающая удалённое выполнение кода (75 +22)
  В пакете wpa_supplicant, используемом для организации подключения к беспроводной сети во многих дистрибутивах GNU/Linux, NetBSD и Android, выявлена уязвимость (CVE-2021-27803), которая потенциально может быть использована для выполнения кода злоумышленника при обработке специально оформленных управляющих кадров Wi-Fi Direct (Wi-Fi P2P). Для проведения атаки злоумышленник должен находиться в пределах досягаемости беспроводной сети, чтобы отправить жертве специально оформленный набор кадров...
24.02.2021 Уязвимости во FreeBSD, позволяющие обойти ограничения jail-окружений (111 +23)
  В развиваемой проектом FreeBSD системе изолированных окружений jail выявлены две уязвимости:...
19.02.2021 В Brave выявлена утечка через DNS сведений об открываемых в Tor-режиме onion-сайтах (113 +16)
  В web-браузере Brave выявлена утечка через DNS данных об onion-сайтах, отрываемых в режиме приватного просмотра, в котором трафик перенаправляется через сеть Tor. Решающие проблему исправления уже приняты в кодовую базу Brave и в ближайшее время войдут в состав очередного стабильного обновления...
19.02.2021 Уязвимость в Python, проявляющаяся при обработке непроверенных дробных чисел в ctypes (94 +15)
  Доступны корректирующие выпуски языка программирования Python 3.7.10 и 3.6.13, в которых устранена уязвимость (CVE-2021-3177), способная привести к исполнению кода при обработке непроверенных чисел с плавающей запятой в обработчиках, вызывающих функции на языке Си при помощи механизма ctypes. Проблема также затрагивает ветки Python 3.8 и 3.9, но обновления для них пока находятся в состоянии кандидата в релизы (релиз запланирован на 1 марта)...
18.02.2021 Уязвимость в DNS-сервере BIND, не исключающая удалённое выполнение кода (62 +6)
  Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.11.28 и 9.16.12, а также находящейся в разработке экспериментальной ветки 9.17.10. В новых выпусках устранена уязвимость (CVE-2020-8625), приводящая к переполнению буфера и потенциально способная привести к удалённому выполнению кода злоумышленника. Следов наличия рабочих эксплоитов пока не выявлено...
<< Предыдущая страница (позже)
Следующая страница (раньше) >>



Спонсоры:
Inferno Solutions
Ideco
A-Real
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру