125 iPhone

Apple выпустила обновление, исправляющее уязвимость, связанную с обходом экрана блокировки iPhone. Обновление уже доступно для всех пользователей, перешедших на iOS 7. Размер файла с исправлениями, который может быть скачан «по воздуху», не превышает 20 Мбайт.

Кроме ликвидации этой ошибки, список исправлений в версии iOS 7.0.2 операционной системы включает только вновь появившуюся возможность введения пароля с греческой клавиатуры, сообщает digit.ru.

Ошибка, позволяющая злоумышленнику обойти блокировку на смартфоне и получить доступ к фотогалерее, звонкам, текстовым сообщениям и данным синхронизированных аккаунтов, была обнаружена на следующий день после выхода новой версии операционной системы iOS 7.

Обнаруженная в Mac OS X уязвимость позволяет хакерам повысить привилегии на системе. Настраивая часы на компьютерах жертв особым образом, злоумышленники могут получить неограниченный доступ к их файлам.

Несмотря на то, что брешь была обнаружена достаточно давно, интерес к ней возрос после того, как разработчики, тестирующие ПО в рамках проекта Metasploit, создали новый модуль, намного упрощающий эксплуатацию этой уязвимости.

Брешь затрагивает программу для Unix-систем под названием sudo, которая позволяет управлять привилегиями доступа к тем или иным ресурсам. Наивысший уровень привилегий позволяет получить доступ к файлам других пользователей, не зависимо от того, защищены они паролем, или нет, пишет soft.mail.ru.

Последовательность символов арабского алфавита вызывает критическую ошибку на устройствах Apple с определенными операционными системами и приводит к аварийному завершению работы приложений.

Уязвимость воспроизводится на персональных компьютерах Mac с операционной системой OS 10.8 (Mountain Lion) и смартфонах iPhone с операционной системой iOS 6. Уязвимость реализуется при получении SMS-сообщения, содержащего определенную последовательность арабских символов, пользователем iPhone — при этом происходит аварийное завершение приложения «Сообщения», и в него больше нельзя зайти, говорится на сайте habrahabr.ru.

678 iOS

Исследователи из Технологического института Джорджии, США, обнаружили опасную уязвимость в мобильной операционной системе iOS, эксплуатируя которую им удалось инфицировать систему вредоносной программой, напоминающей троян.

Разработка под названием Jekyll незаметно проникает в систему, после чего способна отслеживать местоположение устройства, считывать и запоминать каждое движение на экране и незаметно включать микрофон для записывания звукового потока и передачи записи киберпреступникам. Кроме того, вредоносная программа способна отправлять SMS-сообщения, электронные письма и публиковать сообщения в Twitter без ведома жертвы, пишет SecurityLab.ru.

«Мы успешно провели атаку на группу устройств, на которые был установлен троян Jekyll. В результате было доказано, что несмотря на «песочницу» iOS, мобильные гаджеты Apple могут выполнять вредоносные операции, такие как отправка сообщений в Twitter, передача фотографий, контактов и другой персональной информации злоумышленнику, отправка почты, SMS и другое», – сообщили разработчики.

Выпущено обновление браузера Chrome 28.0.1500.95 для платформ Windows, Mac, Linux, а также плагина Chrome Frame.

В данном релизе исправлено 11 уязвимостей, некоторые из них высокой степени опасности Все пользователи, у которых установлен браузер Chrome, получат обновление в автоматическом режиме, пишет freebrowsers.ru.

Специалисты Security Research Labs обнаружили в SIM-картах уязвимость. Воспользовавшись ею, злоумышленники могут перехватывать текстовые сообщения, проводить платежи или делать копию SIM-карты. По словам Карстена Ноля, основателя Security Research Labs, на взлом уходит около двух минут, а в качестве оборудования используется обыкновенный компьютер.

Уязвимость была найдена в алгоритме шифрования, который широко применяется при создании SIM-карт. Чтобы получить доступ к мобильному устройству жертвы, хакер отправляет сообщение, имитирующее SMS от компании-оператора. Мобильник автоматически отправляет ответ, в котором содержится ключ безопасности, состоящий из 56 цифр. Он позволяет получить удаленный доступ к SIM-карте и модифицировать чип, а также получить контроль над мобильным устройством, пишет onliner.by.

