Скрытый файл в Edge позволяет Facebook без разрешения пользователей запускать Flash-контент

По состоянию на ноябрь прошлого года разрешение на запуск Flash-контента имели 58 доменов. Исследователь безопасности Иван Фратрик (Ivan Fratric) обнаружил в браузере Microsoft Edge скрытый файл, позволяющий Facebook обходить встроенные политики безопасности и без разрешения пользователей запускать Flash-контент. «В Microsoft Windows есть файл C:Windowssystem32edgehtmlpluginpolicy.bin, содержащий список доменов, которым разрешено обходить Flash click2play и без подтверждения…

Подробнее

В Drupal исправлена критическая уязвимость

Проблема исправлена в версиях Drupal 8.6.10 и 8.5.11. В ядре популярной системы управления контентом Drupal обнаружена опасная уязвимость (CVE-2019-6340), позволяющая удаленно выполнить код. Проблема существует в связи с отсутствием проверки данных в некоторых типах полей, что может предоставить атакующему возможность выполнить произвольный PHP-код. Эксплуатация CVE-2019-6340 возможна при условиях: а) RESTful Web Services API включен и…

Подробнее

Уязвимость в IIS позволяет вывести из строя компьютер

С помощью уязвимости злоумышленник может вызвать стопроцентную загрузку ЦП. Компания Microsoft исправила в своей технологии для web-серверов Internet Information Services (IIS) уязвимость, позволяющую вывести из строя компьютер. С ее помощью злоумышленник может вызвать стопроцентную загрузку центрального процессора, заставив IIS обрабатывать особым образом сформированный запрос HTTP/2, и тем самым спровоцировать отказ в обслуживании. HTTP/2 представляет собой…

Подробнее

Критическая уязвимость в WinRAR ставит под угрозу более 500 млн пользователей

Для успешной атаки злоумышленнику потребуется просто убедить жертву распаковать вредоносный архив с помощью WinRAR. Специалисты компании Check Point раскрыли информацию о критической уязвимости в популярном архиваторе для Windows, аудитория которого насчитывает более полумиллиарда пользователей по всему миру, позволяющей выполнить код на целевой системе. Для успешной атаки злоумышленнику потребуется всего лишь обманом заставить жертву распаковать вредоносный…

Подробнее

Атака NoRelationship позволяет обходить фильтры вредоносных URL

В ходе атаки злоумышленник отправляет жертве электронное письмо с вложением .docx, содержащим ссылку на фишинговую страницу. Исследователи компании Avanan сообщили о новой фишинговой атаке, позволяющей злоумышленникам обходить фильтры Microsoft для отсеивания вредоносных файлов. Если коротко, злоумышленники могут скрывать вредоносные ссылки благодаря уязвимости в решениях для сканирования электронной почты, связанной с синтаксическим анализом ссылок. Атака, впервые…

Подробнее

Записи 2,7 млн звонков на линию здравоохранения Vårdguiden оказались в открытом доступе

Данные, которые собирались с 2013 года, были незашифрованными и хранились на сервере, не защищенном паролем. Записи 170 тыс. часов звонков на линию шведской медицинской консультативной службы Vårdguiden 1177 хранились в открытом доступе на незащищенном сервере шведского оператора связи, компании Voice Integrate Nordic AB, сообщил ресурс Computer Sweden. Данные, которые собирались с 2013 года, были незашифрованными…

Подробнее

В mIRC обнаружена критическая уязвимость

Уязвимость позволяет выполнять на системе произвольные команды, в том числе загружать и выполнять вредоносное ПО. В IRC-клиенте mIRC для Windows обнаружена уязвимость (CVE-2019-6453), позволяющая выполнять на системе произвольные команды, в том числе загружать и выполнять вредоносное ПО. Для ее эксплуатации атакующему достаточно заставить жертву (например, с помощью фишинга) открыть нужную web-страницу. Приложение mIRC представляет собой…

Подробнее

Ошибка в iOS-версии WhatsApp позволяет обойти биометрическую аутентификацию

Для того чтобы обойти биометрический вход, достаточно просто отправить файлы с помощью инструмента Share Sheet. В начале февраля нынешнего года в iOS-версии популярного чат-сервиса WhatsApp появилась поддержка биометрической аутентификации, позволив владельцам iPhone 8 и более старых моделей использовать Touch ID, а пользователям iPhone X, XS и XR — Face ID для доступа к чатам. Как…

Подробнее

Google случайно «сломала» блокировщики рекламы в Chrome

Проблема связана с экспериментальной функцией Enable network service в Chrome 72. После обновления браузера Chrome до версии 72 многие пользователи столкнулись с тем, что блокировщики рекламы (в том числе Ublock Origin, Ghostery и Adblock Plus) перестали работать. Всему виной оказалась новая экспериментальная функция Enable network service, позволяющая браузеру создавать фоновые задачи для каждого отдельного сайта.…

Подробнее

Пользователей в США «накрыла» масштабная вредоносная рекламная кампания

Всего за три дня специалисты зафиксировали более 800 млн показов вредоносных рекламных объявлений. В минувшие выходные жители США столкнулись с масштабной вредоносной рекламной кампанией, ориентированной главным образом на сбор персональной и финансовой информации пользователей. Всего за три дня специалисты компании Confiant, отслеживающей вредоносную рекламу, зафиксировали более 800 млн показов вредоносных рекламных объявлений, пишет ZDNet. При…

Подробнее