Обнаружена уязвимость, позволяющая запускать произвольный код на серверах Apple, PayPal, Microsoft и других крупных IT-компаний

Атака на зависимости позволила выполнить код на серверах PayPal, Micrоsoft, Apple, Netflix, Uber и ещё 30 компаний Представлен поразительный по своей простоте метод атаки на зависимости в приложениях, при разработке которых используются внутренние репозитории пакетов. Выявившие проблему исследователи смогли выполнить свой код на внутренних серверах 35 компаний, среди которых PayPal, Micrоsoft, Apple, …

В Apple M1 обнаружена критическая уязвимость Реакции пользователей на первые Mac на базе Apple M1 были довольно хорошие. Однако через несколько месяцев после их выпуска начали появляться сообщения о проблемах с новой платформой. Исследователи из Корнельского университета изучали эффективность отключения или ограничения JavaScript дл …

Обнаружена уязвимость системы безопасности чипа Apple M1 Обнаружена уязвимость системы безопасности M1, которую Apple вряд ли может устранить, но обнаруживший ее исследователь говорит, что это не то, о чем нам нужно беспокоиться. Вот его описание Гектора Мартина: Недостаток в конструкции микросхемы Apple Silicon «M1» позволяет любым двум прилож …

Microsoft позволит запускать почти все программы Windows на процессорах-аналогах Apple M1 Microsoft наконец объявила о запуске эмуляции x64-приложений на Windows для ARM. К таким процессорам относятся, например, Apple M1 и чипы в устройствах Surface.Пока эмуляция доступна для тестеров. Они смогут запускать x64-программы, которые ранее не были доступны на устройствах с процессо …

Уязвимость в cdnjs, позволившая выполнить код на серверах Cloudflare В предоставляемой компанией Cloudflare сети доставки контента cdnjs, предназначенной для ускорения доставки JavaScript-библиотек, выявлена критическая уязвимость, позволяющая выполнить произвольный код на серверах CDN. Опасность проблемы усугубляется тем, что для загрузки JavaScript-библи …

Хакер Алекс Бирсан раскрыл уязвимость взломанных им Apple и Microsoft Специалист по компьютерной безопасности Алекс Бирс смог взломать системы IT-гигантов благодаря простому способу. В частности, его “жертвами” стали Microsoft, Apple, Tesla, Paypal и другие крупные компании. Как рассказал специалист, ему удалось войти в систему с помощью репозит …

Уязвимость в Apache Airflow, допускающая использование одного сеанса на разных серверах Во входящем в состав платформы Apache Airflow web-сервере выявлена уязвимость (CVE-2020-17526), вызванная некорректной проверкой сеансов в конфигурации по умолчанию. Уязвимость позволяет пользователю одного сайта получить доступ к другому сайту, используя идентификатор сеанса от первого с …

Уязвимость в cups-filters, позволяющая выполнить код на сервере В пакете cups-filters, включающем компоненты для организации работы сервиса печати, найдена уязвимость (CVE-2023-24805), позволяющая удалённо выполнить произвольные команды на сервере печати через отправку специально оформленного задания вывода на печать. В настоящее время исправление дос …

Уязвимость во Flatpak, позволяющая обойти режим изоляции В инструментарии для создания самодостаточных пакетов Flatpak выявлена уязвимость (CVE-2021-21261), позволяющая обойти режим sandbox-изоляции и выполнить произвольный код в окружении основной системы. Проблема устранена в версиях 1.10.0 и 1.8.5, но позднее в исправлении всплыло регрессивн …

Уязвимость в OverlayFS, позволяющая повысить свои привилегии В ядре Linux в реализации файловой системы OverlayFS выявлена уязвимость (CVE-2023-0386), которую можно использовать для получения root-доступа на системах, в которых установлена подсистема FUSЕ и разрешено монтирование разделов OverlayFS непривилегированным пользователем (начиная с ядра …

Уязвимость в Git для Cygwin, позволяющая организовать выполнение кода В Git выявлена критическая уязвимость (CVE-2021-29468), проявляющаяся только при сборке для окружения Cygwin (библиотека для эмуляции базового Linux API в Windows и набор типовых linux-программ для Windows). Уявзимость позволяет выполнить код злоумышленника при извлечении данных ("git che …

Уязвимость в runc, позволяющая получить доступ к ФС вне контейнера В инструментарии для запуска изолированных контейнеров runc, применяемом в Docker и Kubernetes, выявлена уязвимость (CVE-2021-30465), позволяющая получить доступ из контейнера к основной файловой системе хост-окружения. Через манипуляции с символическими ссылками можно подготовить на вид …

Уязвимость в Polkit, позволяющая повысить свои привилегии в системе В компоненте Polkit, используемом в дистрибутивах для организации выполнения непривилегированными пользователями действий, требующих повышенных прав доступа (например, монтирования USB-накопителя), выявлена уязвимость (CVE-2021-3560), позволяющая локальному пользователю получить права roo …

Уязвимость в специфичном для CPU AMD коде KVM, позволяющая выполнить код вне гостевой системы Исследователи из команды Google Project Zero выявили уязвимость (CVE-2021-29657) в поставляемом в составе ядра Linux гипервизоре KVM, позволяющую обойти изоляцию гостевой системы и выполнить свой код на стороне хост-окружения. Проблема присутствует в коде, используемом на системах с проце …

Критическая уязвимость в sudo, позволяющая получить привилегии root Исследователи безопасности из компании Qualys выявили критическую уязвимость (CVE-2021-3156) в утилите sudo, предназначенной для организации выполнения команд от имени других пользователей. Уязвимость позволяет получить доступ с правами root без прохождения аутентификации и без наличия не …

Уязвимость, позволяющая подставить escape-последовательности в чужие терминалы В утилите wall, поставляемой в пакете util-linux и предназначенной для отправки сообщений в терминалы, выявлена уязвимость (CVE-2024-28085), позволяющая осуществить атаку на терминалы других пользователей через манипуляцию с escape-последовательностями. Проблема вызвана тем, что утилита w …

Уязвимость в беспроводных точках доступа, позволяющая организовать перехват трафика Группа исследователей из университетов Цинхуа (Китай) и Джорджа Мейсона (США) раскрыла информацию об уязвимости (CVE-2022-25667) в беспроводных точках доступа, позволяющую организовать перехват трафика (MITM) в беспроводных сетях, защищённых с использованием протоколов WPA, WPA2 и WPA3. Ч …

Уязвимость StackRot в ядре Linux, позволяющая повысить свои привилегии Выполненный в ядре Linux 6.1 перевод VMA (Virtual Memory Area) со структуры данных "red-black tree" на "maple tree" привёл к появлению уязвимости (CVE-2023-3269), позволяющей непривилегированному пользователю добиться выполнения своего кода с правами ядра. Уязвимость, которой присвоено ко …

Уязвимость в ядре Linux 6.2, позволяющая обойти защиту от атак Spectre v2 В ядре Linux 6.2 выявлена уязвимость (CVE-2023-1998), приводящая к отключению защиты от атак класса Spectre v2, позволяющих получить доступ к памяти других процессов, выполняемых в разных потоках SMT или Hyper Threading, но на одном физическом ядре процессора. Уязвимость, среди прочего, м …

Уязвимость в CPU AMD, позволяющая обойти механизм защиты SEV (Secure Encrypted Virtualization) Исследователи Центра Гельмгольца по информационной безопасности (CISPA) опубликовали новый метод атаки CacheWarp, позволяющий скомпрометировать механизм защиты AMD SEV (Secure Encrypted Virtualization), применяемый в системах виртуализации для защиты виртуальных машин от вмешательства со …

Уязвимость, позволяющая обойти блокировку экрана в дистрибутивах с рабочим столом Cinnamon Раскрыта информация об уязвимости в хранителе экрана cinnamon-screensaver, развиваемом дистрибутивом Linux Mint, которая позволяет войти в заблокированный сеанс пользователя без ввода пароля на системах с несколькими раскладками клавиатур. Проблема может использоваться для получения досту …

Уязвимость в подсистеме iSCSI ядра Linux, позволяющая поднять свои привилегии В коде подсистемы iSCSI из состава ядра Linux выявлена уязвимость (CVE-2021-27365), позволяющая непривилегированному локальному пользователю выполнить код на уровне ядра и получить root-привилегии в системе. Для тестирования доступен рабочий прототип эксплоита. Уязвимость устранена в обно …

Найден неординарный способ взлома Apple, Microsoft и других компаний — через репозитории с открытым ПО Исследователь в области безопасности Алекс Бирсан (Alex Birsan) нашёл серьёзную брешь в сервисах Microsoft, Netflix, Apple, Tesla и Uber. Проблема кроется в использовании программного обеспечения с открытым исходным кодом. Об этом сообщает 9to5Mac со ссылкой на портал Bleeping Computer. И …

В фирменных приложениях Samsung обнаружена уязвимость Несмотря на то, что у компании Google есть целый набор различных приложений, которые рекомендуется пользователям для повседневного использования, крупные производители смартфонов всё-равно но устанавливают свой собственный софт. Например, первой, кто начала этим заниматься, выступает комп …

В Telegram обнаружена опасная для пользователей уязвимость В одном из обновлений Telegram появилась возможность обнаружения других пользователей с помощью функции «Люди поблизости». Эксперты в области безопасности выяснили, что подобная опция имеет несколько [...] …

Не замечали 12 лет: в Windows Defender обнаружена опасная уязвимость В антивирусе Defender, являющимся базовым программным обеспечением для операционной системы Windows, была выявлена критическая уязвимость, которая оставалась незамеченной как ИБ-исследователями, так и киберпреступниками, на протяжении последних 12 лет. …

В Android-приложении «Госуслуги Москвы» обнаружена уязвимость Специалисты компании Postuf, работающей в сфере информационной безопасности, обнаружили уязвимость в мобильном приложении «Госуслуги Москвы» для платформы Android. Её эксплуатация позволяла получить доступ к данным, которые пользователи указали на сайте сервиса, в том числе ФИ …

Сомнительная «личка»: В WhatsApp обнаружена новая уязвимость сообщений Эксперты из Израиля показали на скринах как выглядит проблема. WhatsApp доказывает, что служба обмена сообщениями полностью зашифрована, и её невозможно перехватить или взломать. Израильская фирма по кибербезопасности разбила это утверждение. «Провокаторы» показали как перехва …

Обнаружена новая уязвимость, затрагивающая компьютеры во всем мире В 2018 году отраслевые и академические исследователи выявили потенциально разрушительный недостаток оборудования, который сделал компьютеры и другие устройства во всем мире уязвимыми для атак. Исследователи назвали уязвимость Spectre, потому что уязвимость встроена в современные компьютер …

В диспетчере очереди печати Windows обнаружена очередная серьёзная уязвимость Стало известно, что в диспетчере печати Windows обнаружена новая опасная уязвимость, эксплуатация которой позволяет осуществить удалённое выполнение кода. Это уже третья подобная проблема, связанная со службой печати и выявленная за последние несколько недель. На данный момент исправление …

В сетевых хранилищах WD на базе My Cloud OS3 обнаружена опасная уязвимость нулевого дня В конце прошлого месяца владельцы сетевых хранилищ Western Digital My Book Live столкнулись с проблемой. Хакерская атака с использованием двух уязвимостей программного обеспечения привела к сбросу настроек на упомянутых устройствах с потерей всех хранящихся данных. Теперь же работающий в …

В браузерах на основе Chromium обнаружена уязвимость удалённого выполнения кода Исследователь Раджвардхан Агарвал (Rajvardhan Agarwal), работающий в сфере информационной безопасности, обнаружил опасную уязвимость нулевого дня. …

Миллионы Android-устройств в опасности: в драйвере GPU Qualcomm обнаружена серьёзная уязвимость Стало известно об обнаружении серьёзной уязвимости, которая может затрагивать миллионы мобильных устройств, работающих под управлением программной платформы Android. Уязвимость связанна с кодом драйвера графического процессора Qualcomm Adreno. Проблема была обнаружена исследователями из G …

Microsoft Project Latte позволит запускать Android-приложения в Windows 10 Microsoft работает над проектом под кодовым названием Project Latte, который позволит разработчикам перенести собственные Android-приложения в Windows 10 почти без изменений в коде, просто упаковав их в формате MSIX и опубликовав в Microsoft Store. Как сообщает портал Windows Central, про …

Windows 11 сможет запускать Android-приложения — они будут доступны прямо в Microsoft Store Сегодня Microsoft представила свою операционную систему нового поколения Windows 11. Она предложит пользователям ряд нововведений по сравнению с Windows 10. Одним из них станет возможность запуска Android-приложений, которые можно будет скачать из обновлённого Microsoft Store. …

Аналитики: продажи Cyberpunk 2077 в «цифре» падают намного быстрее, чем у других крупных новинок Cyberpunk 2077 хорошо продавался на старте, но сейчас цифровые продажи тайтла стремительно падают. Как считают аналитики M Science, в первом квартале этого года (закончится 31 марта) CD Projekt RED сможет реализовать всего 500 тысяч копий игры в «цифре». В M Science уверены — цифровые про …

Раскрыт список 15 бесплатных игр от EGS. Среди них Dying Light, Fallout 4, Far Cry 5, Hitman 3 и еще много других крупных игр Epic Games Store готовит к Новому году весьма щедрую акцию. Сервис раздаст бесплатно аж 15 крупных игр с 17 до 31 декабря. Список игр не долго оставался тайно, так как пользователи Reddit быстро рассекретили его и выложили в сеть. Читать полную статью …

В Google Chrome, Mozilla Firefox и других популярных браузерах нашли опасную уязвимость Представители Microsoft опубликовали новый отчет, в котором сообщается о том, что в Google Chrome, Mozilla Firefox, Microsoft Edge и «Яндекс.Браузере» была обнаружена опасная уязвимость.В компании рассказали, что вирус, под названием Adrozek, способен нейтрализовать механизмы защиты Googl …

В работе Telegram произошёл сбой — мессенджер оказался недоступен в крупных городах России и других стран В понедельник, 4 января пользователи мессенджера Telegram из России и ряда других стран столкнулись со сбоем в его работе. Согласно жалобам в социальных сетях, основная проблема оказалась связана с подключением к мессенджеру. …

Bloomberg (США): спад российской экономики в 2020 году оказался меньше, чем сокращение других крупных экономик Сокращение российской экономики в 2020 году составило 3,1 процента, и такой результат оказался лучше ожиданий экономистов. Правительство страны отказалось от второго локдауна, несмотря на резкое увеличение числа заражений. …