173 Google

За обнаружение и ответственное раскрытие множественных уязвимостей в сервисе Google App Engine (GAE) для Java эксперты польской компании Security Explorations получили от технологического гиганта вознаграждение в размере $50 тысяч.

Эта сумма стала рекордной для Google с начала действия ее программы по выплате вознаграждений за обнаруженные уязвимости. Напомним , что исследователи обнаружили 30 потенциальных брешей в GAE в начале текущего месяца и представили концепты кодов для 20 из них.

Примечательно, что некоторые из уязвимостей можно было эксплуатировать для обхода песочницы. После проведения более глубокого анализа Google заблокировала учетные записи в GAE исследователей Security Explorations еще до того, как они успели закончить тестирования. Тем не менее, позднее компания позволила им завершить исследования, пишет securitylab.ru.

1420 Skype

В Skype обнаружена уязвимость, позволяющая осуществлять тайную прослушку пользователя, сообщил один из пользователей форума Reddit.

Затрагивает брешь исключительно приложение для Android-устройств. Для воссоздания уязвимости необходимо три устройства. Одному из абонентов необходимо войти в одну и ту же учетную запись Skype с двух устройств, затем позвонить другому пользователю (потенциальной жертве) на его Android-устройство.

Пока осуществляется вызов, необходимо отключить интернет-соединение, тогда приложение автоматически перезвонит на второе устройство абонента, на котором он также вошел в свой аккаунт. Чтобы слышать и видеть все, что происходит на другом конце линии, ему останется только ответить на вызов, сообщает runews24.ru.

272 Mac OS X

Шведский эксперт компьютерной безопасности обнаружил серьезную уязвимость в операционной системе Mac OS X, включая самую свежую ее версию — Yosemite.

Исправление, способное устранить этот недостаток, скорее всего, не появится до января следующего года. Уязвимость уже получила название «Rootpipe». Она позволяет получить получить права «суперпользователя», что дает возможность получить доступ к устройству в обход системы безопасности. Любопытно, что Эмиль Кварнхаммар, нашедший уязвимость, посчитал, что Apple не столь оперативно отреагировала на его сообщение, как он думал: ему пришлось доказывать возможную угрозу от использования этой уязвимости. Подробности уязвимости пока не раскрываются, пишет rg.ru.

190 Samsung

Специалисты Национального института стандартов и технологий США (NIST) сообщили о серьезной уязвимости в программном обеспечении смартфонов Samsung и, в частности, функции Find My Mobile.

Она является аналогом сервисов Android Device Manager и Find My iPhone и позволяет вести поиск смартфона, а также блокировать его удаленно в случае кражи или утери. Как выяснили эксперты, система не проверяет источник данных о ключе безопасности, необходимом для управления смартфоном и передаваемом через сеть, пишет onliner.by. «Теоретически хакеры могут использовать функцию Find My Mobile для удаленной блокировки мобильника жертвы», — пояснили специалисты.

Microsoft исправила баг в браузере Internet Explorer, который позволял хакерам собирать информацию о наборе средств EMET и другом защитном софте, установленном на системе.

Уязвимость использовалась во время кибершпионской кампании, которую в фирме FireEye назвали Operation SnowMan. Злоумышленники атаковали компьютеры американских военных в начале 2014 года. Хакеры отказывались от нападений, если на системе был установлен активный набор средств EMET (Enhanced Mitigation Experience Toolkit). Брешь в Internet Explorer 10 позволяла злоумышленникам определить защитный софт, доступный на ПК.

143 Twitter

Сеть микроблогов Twitter представила «программу охоты на баги», в которой все желающие смогут заработать от $140 за найденные уязвимости.

Для этого создана специальная программа под названием HackerOne и одноименный сайт.В компании заявили, что это решение было вызвано рядом недавних инцидентов с воровством данных, серьезно подорвавших доверие пользователей онлайн-сервисов. Программа вознаграждений будет реализовываться на платформе HackerOne. Для участия в ней нужно соблюдать несколько требований, например, не разглашать сведения о найденной ошибке до ее устранения, пишет rg.ru.

258 Apple

Apple опровергла наличие уязвимостей в своих сервисах.

Подведя итоги внутреннего расследования, производитель заявил, что iCloud и Find My Phone скомпрометированы не были, а приватные снимки знаменитостей были украдены в результате целенаправленного взлома отдельных аккаунтов, передают «Вести».

«Мы были возмущены, узнав о краже, и немедленно мобилизовали инженеров Apple для обнаружения источника. Конфиденциальность и безопасность клиентов имеют для нас первостепенное значение», — сообщается в заявлении Apple.

Приватные фото десятков актрис, фотомоделей и других знаменитостей, напомним, были выложены накануне.

Согласно исследованию компании Positive Technologies, в последнее время заметно возросло количество сайтов с уязвимостями высокой степени риска. Исследователи выявили самые распространенные уязвимости и оценили, насколько эффективны методы их обнаружения.

Всего в ходе тестов по анализу защищенности, проводившихся компанией в 2013 году, было изучено около 500 веб-сайтов, для 61 из них проводился более углубленный анализ. Значительная часть исследованных порталов принадлежала банкам — из-за участившихся атак в этой сфере. Также увеличился спрос на анализ безопасности сайтов СМИ, что связано с громкими случаями их взломов и распространения дезинформации. Кроме того, исследовались сайты государственных учреждений, промышленных предприятий и телекоммуникационных компаний.

Выяснилось, что 62% сайтов в 2013 году содержали уязвимости высокой степени риска. Данный показатель существенно выше прошлогоднего (45%). Больше всего приложений с уязвимостями высокой степени риска было выявлено на сайтах СМИ (80%). Что касается сайтов дистанционного банковского обслуживания, то ни одна из исследованных систем ДБО не соответствовала полностью требованиями стандарта безопасности PCI DSS, пишет CNews.

Как следует из сообщения разработчиков Chrome Google, последнее выпущенное ими обновление безопасности устраняет 50 уязвимостей в обозревателе.

При этом часть брешей при их поочередном использовании позволяла атакующему не только выйти за пределы встроенной песочницы, но и выполнить произвольный код на целевой системе. Речь идет об уязвимостях в приложениях браузера, механизме синхронизации и таких его компонентах, как V8 и IPC. Обнаруживший данные ошибки исследователь получил вознаграждение в размере $30 тысяч. Остальные эксперты были вознаграждены суммами от $500 до $4 тысяч, пишет securitylab.ru.

Популярные системы домашних мультимедиа-развлечений, а также подключаемые к Интернету устройства могут подвергать риску конфиденциальность частной жизни и ценные данные всей семьи. К такому выводу пришли эксперты «Лаборатории Касперского» после эксперимента по поиску уязвимостей в гаджетах, повсеместно использующихся в современных домах.

Антивирусный эксперт Дэвид Джейкоби исследовал разные модели домашней техники. В результате он обнаружил одну уязвимость в телевизоре Smart TV, несколько потенциально опасных срытых функций удаленного управления в роутере, а также 14 уязвимостей в сетевых устройствах хранения данных (сетевых накопителях).

Основные проблемы информационной безопасности в домашних гаджетах обуславливаются отсутствием шифрования при передачи данных от пользователя к серверу производителя, а также слабыми паролями доступа к устройствам, которые по умолчанию устанавливаются вендором и редко меняются пользователем.

С начала 2014 году в браузере Internet Explorer корпорации Microsoft было найдено больше уязвимостей, чем за весь прошлый год. Это следует из отчета компании Bromium Labs, выпускающей решения для защиты корпоративных сетей.

Internet Explorer лидирует среди других популярных браузеров по количеству уязвимостей, найденных в первой половине 2014 г. Причем опережает их по этому показателю в разы — приблизительно в 2 раза Mozilla Firefox и примерно в 2,5 раза Google Chrome. Даже в технологии Adobe Flash, которую аналитики называют наиболее излюбленной среди хакеров, в первой половине нынешнего года было найдено примерно в 8 раз меньше уязвимостей, чем в Internet Explorer.

Это может говорить, однако, не о том, что Internet Explorer стал хуже в плане безопасности, а о том, что Microsoft стала уделять больше внимания поиску уязвимостей в нем, пишет CNews.

Компания Mozilla выпустила последнюю версию Firefox 31 с поддержкой работы на всех платформах. В обновленной версии исправлено 11 уязвимостей, 3 из которых отмечены как критические. Некоторые из уязвимостей могли быть использованы злоумышленниками для удаленного выполнения произвольного кода на целевой системе.

Mozilla рекомендует установить обновленное ПО, так как три найденные критические уязвимости могут быть использованы для выполнения произвольного кода на целевой системе и установки вредоносных программ, которые не требуют вмешательства со стороны пользователя, пишет securitylab.ru.

Группа исследователей из Калифорнийского университета в Беркли проанализировала безопасность пяти популярных парольных веб-менеджеров разработки компаний LastPass, RoboForm, My1Login, PasswordBox и NeedMyPassword. В них найдены уязвимости, которые позволяют постороннему злоумышленнику получить доступ к учетным данным пользователя, пишет soft.mail.ru.

«Мы нашли уязвимости в разнообразных функциях, таких как одноразовые пароли, букмарклеты и совместные пароли, – сказано в опубликованной научной работе. – Коренные причины возникновения багов тоже разнятся: от логики и ошибок авторизации до неправильного понимания модели безопасности в вебе, вдобавок к типичным уязвимостям вроде CSRF и XSS».

116 Oracle

Корпорация Oracle заявила о своих планах выпустить 115 патчей безопасности для уязвимостей, которые затрагивают широкий спектр продуктов компании.

Запланированное обновление «закрывает» 20 слабых мест платформы Java SE, каждая из которых потенциально может эксплуатироваться киберпреступниками удаленно, без необходимости в наличии идентификационных данных. 29 патчей предназначаются для комплекса Oracle Fusion Middleware, и из них 27 направлены на уязвимости, которые могут эксплуатироваться по сети без прохождения хакерами процесса аутентификации.

Затрагиваемые компоненты промежуточного ПО включают BI Publisher, GlassFish Server, HTTP Server, JDeveloper, WebCenter Portal и WebLogic Server. Еще 6 патчей разработаны для базы данных Oracle: две уязвимости могут эксплуатироваться дистанционно без ввода учетных данных. Другие 7 патчей покрывают Hyperion – продукт Oracle для бизнес-аналитики, передает soft.mail.ru.

148 Gmail

Пользователи Apple, работающие с почтой Gmail, потенциально могут стать жертвами перехвата данных.

Google не развернула технологии безопасности должным образом, что позволяет потенциальным злоумышленникам просматривать и даже модифицировать процессы защищенных коммуникаций с серверами Google, говорится в заявлении компании Lacoon Mobile Security.

Сайты применяют цифровые сертификаты для шифрования трафика посредством SSL/TLS-протоколов. Но иногда эти сертификаты могут быть подделаны хакерами, что позволяет последним наблюдать за трафиком и дешифровать его. Эту уловку можно ликвидировать посредством «подкалывания» сертификата, предусматривающего жесткое вшивание сертификата в приложение еще на этапе разработки последнего, пишет cybersecurity.ru.

122 Microsoft

Microsoft выпустила обновления безопасности, затрагивающее 29 брешей в продуктах компании, а Adobe, в свою очередь, обновила Flash Player. Два из шести бюллетеней безопасности, выпущенные техногигантом, обозначены как критические, а еще три — важные. Один из апдейтов отмечен как несущий «умеренную опасность».

Один из критических бюллетеней затрагивает 24 уязвимости в Internet Explorer. Их эксплуатация позволяла злоумышленнику обойти ограничения безопасности и скомпрометировать систему. Уязвимыми являлись версии Microsoft Internet Explorer 10.x, 11.x, 6.x, 7.x, 8.x, а также 9.x. Кроме того, критической обозначена брешь в Windows Journal. Ее эксплуатация позволяет удаленному пользователю выполнить произвольный код на целевой системе, пишет securitylab.ru.

160 SAP

Эксперты компании Digital Security, предоставляющей консалтинговые услуги в области ИБ, сообщили о результатах семилетней работы по анализу уязвимостей платформы SAP. По информации, опубликованной на официальном портале SAP, всего было обнаружено три тысячи уязвимостей. Значительная их часть была закрыта при помощи команды экспертов.

Александр Поляков, технический директор компании Digital Security, дает следующие комментарии к проведенному исследованию: «В соответствии с данными портала cvedetails.com, собирающего информацию по всем публичным уязвимостям, а также наиболее уязвимым вендорам, по количеству CVE продукты SAP находятся на 37 месте в списке производителей. Однако стоит понимать, что не все проблемы SAP имеют CVE. Сами представители SAP их не публикуют, в то время как сторонние исследователи тоже делают это лишь изредка», сообщает CNews.

Организация OpenSSL Foundation обнародовала информацию о новой уязвимости (CVE-2014-0224) в протоколе шифрования OpenSSL, позволяющей успешно проводить атаки типа «человек посередине» (Man-in-the-Middle) — перехватывать данные на отрезке между клиентом и сервером, расшифровывать и читать их.

Для проведения атаки нужно, чтобы и клиент, и сервер использовали версию OpenSSL, в которой содержится уязвимость. На стороне клиента она содержится во всех версиях OpenSSL, на стороне сервера — в версиях OpenSSL 1.0.1 и 1.0.2-beta1. Брешь была обнаружена Масаси Кикути из компании Lepidum. Он же предложил патч для устранения проблемы. OpenSSL Foundation выпустила собственный патч на основе кода исследователя.

«Проблема заключается в том, что во время „рукопожатия“ OpenSSL некорректно принимает сообщение ChangeCipherSpec (CCS). Причем этот баг присутствует с самой первой версии OpenSSL», — рассказал Кикути

Бывший сотрудник компании Google сообщил об очередной уязвимости в мобильной операционной системе Android. Используя ее, злоумышленники могут без участия владельца смартфона, планшета или иного устройства получать снимки и отправлять их на удаленный сервер.

Инженер опубликовал видео, демонстрирующее работу уязвимости. Отмечается, что получение и отправка данных возможна даже при выключенном экране смартфона, то есть пользователь не заметит, что кто-то эксплуатирует устройство без его ведома. Злоумышленник может задать интервал, по истечении которого мобильное устройство станет получать и отправлять фото, пишет onliner.by.

143 Word

Недавно исправленная ​​уязвимость в Microsoft Word продолжает использоваться для осуществления кибератак на государственные учреждения в Тайване, обнаружили исследователи из Trend Micro.

Уязвимость CVE-2014-1761 была активным предметом обсуждений специалистов по безопасности в Microsoft еще в марте 2014 года и была устранена ​​в апреле. Тем не менее, наличие патча не остановило нападавших.

Согласно Trend Micro, атаки были направлены на государственные учреждения и образовательный институт в Тайване. Первая атака была осуществлена с помощью электронного письма с вредоносным вложением, которое выглядело как официальное сообщение от государственного служащего. Внутри был прикреплен эксплоит, который распространял вредоносные файлы, пишет securitylab.ru.