уязвимости

Как прошёл год у нас в T.Hunter? Одним словом, продуктивно. Ушедший 2024-й год наделал немало шума в сфере кибербезопасности, и мы не остались в стороне: проведя множество пентестов и выявив сотни уязвимостей, по нашему скромному мнению, мы внесли значительный вклад в укрепление безопасности...

Глобальная уязвимость может переплюнуть атаку на SolarWinds. Специалисты watchTowr Labs выявили глобальную уязвимость в цепочках поставок ПО, связанную с заброшенными хранилищами Amazon S3. Было обнаружено более 150 S3-бакетов, которые ранее использовались госструктурами, финансовыми...

В этой подборке представлены самые интересные уязвимости за январь 2025 года. Подведем вместе итоги первого месяца этого года, поехали! Навигация по уязвимостям: ➡️ Исправленная 0-day уязвимость в продуктах Apple ➡️ Многочисленные уязвимости в продуктах Cisco ➡️ Выполнение команд ОС в шлюзах...

Уязвимость функции Google OAuth «Войти через Google» может позволить злоумышленникам при регистрации доменов несуществующих стартапов получить доступ к конфиденциальным данным бывших учётных записей сотрудников, связанных с различными платформами программного обеспечения как услуги (SaaS). Её...

Уязвимость может использоваться без ведома пользователей. В инструменте для сжатия файлов 7-Zip обнаружена уязвимость , позволяющая злоумышленникам удаленно выполнять вредоносный код через специально подготовленные архивы. Для устранения проблемы разработчики выпустили обновление, которое...

Альянс Five Eyes фиксирует исторический сдвиг в тактике хакеров. Агентства кибербезопасности стран альянса Five Eyes (США, Великобритания, Австралия, Канада и Новая Зеландия) предупреждают о росте использования уязвимостей нулевого дня для проникновения в сети жертв. В отличие от предыдущих...

Среди исправленных Microsoft «багов» — два, активно эксплуатируемых хакерами, и три — критические. Неудивительное число Корпорация Microsoft выпустила кумулятивный патч для своих продуктов, исправляющий в общей сложности 118...

Повлияет ли технический анализ уязвимости на безопасность пользователей? image Специалисты опубликовали код эксплойта и детальный анализ уязвимости нулевого дня Google Chrome. PoC-эксплоит относится к ошибке типа type confusion с идентификатором CVE-2024-5274 (оценка CVSS: 8.8) в движке V8...

Узнайте все об охотничьих запросах: их принципы, инструменты и методологии. Повысьте уровень кибербезопасности вашей организации с помощью проактивного поиска угроз. В эпоху постоянно растущих киберугроз традиционных методов защиты уже недостаточно. Охотничьи запросы, или Threat Hunting...

Google объявила о пятикратном увеличении выплат за ошибки, обнаруженные в системах и приложениях, в рамках программы вознаграждения за уязвимости. Теперь их максимальный размер составит $151 515. «Поскольку наши системы со временем стали более безопасными, мы знаем, что поиск ошибок занимает...

Эксперты Positive Technologies в январе 2024 отнесли шесть уязвимостей к статусу трендовых. Среди них уязвимости, уже использовавшиеся в кибератаках, и уязвимости, эксплуатация которых прогнозируется на ближайшее время. К трендовым были отнесены уязвимости, обнаруженные в Atlassian...

Какими методами можно укрепить оборону промышленных систем? Аббревиатура SCADA дословно расшифровывается как «Supervisory Control And Data Acquisition» или «Система надзора и сбора данных». В более широком смысле это централизованные системы управления, предназначенные для облегчения надзора и...

В этой заметке расскажем о самых опасных уязвимостях сетевого периметра, которые мы в CyberOK отслеживали в сентябре 2023 года. Сегодня в топ-5: Гонки на Битриксе (BDU:2023-05857); Экспериментальный разгласитель почты (ZDI-23-1473 и их друзья); Когда Пойнт слишком Шеринг (CVE-2023–29357); Не...

Чем в действительности могут угрожать небезопасные прямые ссылки на объекты? Небезопасные прямые ссылки на объекты (Insecure Direct Object Reference, IDOR) являются распространёнными и потенциально разрушительными уязвимостями, возникающими в результате неграмотной настройки доступов в...

Считаю, что эта статья будет полезна при Security Testing, так как поможет получить представление о некоторых командах этого стека и возможных векторах атак. Дисклеймер Сокращения BSC – Base Station Subsystem – контроллеры базовых станций MSC – Mobile-services Switching Centre – коммутатор...

Требуется специалист по информационной безопасности на разовую работу, а именно, поиск уязвимости в определенных сервисах. 2500$ в случае успеха. Связь тг @resuslik Гарант.

В новейшей версии Google Chrome (88.0.4324.150 ) для Windows, Mac и Linux, вышедшей 4 февраля 2021 года, была устранена 0-day уязвимость в JavaScript движке V8, которую уже используют хакеры. К сожалению, никаких деталей этих атак компания не раскрывает. Уязвимость в конце января 2021 года...

[GeekUniversity] Факультет информационной безопасности [1-4 четверть] (2019-2020) Описание: Общий курс по программе обучения на Факультете информационной безопасности GeekUniversity состоит из 4 четвертей обучения, курсов вне четверти и факультативных курсов, согласно следующей тематике: 1...

Эксперты антивирусной компании ESET обнаружили ранее неизвестную уязвимость Kr00k (CVE-2019-15126), затрагивающую устройства с Wi-Fi-чипами производства Broadcom и Cypress, говорится в сообщении ESET. Проведенные экспертами компании тесты показали, что до установки обновлений с исправлениями...

Проект индустрии децентрализованного финансирования (DeFi) bZx снова был атакован. Однако на этот раз сумма убытка еще больше – злоумышленник похитил 2 388 ETH (около $645 000). В социальной сети Twitter появилось сообщение о том, что bZx снова приостановила работу в связи с подозрительными...