Уязвимости сайтов - Все публикации

Баг Instagram позволял любому просматривать контент закрытых аккаунтов

...
Баг Instagram позволял любому просматривать контент закрытых аккаунтов

В Instagram нашли (и уже устранили) новую уязвимость, позволяющую любому пользователю просматривать посты и сторис закрытых аккаунтов. Баг работает таким образом, что для просмотра контента не нужно числиться в подписчиках закрытых учётных записей.

ALPACA — новая форма кросс-протокольных атак против защищённых веб-сайтов

...
ALPACA — новая форма кросс-протокольных атак против защищённых веб-сайтов

Специалисты в области кибербезопасности рассказали о новом векторе атаки, строящемся на использовании некорректной конфигурации TLS-серверов. В случае успешной эксплуатации злоумышленники могут перенаправить HTTPS-трафик браузера жертвы на другой IP-адрес и потенциально украсть конфиденциальную информацию пользователя.

Критическая 0-day в WordPress-плагине используется в реальных атаках

...
Критическая 0-day в WordPress-плагине используется в реальных атаках

Киберпреступники вновь нацелились на уязвимость нулевого дня (0-day) в одном из плагинов для сайтов на движке WordPress. Речь идёт о Fancy Product Designer, дыра в котором позволяет атакующим загрузить на ресурс вредоносную программу.

Владимир Заполянский: PHDays сейчас, пожалуй, самая популярная секьюрити-конференция в мире

...
Владимир Заполянский: PHDays сейчас, пожалуй, самая популярная секьюрити-конференция в мире

В интервью Anti-Malware.ru Владимир Заполянский, директор по маркетингу и корпоративным коммуникациям компании Positive Technologies, делится своими мыслями о последствиях введённых против компании санкций, о возросшем интересе к юбилейной конференции Positive Hack Days 2021, о настоящем и будущем киберполигона собственной разработки, а также о том, каким образом сделать индустрию кибербезопасности прозрачной для всех участников рынка.

Более 25% точек выхода Tor следили за активностью людей в дарквебе

...
Более 25% точек выхода Tor следили за активностью людей в дарквебе

В феврале 2021 года неизвестная группа киберпреступников смогла взять под контроль более 27% всей выходной мощности сети Tor. Об этом говорит новое исследование инфраструктуры дарквеба, которое провёл независимый исследователь в области кибербезопасности.

На сайтах 27 российских банков нашли возможность редиректа посетителей

...
На сайтах 27 российских банков нашли возможность редиректа посетителей

Исследователи из компании StopPhish нашли серьёзную уязвимость на веб-сайтах около 27 российских банков. Как объяснили специалисты, в случае эксплуатации брешь позволяет перенаправить клиентов кредитных организаций на фишинговые ресурсы.

Преступники взломали 120 серверов Revive и внедрили вредоносную рекламу

...
Преступники взломали 120 серверов Revive и внедрили вредоносную рекламу

В ходе вредоносной кибероперации, которую исследователи окрестили «Tag Barnakle», злоумышленники взломали более 120 серверов и внедрили злонамеренный код, перенаправляющий посетителей веб-сайтов на мошеннические ресурсы.

Данные 533 млн пользователей Facebook распространяются бесплатно

...
Данные 533 млн пользователей Facebook распространяются бесплатно

На популярном форуме для киберпреступников свободно распространяются персональные данные приблизительно 533 миллионов пользователей социальной площадки Facebook. Судя по всему, скомпрометированные сведения попали в руки злоумышленников в 2019 году благодаря уязвимости Facebook.

В плагине Facebook for WordPress пропатчена критическая RCE-уязвимость

...
В плагине Facebook for WordPress пропатчена критическая RCE-уязвимость

В расширении Facebook for WordPress (ранее Official Facebook Pixel) устранили две опасные уязвимости. Одна из них позволяет внедрить на сайт вредоносный PHP-код и удаленно запустить его на исполнение. Пользователям рекомендуется обновить продукт до новейшей версии — 3.0.5.

IETF объявила о депрекации TLS 1.0 и TLS 1.1

...
IETF объявила о депрекации TLS 1.0 и TLS 1.1

Рабочая группа по развитию интернет-технологий (Internet Engineering Task Force, IETF) обновила рекомендации по использованию криптопротокола TLS, официально списав версии 1.0 и 1.1 как устаревшие.