Microsoft запустит программу по поиску уязвимостей в предварительной версии ОС Windows 8.1. Американская корпорация готова предложить до $100 тыс. за действительно новые методы обхода встроенной в операционную систему защиты.

Еще до $50 тыс. корпорация заплатит за идеи по защите платформы от «новых» методов взлома. Кроме того, Microsoft много внимания уделяет своему браузеру. За найденные критические уязвимости в бета-версии Internet Explorer 11 компания заплатит до $11 тыс., сообщает soft.mail.ru.

В Microsoft заявляют, что пошли на запуск этой программы с целью выявления проблем на раннем этапе запуска операционной системы и поиска взаимовыгодного сотрудничества между клиентами Microsoft и сообществом исследователей вопросов безопасности.

Эксперты компании Rapid7 выявили UXSS-уязвимость в браузере Safari.

Rapid7 утверждает, что данная уязвимость достаточно серьезна, и может вполне успешно использоваться киберпреступниками. Вышеупомянутая уязвимость позволяет злоумышленникам обойти системы защиты, используя файлы формата webarchive. Данный формат позволяет сохранять все содержимое веб-страницы в один файл, пишет anti-malware.ru.

Обнаружена новая уязвимость в социальной сети «Вконтакте». Она позволяет без ведома пользователя публиковать в его статусе аудиозапись, которую он якобы прослушивает.

Эта не слишком опасная брешь в защите сети оставалась незамеченной, пока взломщики не опубликовали название песни с нецензурной лексикой в аккаунте премьер-министра Дмитрия Медведева. Представители сети немедленно отреагировали и заявили, что ошибка была исправлена, а уязвимость закрыта. Разработчики говорят, что ни одна учетная запись в системе не была взломана, пишет anti-malware.ru.

Критическая  уязвимость обнаружена в популярном Android-приложении для обмена сообщениями Viber.

На сегодняшний день приложение было скачано более 100 млн раз. Таким образом, все пользователи, на устройства которых было установлено Viber, могут быть подвержены уязвимости, открывающей доступ к устройству. Viber совместимо с устройствами таких производителей, как Samsung, Sony, HTC, LG и Motorola.

Специалисты компании Bkav Internet Security, которые обнаружили уязвимость, сообщили, что конкретная техника атаки на Viber отличается от модели к модели, однако в каждом случае система может быть взломана, и это приводит к удаленному доступу к пользовательским данным. В компании Viber Media знают о существующем баге и в настоящее время работают над его исправлением, пишет SecurityLab.ru.

170 Skype

Специалист в области ИТ-безопасности Мирза Бархан Бэйг выявил XSS-уязвимость модели DOM на сайте Skype.com (официальный сайт Skype).

По словам эксперта, он сообщил о выявленной уязвимости компании Microsoft ещё в конце декабря 2012 года. Однако уязвимость была устранена лишь в марте текущего года, тогда же он получил (от Microsoft) уведомление о закрытии данной уязвимости.Ранее Мирза Бархан Бэйг выявлял подобные уязвимости на сайте Apple и на официальной странице Microsoft Surface, пишет anti-malware.ru.

На следующей неделе Microsoft выпустит плановые обновления безопасности для своих продуктов. В этом месяце нас ожидают два критических бюллетеня, которые устранят уязвимости в Internet Explorer и Windows.

Первый из них устранит уязвимости в Internet Explorer для Windows XP, Windows Vista, Windows 7 Windows 8 и серверные операционные системы Microsoft. Второй бюллетень опишет уязвимость, которая распространяется на все настольные версии Windows, кроме Windows 8, пишет securitylab.ru.

113 Microsoft

На следующей неделе Microsoft выпустит плановые обновления безопасности для своих продуктов. В этом месяце нас ожидают два критических бюллетеня, которые устранят уязвимости в Internet Explorer и Windows.

Первый из них устранит уязвимости в Internet Explorer для Windows XP, Windows Vista, Windows 7 Windows 8 и серверные операционные системы Microsoft. Второй бюллетень опишет уязвимость, которая распространяется на все настольные версии Windows, кроме Windows 8, пишет securitylab.ru.

91 iOS

В iOS насчитывается наибольшее количество уязвимостей, выяснили эксперты SourceFire. Они объясняют это закрытостью мобильной платформы Apple, а также ее растущей популярностью, пишет onliner.by.

Windows Phone пока мало интересен хакерам из-за небольшой доли рынка, Android является открытой ОС, поэтому «ломать ее неинтересно». Кроме того, благодаря открытости ОС от Google злоумышленники не испытывают никаких трудностей в создании вредоносного программного обеспечения, которое нерадивые пользователи устанавливают сами.

Эксперты нашли в iOS 210 уязвимостей, что составляет 81% от общего количества уязвимостей мобильных платформ, остальные разделены между Android- и Windows-устройствами, а также аппаратами BlackBerry.

114 iPhone

Вышло обновление мобильной операционной системы iOS 6.1.3, которая закрывает уязвимость, позволявшую обойти парольную защиту смартфона iPhone.

Злоумышленник мог получить несанкционированный доступ к iPhone с установленным паролем. Для этого требовалось последовательно выполнить ряд несложных действий, после чего появлялась возможность совершать звонки, просматривать контактную книгу и фотографии, сохраненные в памяти устройства, отмечает ПРАЙМ.

В сервисах «Яндекса» обнаружен ряд серьезных уязвимостей, позволяющих получить доступ к отдельным частям внутренней сети компании. Об этом говорится в сообщении Positive Technologies.

Самой серьезной, по словам специалистов, стала ошибка безопасности на сервисе «Яндекс.Вебмастер», который оказался уязвимым для внедрения внешних сущностей XML (XML External Entity) через XSD-схемы. Эксплуатация данной уязвимости могла открыть доступ к соседним хостам внутренней сети «Яндекса» и представлять потенциальную опасность для пользовательских данных. На данный момент недостатки защищенности в популярных сервисах были оперативно устранены.

Вышло обновление для браузера Chrome, устраняющее 10 уязвимостей, из которых шесть были помечены как «Опасные».

Эксперты также отметили, что в рамках программы выплаты вознаграждений за выявление уязвимостей независимым исследователям было выдано пять тысяч долларов. В общей сложности различным экспертам было вручено четыре премии – три по 1000$ каждая и еще одна в $2000.

Как отмечает SecurityLab.ru, наиболее опасные уязвимости, устраненные в последней стабильной версии, связаны с обработкой навигации в браузере, а также повреждением памяти в процессе работы Web Audio и Indexed DB.

165 iPhone

Специалисты сумели найти новую уязвимость, которая позволяет обойти блокировку дисплея iPhone. Новый способ позволяет открыть доступ к конфиденциальным данным при помощи подключения смартфона к компьютеру. Новая уязвимость присутствуе в iOS 6.1.3, и не исключено, что в ближайшем будущем Apple выпустит новую сборку iOS, в которой она будет закрыта, пишет planetiphone.ru.

Опубликованная уязвимость является логическим развитием «бага», обнаруженного ранее.

93 Yahoo!

Компания Yahoo признала, что ее почтовый сервис мог быть взломан, а взломанные аккаунты использованы для рассылки спама.

Согласно информации антивирусной компании Bitdefender, в случае с Yahoo, хакеры использовали ряд уязвимостей в безопасности программного обеспечения почтового сервиса Yahoo и перехватывали сессионные файлы-cookie, что позволяло им захватить контроль над пользовательским интерфейсом и рассылать через него спам, используя также систему сокращения ссылок bit.ly.

Изначально кампания была ориентирована на западных пользователей, так как использовала только мошеннические письма в стиле сообщений новостного сайта MSNBC, позже мошенники начали рассылать традиционные для таких кампаний предложения о домашнем заработке через интернет, пишет cybersecurity.ru.

103 Opera

В Opera 12.13 устранены 2 уязвимости, позволяющие выполнить произвольный код. Разработчики браузера Opera выпустили обновление, которое устраняет несколько ошибок стабильности и 4 уязвимости.

В уведомлении компании говорится о том, что Opera 12.13 исправлены две уязвимости, связанные с обработкой SVG документов и DOM-событиями, которые позволяют выполнить произвольный код на целевой системе. Еще одна брешь связана с Cross-Origin Resource Sharing (CORS)-запросами – удаленный пользователь может обойти защиту от CSRF-атак.

Подробности еще одной устраненной уязвимости не разглашаются, производитель намерен выпустить уведомление после того, как большинство пользователей обновят свой браузер. Редакция SecurityLab.ru