Новости


Баг в NTFS, или как подвесить всю систему

Не так давно при разработке фильтра файловых систем возникла проблема, которая приводила к подвисанию всей системы. Казалось бы, фильтр выполнял очень простые действия и сам был очень примитивным. Чтобы выяснить причину, пришлось спуститься до отладки и реверс-инжиниринга драйвера NTFS.

[Из песочницы] Уязвимость Viber, позволяющая прослушивать чужой разговор

На возможность прослушивания чужих разговоров в Viber я наткнулся случайно еще в начале октября 2016 года. Уязвимость мне показалась не слишком приятной, поэтому я связался со службой поддержки и описал алгоритм для воспроизведения нестандартного поведения мессенджера.

Уязвимости выполнения произвольного кода в PHPMailer и SwiftMailer

В последние дни было зарегистрировано три уязвимости, касающиеся PHPMailer и SwiftMailer: 25. 12. 2016, CVE-2016-10033 Уязвимость удалённого выполнения кода через PHPMailer 27. 12. 2016, CVE-2016-10045 Уязвимость удалённого выполнения кода через PHPMailer 28.

Mozilla и Tor закрыли критическую уязвимость, которая активно использовалась для деанонимизации пользователей Tor

Разработчики Mozilla и Tor в срочном порядке выложили патчи для браузеров, которые устраняют критическую 0day-уязвимость браузера под Windows, Mac и Linux. По мнению независимого эксперта, новый эксплойт почти в точности идентичен эксплойту для 0day-уязвимости 2013 года (исполнение произвольного кода после загрузки в браузер специально составленного JS-скрипта), которую успешно использовало ФБР для деанонимизации пользователей Tor, в том числе посещавших сайты с детской порнографией. Читать дальше →

Критическая уязвимость позволяет перехватывать весь сетевой трафик пользователей Windows

Исследователи из ИБ-подразделения компании Tencent под названием Xuanwu Lab обнаружили серьезную ошибку в реализации протокола NetBIOS, использующейся в Windows. Критическая уязвимость получила название BadTunnel — она позволяет злоумышленникам полностью контролировать сетевой трафик жертвы. Читать дальше →

Уязвимость в продуктах Cisco — эксплуатация может привести к отказу в передаче всего ipv6-трафика

Cisco опубликовала отчет о найденой уязвимости в реализации ipv6 Neighbor Discovery protocol (ND). Злоумышленник с помощью спецально сформированного пакета может остановить передачу всего ipv6 трафика на атакуемом устройстве. Отчет. Читать дальше →

[Из песочницы] Уязвимость ВКонтакте: доступ к превью фотографий из диалогов и скрытых альбомов любого пользователя

Коротко Была обнаружена уязвимость в мобильной версии сайта vk. com. Она позволяла просматривать превью скрытых фотографий, в том числе фотографии из диалогов пользователей, плюс можно было получить информацию о пользователях лайкнувших это скрытое фото.

[Из песочницы] Уязвимость в Platius: доступ в любой аккаунт

На прошлой неделе пришло письмо с приглашением пройти интервью в компанию Платиус. Позиция была написана как будто под меня, и после созвона была назначена встреча для интервью. У меня оставался вечер на подготовку и я решил изучить, чем же все таки компания занимается.

Лучшее

Актуальное

В клиенте OpenSSH обнаружена серьёзная уязвимость CVE-2016-0777

Сегодня стало известно о новой уязвимости в клиенте OpenSSH получившей идентификаторы CVE-2016-0777 и CVE-2016-0778. Ей подвержены все версии программы от 5. 4 до 7. 1. Обнаруженный баг позволяет осуществить атаку, приводящую к утечке приватного ключа.

В OpenSSH обнаружена серьёзная уязвимость CVE-2016-0777

Сегодня стало известно о новой уязвимости в клиенте OpenSSH получившей идентификаторы CVE-2016-0777 и CVE-2016-0778. Ей подвержены все версии программы от 5. 4 до 7. 1. Обнаруженный баг позволяет осуществить атаку, приводящую к утечке приватного ключа.