20:04 31.03.2017
Виявлені уразливості безпеки в Microsoft Office, а також в серверних продуктах Office Web Apps і SharePoint Server.
Уразливі продукти: Microsoft Office Web Apps 2010 SP2, Office Web Apps Server 2013 SP1, Excel Services on SharePoint Server 2007 SP3, 2010 SP2 і 2013 SP1, Word Automation Services on SharePoint Server 2010 SP2, SharePoint Foundation 2013 SP1, Lync for Mac 2011.
Обхід безпеки, пошкодження пам’яті, виконання коду, витік інформації, XSS, відмова в обслуговуванні (DoS).
- Microsoft Security Bulletin MS17-014 - Important Security Update for Microsoft Office (4013241) (деталі)
Опубліковано в Новини, Помилки | Без Коментарів »
16:22 31.03.2017
В даній добірці уразливості в веб додатках:
- SAP Business Objects Search Token Privilege Escalation via CORBA (деталі)
- Vulnerabilities in Drupal (деталі)
- Multiple vulnerabilities in DokuWiki (деталі)
- Vulnerabilities in phpMyAdmin (деталі)
- Cross Site Flashing in SAP BusinessObjects Explorer (деталі)
Опубліковано в Уразливості | Без Коментарів »
23:55 30.03.2017
У березні, 07.03.2017, вийшов Mozilla Firefox 52. Нова версія браузера вийшла через півтора місяці після виходу Firefox 51.
Mozilla офіційно випустила реліз веб-браузера Firefox 52, а також мобільну версію Firefox 52 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 53 намічений на 18 квітня, а Firefox 54 на 13 червня.
Також була оновлена гілка із тривалим терміном підтримки Firefox 45.8.
В браузері були зроблені покращення безпеки, зокрема реалізована специфікація Strict Secure Cookies та додане виведення попередження при зверненні без використання HTTPS до сторінок, що містять форму введення паролю. Також припинена підтримка за замовчуванням плагінів з інтерфейсом NPAPI.
Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 52.0 усунуто 28 уразливостей, що більше ніж в попередній версії. Серед яких вісім позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).
Опубліковано в Новини, Програми | Без Коментарів »
22:43 30.03.2017
Раніше я писав про лютневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію березні.
В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.
Російські хакери провели атаки на державні сайти:
DDoS на www.spfu.gov.ua (російськими хакерами) - 27.03.2017
Іноземні хакери провели неполітичні взломи державних сайтів:
vinoblzem.gov.ua (хакером Imam) - 05.03.2017
trostrda.gov.ua (хакерами з Yunkers Crew) - 23.03.2017
stryirairada.gov.ua (хакером RxR) - 28.03.2017
re.gov.ua (хакером RxR) - 28.03.2017
luglis.gov.ua (хакерами з chinafans) - 28.03.2017
Проукраїнськими хакерами були атаковані наступні сайти:
Березневі DDoS атаки на сайти ДНР і ЛНР
Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.
Українські Кібер Війська закрили наступні сайти:
Закритий сайт gorlovka.media (через вплив на хостера) - 03.2017
Опубліковано в Дослідження | Без Коментарів »
20:09 30.03.2017
Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.
Цього разу повідомляю про уразливості в плагінах Monetize, Video Gallery, WP Symposium, iframe, OAuth2 Complete. Для котрих з’явилися експлоіти.
- WordPress Monetize 1.03 Cross Site Request Forgery / Cross Site Scripting (деталі)
- WordPress Video Gallery 2.7 SQL Injection (деталі)
- WordPress WP Symposium 15.1 SQL Injection (деталі)
- WordPress iframe 3.0 Stored Cross Site Scripting (деталі)
- WordPress OAuth2 Complete 3.1.3 Insecure Random (деталі)
Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.
Опубліковано в Новини сайту, Уразливості | Без Коментарів »
17:22 30.03.2017
В даній добірці експлоіти в веб додатках:
- Wowza Streaming Engine 4.5.0 - Remote Privilege Escalation (деталі)
- Wowza Streaming Engine 4.5.0 - Cross-Site Request Forgery (Add Advanced Admin) (деталі)
- TeamPass Passwords Management System 2.1.26 - Arbitrary File Download (деталі)
- Centreon 2.5.3 - Web Useralias Command Execution (Metasploit) (деталі)
- Barracuda Web App Firewall 8.0.1.008/Load Balancer 5.4.0.004 - Authenticated Remote Command Execution (деталі)
Опубліковано в Експлоіти | Без Коментарів »
23:58 29.03.2017
Виявлені уразливості в Microsoft Silverlight, а також в Office, Skype for Business і Lync.
Уразливі продукти: Microsoft Office, Skype for Business, Microsoft Lync, Microsoft Silverlight 5 для Windows.
Виконання коду, в т.ч. в браузерах з плагіном Silverlight.
- Microsoft Security Bulletin MS17-013 - Critical Security Update for Microsoft Graphics Component (4013075) (деталі)
Опубліковано в Новини, Помилки | Без Коментарів »
22:44 29.03.2017
У лютому вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у березні.
Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.
DDoS на rv.org.ru - 01-31.03.2017
DDoS на cikdnr.ru - 01-31.03.2017
DDoS на cik-lnr.info - 01-31.03.2017
DDoS на без-вести.рф - 01-31.03.2017
DDoS на bne.su - 01-31.03.2017
DDoS на lvs-global.ru - 01-31.03.2017
DDoS на dnrpress.ru - 01-31.03.2017
DDoS на icp.su - 01-31.03.2017
DDoS на interbrigada.org - 01-31.03.2017
DDoS на dokcpp.dn.ua - 01-31.03.2017
Та інші сайти ДНР і ЛНР.
Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.
Опубліковано в Дослідження | Без Коментарів »
19:10 29.03.2017
У лютому я дав інтерв’ю медіа-порталу “Культура”. І 14.03.2017 воно вийшло в журналі та було оприлюднене на сайті.
В інтерв’ю розповідається про мою трирічну діяльність та про кібер війну Росії проти України. А також про громадську ініціативу Українські Кібер Війська, що я створив 09.06.2014, і протидію інформаційній та кібер війні.
Кібервійна: український сектор оборони
Так що кому буде цікаво прочитати інформацію про кібер війну, про мене і УКВ, як тим хто вже читав мої попередні інтерв’ю, зокрема інтерв’ю для Сегодня, чи дивився виступи на ТБ, зокрема на каналі 1+1, так і всім іншим, можете прочитати це інтерв’ю.
Опубліковано в Статті | Без Коментарів »
16:22 29.03.2017
В даній добірці уразливості в веб додатках:
- HP Application Lifecycle Management / Quality Center, Elevation of Privilege (деталі)
- Vulnerability in eGroupware (деталі)
- Vulnerabilities in PHP Zend Framework (деталі)
- Vulnerabilities in GLPI (деталі)
- XXE in SAP BusinessObjects Explorer (деталі)
Опубліковано в Уразливості | Без Коментарів »
