Уязвимости

Eset: уязвимостью в Microsoft Exchange воспользовались по крайней мере десять хакерских групп

Преступники используют уязвимость не только для кражи данных, но и для установки на взломанные серверы программы для майнинга криптовалют.

Check Point: китайские хакеры украли свои программы у американских кибершпионов

Ряд функций, которые сравнивали исследователи, настолько похожи, что объяснить это можно только прямым заимствованием.

Число разработчиков в GitHub приближается к 100 миллионам

Отчет '2020 State of the Octoverse' констатирует рост активности разработчиков и увеличение вклада в создание ПО с открытым кодом со стороны тех из них, кто находится за пределами США.

АНБ: Российские хакеры атакуют уязвимости в продуктах VMware

В компании выпустили обновление и рекомендуют установить его в срочном порядке.

Конгресс США принял закон о безопасности Интернета вещей

Наряду с другими активностями планируется разработать процедуры получения и публикации информации об уязвимостях в подключаемых устройствах.

Trend Micro: шлюзы протоколов — слабое место в системе безопасности

Уязвимости в устройствах, переводящих данные в промышленных сетях из одного протокола в другой, ставят под угрозу технологические процессы предприятий.

RiskIQ: в условиях удаленки возможности атак расширяются

Половина из списка 10 тыс. наиболее популярных веб-сайтов работает на известных CMS-платформах, поиск уязвимостей в которых — популярное занятие хакеров.

Тестирование безопасности

Любое дополнительное подключение к Интернету вещей нового устройства, создающего дополнительные возможности для пользователей, увеличивает вероятность кибератак, число которых растет вместе с распространением оборудования, имеющего стандартные элементы, например порты Ethernet и программный стек Linux. Риск-ориентированное тестирование безопасности, выполняемое с помощью сочетания оптимально подобранных методов и инструментов, позволяет укреплять безопасность критически важных систем в рамках четко заданных процессов. Какие технологии тестирования безопасности промышленного класса доступны сегодня?

В iPhone и iPad найдена уязвимость, остававшаяся незамеченной несколько лет

В Apple наличие уязвимости признали, пообещав, что в ближайшем пакете обновлений она будет устранена.

DeepCode научился анализировать код на Си и C++

Облачный сервис на основе глубинного обучения также поддерживает поиск уязвимостей и потенциальных ошибок Java, JavaScript, TypeScript и Python.

CSO: премии за поиск уявимостей — взятка исследователю за его молчание

Такая практика может вступить в противоречие с трудовым законодательством и нормативными актами, регламентирующими защиту личных данных пользователей.

Против новой атаки на анклавы Intel SGX бессильны средства защиты от Spectre и Meltdown

Суть LVI состоит в «отравлении» буферов процессора специально подготовленными данными, влияющими на спекулятивное выполнение кода, вызывая исключения определенного типа.

Microsoft: найдена серьезная ошибка в работе с криптографическими сертификатами в Windows

Уязвимость в Windows 10, Windows Server 2016 и Windows Server 2019 нашли в Агентстве национальной безопасности США, сообщает Washington Post.

Из защищенных областей памяти процессоров Intel удалось дистанционно извлечь данные

Манипуляции с напряжением питания чипов позволили исследователям реализовать успешную атаку на анклавы SGX, призванные гарантировать защищенность данных.

Брешь в команде Linux sudo позволяет несанкционированно выполнять операции с привилегиями root

Команда, призванной ограничивать права пользователей, из-за серьезной уязвимости дает возможность добиваться обратного.

Исследователи преднамеренно создали уязвимый блокчейн

Проект под названием FumbleChain реализован на Python 3.0. Желающие могут вносить изменения в код и организовывать на его основе конкурсы по поиску брешей.

Уязвимости в VxWorks дают возможность удаленного исполнения кода

Системы оставались уязвимыми на протяжении 13 лет. VxWorks используется примерно в двух миллиардах подключенных к сети устройств, в том числе, в контроллерах промышленных систем и медицинском оборудовании.

В процессорах Intel и AMD обнаружена новая уязвимость типа Spectre

Специалисты Bitdefender выявили три возможных сценария атаки, позволяющих обойти механизмы защиты памяти, в том числе те, что были созданы для противодействия атакам Spectre.

Дыры в системах видеонаблюдения обойдутся Cisco в 9 миллионов долларов

В Cisco уверяют, что случаев взлома систем Video Surveillance Manager из-за имевшихся в них уязвимостей отмечено не было.

Meltdown, эпизод 2? В процессорах Intel обнаружены новые уязвимости

Исследователям удалось на виртуальной машине воссоздать содержимое файла с хэшами паролей, находившегося на другой виртуальной машине на том же процессорном ядре.

Роботизировать правильно: на что следует делать особый упор

Бизнесу нужны роботы. Поэтому в марте в реестр российского ПО были добавлены системы разработки программных роботов, в числе которых и инструменты RPA. Почему?