Главная » Архив меток: уязвимости

Архив меток: уязвимости

Исследование: половина компаний патчит уязвимости в течение месяца — почему?

Исследователи из компании Kollective, занимающейся разработкой программно-определяемых сетей доставки контента, провели опрос среди двух сотен американских и британских организаций. Они обнаружили, что почти половине компаний на закрытие известной уязвимости нужен целый месяц. Расскажем, почему так происходит, и что с этим можно сделать. / PxHere / PD Компании слишком долго устанавливают патчи Опрос Kollective проводился среди руководителей IT-отделов. 45% респондентов из ...

Читать далее »

Эксперт Positive Technologies обнаружил возможность раскрытия ключей шифрования в Intel ME

Изображение: Unsplash Эксперт Positive Technologies Дмитрий Скляров обнаружил ошибку в работе механизмов обеспечения безопасности MFS — файловой системы, которую ME использует для хранения данных. Intel устранила серьезную уязвимость в прошивке Intel ME. В результате эксплуатации этой уязвимости злоумышленники могут манипулировать состоянием MFS и извлечь некоторые важные секреты. В механизмах безопасности MFS активно задействуются криптографические ключи. В подсистеме Intel ME (Management ...

Читать далее »

Foreshadow: предвестник неприятностей?

Текущий 2018 год интересен тем, что чуть ли не каждый месяц появляется информация о новых аппаратных уязвимостях: Spectre и Meltdown. — были опубликованы громкие новости об уязвимостях Foreshadow и L1Terminal Fault, которые, как сообщается, могут обойти даже механизм SGX (Sofware Guard Extensions), ранее считавшийся практически невзламываемым. Совсем недавно — пару недель назад! Можно ли от них защититься и если можно, ...

Читать далее »

Security Week 31: Пятьдесят оттенков небезопасности в Android

Давно мы что-то не писали про безопасность Android. В целом ситуация там вроде бы неплохая: таких серьезных проблем, как трехлетней давности баг Stagefright, пока не находили. С 2016 года развивается программа Android One, в которой устройства среднего уровня получают единую версию ОС и, соответственно, максимально быструю доставку обновлений безопасности. Скорость доставки апдейтов до традиционных вендоров тоже, по данным Google, ускорилась. ...

Читать далее »

[Перевод] Разница между красными, синими и фиолетовыми командами

Здравствуйте, коллеги. Напоминаем, что не так давно у нас вышли две классные классические книги о хакинге и анализе вредоносного ПО. А также на подходе великолепная книга о дистрибутиве Kali Linux. Тем не менее, мы по-прежнему полагаем, что тема компьютерной безопасности у нас охвачена не полностью и хотели бы поинтересоваться вашим мнением о книге Юрия Диогенеса и Эрдала Озкая о взаимодействии ...

Читать далее »

Обнаружен новый вариант атаки Spectre с возможностью удаленного получения данных по сети

Ранее в этом году уже были показаны типы атак Spectre и Meltdown. Они позволяют атаковать жертву с минимальным использованием ресурсов. Специальным образом сформированный JavaScript может быть использован для выполнения атаки Spectre. Облачные сервисы, насколько можно было понять, находятся в безопасности — оба типа атак применимы лишь к проникновению на дискретные сетевые ресурсы. Ее предоставили исследователи из Грацского технологического университета имени ...

Читать далее »

PVS-Studio как SAST решение

До недавнего времени в своих статьях мы позиционировали PVS-Studio как инструмент для выявления ошибок в коде. При этом мы почти не рассматривали PVS-Studio в контексте безопасности. Попробуем немного исправить эту ситуацию и взглянем на инструмент с точки зрения тестирования защищённости приложений и DevSecOps практик.PVS-Studio является средством статического тестирования защищённости приложений (Static Application Security Testing, SAST). Другими словами, анализатор PVS-Studio выявляет ...

Читать далее »

[Из песочницы] Обзор уязвимости в Winbox от Mikrotik. Или большой фейл

Всем доброго времени суток, наверняка многие уже слышали про недавнюю уязвимость в роутерах Mikrotik, позволяющую извлечь пароли всех пользователей. В этой статье я бы хотел подробно показать и разобрать суть данной уязвимости. Если вам не интересно узнать о причинах и внутреннем устройстве той или иной уязвимости, можете не читать дальше. Весь материал предоставляется лишь в ознакомительных целях, поэтому кода, эксплуатирующего ...

Читать далее »

«Сбербанк Управление Активами» вносит в анкету новых клиентов посторонний e-mail

Если кратко — в анкетные данные нового клиента вносится данные «левого почтового аккаунта» при отсуствии собственного электронного ящика у клиента. Хочу поделиться с общественностью весьма подозрительными наблюдениями о работе с персональными данными вкладчика в АО «Сбербанк Управление Активами». Насколько это серьезно, на данный момент сложно сказать, но, очевидно, что в принципах ИБ лучше перебдеть, чем не добдеть. Ниже следует более ...

Читать далее »

Поиск уязвимостей в смарт-контрактах: обзор конкурса EtherHack на Positive Hack Days 8

Участники искали уязвимости в смарт-контрактах на скорость. В этом году на PHDays впервые проходил конкурс под названием EtherHack. В этой статье мы расскажем вам о заданиях конкурса и возможных способах их решения. Azino 777 Выиграй лотерею и сорви банк! Первые три задания были связаны с ошибками при генерации псевдослучайных чисел, о которых мы недавно рассказывали: Предсказываем случайные числа в умных ...

Читать далее »