/ Безопасность | ||
- Виртуальные серверы и изолированные окружения | ||
- Квоты, ограничения | ||
- Firewall | ||
- Шифрование, SSH, SSL | ||
- Приватность | ||
- Вирусы, вредоносное ПО и спам | ||
· | 20.12.2024 | В мультимедийном фреймворке GStreamer выявлено 29 уязвимостей (107 +16) |
В мультимедийном фреймворке GStreamer, используемом в GNOME, выявлено 29 уязвимостей. Восемь уязвимостей приводят к записи данных за пределы буфера, а одна (CVE-2024-47540) к перезаписи указателя на функцию. Указанные уязвимости могут потенциально использоваться злоумышленниками для организации выполнения кода при обработке некорректно оформленных мультимедийных данных в форматах MKV, MP4, Ogg, Vorbis и Opus, а также субтитров в формате SSA. Остальные уязвимости приводят к разыменованию нулевого указателя или чтению из области памяти за границей буфера, т.е. могут использоваться для инициирования аварийного завершения...
| ||
· | 18.12.2024 | Опубликован BoN, метод обхода фильтров больших языковых моделей (99 +37) |
Выявлен новый метод атаки, позволяющий обойти механизмы противодействия генерации опасного контента, применяемые в AI-сервисах на основе больших языковых моделей. Метод, который получил кодовое имя BoN (Best-of-N), при тестировании на 10 тысячах запросов позволил обойти ограничения модели GPT-4o в 89% случаев, модели Claude 3.5 Sonnet - в 78%, а Gemini Pro - в 50%. Инструментарий для проведения атаки опубликован под лицензией MIT...
| ||
· | 18.12.2024 | Выпуск дистрибутива для исследования безопасности Kali Linux 2024.4 (20 +8) |
Представлен релиз дистрибутива Kali Linux 2024.4, основанного на пакетной базе Debian и предназначенного для тестирования систем на наличие уязвимостей, проведения аудита безопасности, анализа остаточной информации и выявления последствий атак. Все оригинальные наработки, созданные для дистрибутива, распространяются под лицензией GPL и доступны через публичный Git-репозиторий. Для загрузки подготовлены iso-образы размером 600 МБ и 4.1 ГБ. Сборки доступны для архитектур x86_64, ARM (armhf и armel, Raspberry Pi, Banana Pi, ARM Chromebook, Odroid). Hа выбор предоставляются рабочие столы Xfce, KDE и GNOME...
| ||
· | 17.12.2024 | Уязвимость в Apache Struts, позволяющая выполнить код на сервере (26 +9) |
В web-фреймворке Apache Struts, применяемом для создания web-приложений на языке Java с использованием парадигмы МVС (Model-View-Controller), выявлена уязвимость (CVE-2024-53677). Уязвимость даёт возможность внешнему злоумышленнику записать файл в произвольное место файловой системы на сервере через отправку специально оформленного HTTP-запроса. Проблема затрагивает выпуски с 2.0.0 по 2.3.37, c 2.5.0 по 2.5.33 и с 6.0.0 по 6.3.0.2, и проявляется в приложениях, использующих компонент FileUploadInterceptor для загрузки файлов на сервер...
| ||
· | 17.12.2024 | Первый стабильный релиз PGP-инструментария sq от проекта Sequoia (125 +3) |
После семи лет разработки сформирован релиз инструментарий командной строки sq 1.0, предназначенного для работы с артефактами OpenPGP. Инструментарий подготовлен проектом Sequoia PGP, также развивающим библиотеку функций с реализацией стандарта OpenPGP (RFC-4880). Выпуск 1.0 отмечен как первый стабильный релиз проекта, означающий стабилизацию кодовой базы и прекращение внесение изменений, нарушающих совместимость. Код написан на языке Rust и распространяется под лицензией LGPLv2...
| ||
· | 16.12.2024 | В Firefox прекращена поддержка настройки Do Not Track (98 +21) |
В ночных сборках Firefox, на базе которых 4 февраля будет сформирован релиз Firefox 135, со страницы с настройками приватности (about:preferences#privacy) убрана опция, позволявшая включить отправку сайтам HTTP-заголовка "Do Not Track" ("DNT"). Заголовок DNT информирует сайты о нежелании пользователя передавать на хранение сведения, которые могут использоваться для отслеживания перемещений и предпочтений...
| ||
· | 13.12.2024 | Атака BadRAM, позволяющая обойти механизм аттестации SEV-SNP в CPU AMD (63 +10) |
Группа исследователей из Лёвенского, Любекского и Бирмингемского университетов разработала метод атаки BadRAM (CVE-2024-21944), позволяющий обойти механизм подтверждения подлинности и скомпрометировать окружения, защищённые с использованием расширения SEV-SNP в процессорах AMD. Для совершения атаки злоумышленник, за редким исключением, должен получить физический доступ к модулям памяти, а также выполнить код на уровне нулевого кольца защиты (ring0) в системе, выполняющей защищённые гостевые окружения...
| ||
· | 09.12.2024 | Let's Encrypt прекращает поддержку протокола OCSP для проверки отозванных сертификатов (103 +22) |
Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, принял решение прекратить поддержку протокола OCSP (Online Certificate Status Protocol), применяемого для проверки отзыва сертификатов. Вместо протокола OCSP предлагается использовать списки отозванных сертификатов (CRL - Certificate Revocation List), публикуемые сервисом Let's Encrypt начиная с 2022 года. 7 мая 2025 года Let's Encrypt отключит добавление ссылок на адреса OCSP в выдаваемые сертификаты и прекратит обработку запросов, связанных с использованием расширения "OCSP Must Staple". 6 августа 2025 года обработчики OCSP-запросов будут отключены на серверах...
| ||
· | 08.12.2024 | Уязвимости, позволяющие подменить образы и выполнить код на ASU-серверах проекта OpenWrt (36 +15 ↻) |
В развиваемом проектом OpenWrt инструментарии ASU (Attended SysUpgrade) выявлены критические уязвимости (CVE-2024-54143), позволяющие скомпрометировать сборочные артефакты, распространяемые через сервис sysupgrade.openwrt.org или сторонние ASU-серверы, и добиться установки модифицированных злоумышленником образов прошивок на системы...
| ||
· | 07.12.2024 | Ошибка в обработчике GitHub Actions привела к публикации вредоносных релизов Ultralytics (29 +16 ↻) |
Злоумышленники смогли выполнить код с правами обработчика GitHub Actions в репозитории Python-библиотеки Ultralytics, применяемой для решения задач компьютерного зрения, таких как определение объектов на изображениях и сегментирование изображений. После получения доступа к репозиторию атакующие опубликовали в каталоге PyPI несколько новых релизов Ultralytics, включающих вредоносные изменения для майнинга криптовалют. За последний месяц библиотека Ultralytics была загружена из каталога PyPI более 6.4 млн раз...
| ||
· | 06.12.2024 | Google опубликовал Vanir, статический анализатор для выявления неисправленных уязвимостей (17 +16) |
Компания Google представила новый открытый проект Vanir, развивающий статический анализатор для автоматического выявления не применённых к коду патчей, устраняющих уязвимости. Vanir использует базу сигнатур с информацией об известных уязвимостях и патчах для устранения этих уязвимостей. Подобная БД ведётся Google с июля 2020 года и охватывает 95% уязвимостей в проектах, связанных с платформой Android, включая ядро Linux. В настоящее время поддерживается проверка исходного кода на языках C, C++ и Java. Код Vanir написан на языках С++ и Python, и распространяется под лицензией BSD...
| ||
· | 05.12.2024 | Выпуск SSH-клиента PuTTY 0.82 (127 +27) |
Сформирован релиз PuTTY 0.82, клиента для протоколов SSH, Telnet, Rlogin и SUPDUP, поставляемого со встроенным эмулятором терминала и поддерживающего работу в Unix-подобных системах и Windows. Исходные тексты проекта доступны под лицензией MIT...
| ||
· | 05.12.2024 | Третья редакция рейтинга библиотек, требующих особой проверки безопасности (102 +7) |
Организация Linux Foundation совместно с Гарвардской лабораторией инноваций в науке подготовила новую редакцию исследования Census III, нацеленного на выявление наиболее широко используемых открытых проектов, нуждающихся в первоочередном аудите безопасности. В ходе исследования проведён анализ совместно используемого открытого кода, неявно применяемого в различных корпоративных проектах в форме зависимостей, загружаемых из внешних репозиториев. Всего было изучено более 12 миллионов открытых библиотек, задействованных в приложениях, используемых в 10 тысячах различных компаний...
| ||
· | 04.12.2024 | Атакующие внедрили вредоносный код в web3.js, официальный JavaScript-клиент для криптовалюты Solana (90 +18) |
Выявлен факт подстановки вредоносного кода в библиотеку @solana/web3.js, насчитывающую в репозитории NPM 400-500 тысяч загрузок в неделю. Вредоносные изменения были включены в состав выпусков web3.js 1.95.6 и 1.95.7, и сводились к интеграции кода для отправки на внешний сервер закрытых ключей. Целостность проекта восстановлена в выпуске 1.95.8. Разбор причин инцидента пока не завершён, но по предварительным данным вредоносные релизы были размещены через компрометацию учётной записи сопровождающего, используя методы социального инжиниринга и фишинга...
| ||
· | 30.11.2024 | Обнаружено вредоносное ПО, использующее игровой движок Godot как платформу для запуска (60 +20) |
Компания Checkpoint сообщила о выявлении вредоносного ПО GodLoader, написанного на языке GDScript и использующего открытый игровой движок Godot для своего выполнения (движок Godot применяется как платформа для запуска). Написание кода на GDScript позволило распространять вредоносные программы среди любителей компьютерных игр под видом модов к играм и игровых ресурсов в формате pck, обрабатываемых движком Godot. Использование GDScript также дало возможность не зависеть от операционной системы, которая установлена у пользователя (Windows, macOS, Linux, Android и iOS)...
| ||
Следующая страница (раньше) >> |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |