Уязвимости в WordPress и WooCommerce позволяют перехватить контроль над сайтом

Для успешной эксплуатации уязвимости злоумышленнику потребуется получить доступ к учетной записи пользователя в роли «Shop Manager». Воспользовавшись недоработкой в дизайне системы разрешений WordPress и уязвимостью в популярном плагине для электронной коммерции WooCommerce, злоумышленники могут полностью перехватить управление сайтами на WordPress, предупредил специалист компании RIPS Tech Саймон Скеннелл (Simon Scannell). При установке плагинов, использующих различные роли,…

Подробнее

Финансовый гигант HSBC стал жертвой атаки

В результате инцидента злоумышленники похитили персональную и банковскую информацию клиентов HSBC. Международный финансовый гигант HSBC стал жертвой кибератаки с использованием украденных учетных данных (credential stuffing). Согласно уведомлению HSBC, инцидент имел место в прошлом месяце. Как стало известно банку, в период с 4 по 14 октября к некоторым учетным записям пользователей был получен несанкционированный доступ. Атака…

Подробнее

Глава ФСБ призвал создать систему хранения ключей шифрования мессенджеров

Права и свободы законопослушных граждан в части сохранения конфиденциальности должны быть полностью соблюдены, подчеркнул Бортников. Спецслужбы должны иметь ключи к шифрованным приложениям в интернете. Данную точку зрения выразил директор ФСБ России Александр Бортников на совещании руководителей спецслужб, органов безопасности и правоохранительных органов. «Считаем, что серьезным технологическим препятствием для эффективного противодействия вторжению террористов в информационное пространство…

Подробнее

Октябрьское обновление для Windows 10 вызывает проблемы в работе компьютера

После установки KB4462933 перестают работать инструменты разработчика в Microsoft Edge. Выпущенное в прошлом месяце кумулятивное обновление KB4462933 для Windows 10 сборки 1803 препятствует работе инструментов разработчика в Microsoft Edge. Кумулятивное обновление KB4462933 для Windows 10 April 2018 Update вышло 24 октября и исправляет несколько проблем в работе ОС. В частности, обновление исправляет ошибку, вызывавшую «синий…

Подробнее

Представлен метод обхода проверки доверенной загрузки U-Boot

Проблема может быть проэксплуатирована для обхода процесса валидации и последующей загрузки и выполнения произвольного кода на системе. Специалист компании F-Secure Андреа Барисани (Andrea Barisani) выявил недоработку в дизайне открытого универсального загрузчика U-Boot (Universal bootloader), связанную с недостаточной проверкой доступной памяти. Проблема может быть проэксплуатирована для обхода процесса валидации и последующей загрузки и выполнения произвольного кода…

Подробнее

В Struts 2 исправлена очередная критическая уязвимость

В CVE-идентификаторе указан 2016 год, тогда как уязвимость была исправлена только сейчас. Организация Apache Foundation предупредила разработчиков о необходимости обновить используемые ими установки Struts 2 и использующие код проекты. Причина – критическая уязвимость в ключевом компоненте фреймворка. Согласно выпущенному на этой неделе уведомлению , CVE-2016-1000031 представляет собой ошибку десериализации в библиотеке commons-fileupload, позволяющую запуск в…

Подробнее

Google и Facebook поддержали договор о свободном интернете

«Сетевой контракт» уже получил поддержку более 50 организаций и представителей бизнес-сферы. Компании Google и Facebook поддержали новые интернет-стандарты, предложенные одним из создателей Всемирной паутины Тимом Бернерсом-Ли (Tim Berners-Lee). Речь идет о так называемом «Сетевом контракте» (Contract for the Web), принципы которого предполагают предоставление всем людям свободного доступа к Сети, отказ от любых попыток ограничить или…

Подробнее

Опубликованы подробности и эксплоит для уязвимости в VirtualBox

Уязвимость предоставляет возможность атакующему выйти за пределы виртуализированной среды и получить привилегии уровня Ring 3. Исследователь в области кибербезопасности Сергей Зеленюк обнародовал подробную информацию об уязвимости в виртуальной машине Oracle VirtualBox, позволяющей выйти за пределы виртуализированной среды гостевой машины и повысить привилегии до уровня кольца защиты (Ring) 3 (почти все пользовательские программы). Проблема затрагивает VirtualBox…

Подробнее

Злоумышленники перехватывают трафик Telegram в Иране

Эксперты выявили несколько кампаний, направленных на иранских пользователей Telegram и Instagram. Сотрудники команды Cisco Talos зафиксировали ряд кампаний, направленных против пользователей популярного мессенджера Telegram и фотохостинга Instagram в Иране, в том числе с использованием BGP-перехвата трафика. По данным исследователей, кампании начались в 2017 году и активны по сегодняшний день. В рамках атак злоумышленники создают приложения-клоны…

Подробнее

Инструкции к машинам для голосования в США рекомендуют использовать слабые пароли

Инструкции от производителей машин согласуются с руководством Комиссии по содействию выборам США. В инструкции от производителя машин для голосования, использующихся в десяти штатах, рекомендуется использовать простые, легко взламываемые пароли и повторно использовать одни и те же пароли при смене учетных данных. С 2016 года (год президентских выборов в США) основатель финской ИБ-компании Nordic Innovation Labs…

Подробнее