The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

·22.10.2021 Атака на Intel SGX, позволяющая извлечь конфиденциальные данные или выполнить код в анклаве (42 +20)
  Исследователи из Оборонного научно-технического университета Народно-освободительной армии Китая, Национального университета Сингапура и Швейцарской высшей технической школы Цюриха разработали новый метод атаки на изолированные анклавы Intel SGX (Software Guard eXtensions). Атака получила название SmashEx и вызвана проблемами с реентерабельностью при обработке исключительных ситуаций в процессе работы runtime-компонентов для Intel SGX. Предложенный метод атаки даёт возможность при наличии контроля за операционной системой определить конфиденциальные данные, размещённые в анклаве, или организовать копирование своего кода в память анклава и его исполнение...
·21.10.2021 В репозитории NPM выявлены три пакета, выполняющих скрытый майнинг криптовалют (35 +13)
  В репозитории NPM выявлены три вредоносных пакета klow, klown и okhsa, которые прикрываясь функциональностью для разбора заголовка User-Agent (использовалась копия библиотеки UA-Parser-js) содержали вредоносные изменения, применяемые для организации майнинга криптовалют на системе пользователя. Пакеты были размещены одним пользователем 15 октября, но сразу выявлены сторонними исследователями, которые сообщили о проблеме администрации NPM. В итоге пакеты были удалены в течение дня после публикации, но успели набрать около 150 загрузок...
·21.10.2021 Раскрыта техника эксплуатации уязвимости в tty-подсистеме ядра Linux (101 +20)
  Исследователи из команды Google Project Zero опубликовали метод эксплуатации уязвимости (CVE-2020-29661) в реализации ioctl-обработчика TIOCSPGRP из tty-подсистемы ядра Linux, а также детально рассмотрели механизмы защиты, которые могли бы блокировать подобные уязвимости...
·19.10.2021 Техника определения PIN-кода по видеозаписи закрытого рукой ввода в банкомате (159 +20)
  Группа исследователей из Падуанского (Италия) и Делфтского (Нидерланды) университетов опубликовала метод использования машинного обучения для воссоздания введённого PIN-кода по видеозаписи прикрытой рукой области ввода в банкомате. При вводе PIN-кода из 4 цифр вероятность предсказания правильного кода оценена в 41%, учитывая возможность совершения трёх попыток до блокировки. Для PIN-кодов из 5 цифр вероятность предсказания составила 30%. Отдельно был проведён эксперимент, в ходе которого 78 добровольцев попытались предсказать PIN-код по аналогичным записанным видео. В этом случае вероятность успешного предсказания составила 7.92% при наличии трёх попыток...
·18.10.2021 В процессорах AMD выявлена ещё одна уязвимость, допускающая атаки класса Meltdown (155 +31)
  Группа исследователей из Грацского технического университета (Австрия) и Центра Гельмгольца по информационной безопасности (CISPA) раскрыла сведения об уязвимости (CVE-2021-26318) во всех процессорах AMD, делающей возможным проведение атак по сторонним каналам класса Meltdown (изначально предполагалось, что процессоры AMD не подвержены уязвимости Meltdown). С практической стороны атака может...
·13.10.2021 Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mitmproxy-iframe (33 +20)
  Автор mitmproxy, инструмента для анализа трафика HTTP/HTTPS, обратил внимание на появление в каталоге Python-пакетов PyPI (Python Package Index) форка своего проекта. Форк распространялся под похожим именем mitmproxy2 и несуществующей версией 8.0.1 (актуальный выпуск mitmproxy 7.0.4) с расчётом на то, что невнимательные пользователи воспримут пакет как новую редакцию основного проекта (тайпсквоттинг) и пожелают опробовать новую версию...
·12.10.2021 GitHub заблокировал SSH-ключи, сгенерированные при помощи библиотеки keypair (68 +30)
  GitHub заблокировал SSH-ключи пользователей Git-клиентов, использующих для генерации ключей JavaScript-библиотеку keypair. Например, под блокировку попали ключи Git-клиента GitKraken. Уязвимость приводит к формированию предсказуемых RSA-ключей из-за ошибки, существенно снижающей качество энтропии при генерации случайной последовательности для ключей. Проблема устранена в выпусках keypair 1.0.4 и в GitKraken 8.0.1...
·12.10.2021 Уязвимости в LibreOffice и Apache OpenOffice, позволяющие обойти проверку цифровой подписи (41 +9)
  Раскрыты сведения о трёх уязвимостях в офисных пакетах LibreOffice и Apache OpenOffice, позволяющих атакующим подготовить документы, выглядящие как подписанные заслуживающим доверия источником, или изменить дату уже подписанного документа. Проблемы были устранены в выпусках Apache OpenOffice 4.1.11 и LibreOffice 7.0.6/7.1.2 под видом не связанных с безопасностью ошибок (выпуски LibreOffice 7.0.6 и 7.1.2 опубликованы в начале мая, но сведения об уязвимости раскрыты только сейчас)...
·08.10.2021 Ещё одна уязвимость в Apache httpd, позволяющая обратиться за пределы корневого каталога сайта (84 +13)
  Найден новый вектор атаки на http-сервер Apache, который остался неисправленным в обновлении 2.4.50 и позволяет получить доступ к файлам из областей вне корневого каталога сайта. Кроме того, исследователями найден способ, позволяющий при наличии определённых нестандартных настроек не только прочитать системные файлы, но и удалённо выполнить свой код на сервере. Проблема проявляется только в выпусках 2.4.49 и 2.4.50, более ранние версии уязвимости не подвержены. Для устранения нового варианта уязвимости оперативно сформирован выпуск Apache httpd 2.4.51...
·07.10.2021 Уязвимость в PHP, позволяющая обойти ограничения, заданные в php.ini (113 +27)
  Опубликован метод обхода в интерпретаторе PHP ограничений, заданных при помощи директивы disable_functions и других настроек в php.ini. Напомним, что директива disable_functions даёт возможность запретить использование в скриптах определённых внутренних функций, например можно запретить "system, exec, passthru, popen, proc_open и shell_exec" для блокирования вызова внешних программ или fopen для запрета открытия файлов...
·06.10.2021 Выпуск Apache OpenOffice 4.1.11 (77 +8)
  После пяти месяцев разработки и семи с половиной лет с момента прошлого значительного выпуска сформирован корректирующий релиз офисного пакета Apache OpenOffice 4.1.11, в котором предложено 12 исправлений. Готовые пакеты подготовлены для Linux, Windows и macOS...
·05.10.2021 Уязвимость в http-сервере Apache 2.4.49, позволяющая получить файлы вне корня сайта (122 +28)
  В экстренном порядке сформировано обновление http-сервера Apache 2.4.50, в котором устранена уже активно эксплуатируемая 0-day уязвимость (CVE-2021-41773), позволяющая получить доступ к файлам из областей вне корневого каталога сайта. При помощи уязвимости можно загрузить произвольные системные файлы и исходные тексты web-скриптов, доступные для чтения пользователю, под которым запущен http-сервер. Разработчики были уведомлены о проблеме ещё 17 сентября, но смогли выпустить обновление только сегодня, после того как в сети были зафиксированы случаи применения уязвимости для атаки на сайты...
·04.10.2021 Обновление СУБД Redis 6.2.6, 6.0.16 и 5.0.14 с устранением 8 уязвимостей (31 +5)
  Опубликованы корректирующие выпуски CУБД Redis 6.2.6, 6.0.16 и 5.0.14, в которых устранено 8 уязвимостей. Всем пользователям рекомендовано срочно обновить Redis до новых версий...
·01.10.2021 Обновление Chrome 94.0.4606.71 с устранением 0-day уязвимостей (99 +3)
  Компания Google сформировала обновление Chrome 94.0.4606.71, в котором исправлены 4 уязвимости, в том числе две проблемы, уже применяемые злоумышленниками в эксплоитах (0-day). Детали пока не раскрываются, известно лишь, что первая уязвимость (CVE-2021-37975) вызвана обращением к области памяти после её освобождения (use-after-free) в JavaScript-движке V8, а вторая проблема (CVE-2021-37976) приводит к утечке информации. В анонсе новой версии также упомянута проблема CVE-2021-37974, связанная с обращением к области памяти после её освобождения в реализации режима Safe Browsing.
·27.09.2021 Firefox-дополнение Safepal Wallet осуществляло кражу криптовалют (153 +31)
  В каталоге дополнений к Firefox (AMO) выявлено вредоносное дополнение Safepal Wallet, которое выдавало себя за официальное дополнение для криптокошелька Safepal, но на деле осуществляло кражу имеющихся у пользователя средств после введения данных учётной записи. Оформление и описание были стилизованы под мобильное приложение Safepal...
<< Предыдущая страница (позже)
Следующая страница (раньше) >>



Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру