Недавно в популярном средстве защищённого удалённого доступа OpenSSH устранили две серьёзные уязвимости, способные привести к атакам типа «человек посередине» (MiTM) и отказу в обслуживании (DoS). Обе проблемы были исправлены в версии OpenSSH 9.9p2.
Метка: уязвимость
В браузере Chrome обнаружены критические уязвимости, связанные с переполнением буфера в куче в движке V8 (обработка JavaScript) и графической подсистеме.
Уязвимости в многофункциональных принтерах Xerox VersaLink позволяют извлечь аутентификационные учетные данные с помощью атак типа pass-back, нацеленных на службы LDAP и SMB/FTP.
В 2024 году объем похищенных мошенниками средств достиг 27,5 млрд руб., рекордного значения за всю историю наблюдений. Стремительно растут хищения через каналы дистанционного банковского обслуживания и систему быстрых платежей. При этом возврат похищенных средств остается на довольно низком уровне, менее 10%. Вместе с тем ЦБ продолжает совершенствовать систему выявления уязвимостей банков, проводя регулярные киберучения. И пока […]
Исследователи из компании Rapid7 обнаружили в многофункциональных принтерах Xerox VersaLink C7025 сразу 2 уязвимости, позволяющие злоумышленникам перехватывать учётные данные с помощью Pass-back-атак.
Компания признала активные атаки через цепочку уязвимостей.
В OpenSSH исправили две уязвимости, эксплуатация которых может привести к атакам man-in-the-middle и отказу в обслуживании (DoS). Причем одна из этих проблем появилась в коде более 10 лет назад.
Учёные из Сент-Луисского университета разработали новую скрытую атаку на языковые модели искусственного интеллекта, получившую название DarkMind. Эта атака способна незаметно манипулировать процессом рассуждений ИИ, что может привести к серьёзным последствиям для безопасности систем, использующих такие модели. Зен Го и Реза Турани, авторы исследования, обнаружили уязвимость в парадигме «цепочки рассуждений» (Chain-of-Thought, CoT), которую используют многие современные […]
Эксперты предупреждают, что злоумышленники уже атакуют уязвимость обхода аутентификации, затрагивающую брандмауэры SonicWall. Дело в том, что для этой проблемы недавно появился proof-of-concept эксплоит.
Для подписчиковВ этой статье я расскажу, как искал недавно раскрытую компанией Fortinet уязвимость CVE-2024-55591 в продуктах FortiOS и FortiProxy. Уязвимость позволяет обходить аутентификацию с использованием альтернативного пути или канала (CWE-288), а еще дает возможность удаленному злоумышленнику получить привилегии суперпользователя и выполнить произвольные команды.