У червні, 06.06.2018, вийшов Mozilla Firefox 60.0.2, а також версії ESR 60.0.2 і ESR 52.8.1. Нові версії браузера вийшли через місяць після виходу Firefox 60.
Це секюріті випуски в яких виправлена уразливість CVE-2018-6126: Heap buffer overflow rasterizing paths in SVG with Skia.
Виявлені уразливості в Microsoft Exchange. Що були виправлені у вівторку патчів у серпні.
Уразливі продукти: Microsoft Exchange Server 2010 SP3, Exchange Server 2013, Exchange Server 2016.
Обхід безпеки та виконання коду.
Продовжуючи розпочату традицію, після попереднього відео про контроль IoT пристроїв через радіо сигнали, пропоную нове відео на секюріті тематику. Цього разу відео про захоплення індустріальних IoT пристроїв. Рекомендую подивитися всім хто цікавиться цією темою.
DEFCON 25 IoT Village - Pwning the Industrial IoT
Раніше я багато розповідав про взлом звичайних мережевих пристроїв, зокрема IoT, як то IP камер, розумних будинків і smart пристроїв, то цього разу мова йде про захоплення індустріальних IoT пристроїв. Уразливостей в них теж вистачає.
Торік в жовтні на конференції DEFCON 25 відбувся виступ Vladimir Dashchenko. В своєму виступі він розповів про атаки на індустріальні IoT пристрої через Інтернет. Про виявлені класи уразливостей (в тому числі бекдори) і використання їх для захоплення пристроїв та інші віддалені атаки на них.
Він розповів про проблеми з безпекою в мережевих пристроях, що відносяться до індустріальних (Industrial IoT). Рекомендую подивитися дане відео для розуміння поточного стану безпеки індустріальних IoT пристроїв.
Раніше я писав про липневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію в серпні.
В зв’язку з сепаратистськими і терористичними акціями на сході України, хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.
Іноземні хакери провели неполітичні взломи державних сайтів:
bereg-rda.gov.ua (хакером H3X COD3) - 27.08.2018
old.bereg-rda.gov.ua (хакером H3X COD3) - 27.08.2018
korc.gov.ua (хакерами з Turkz.org) - 29.08.2018
Українські Кібер Війська закрили наступні сайти:
Закритий сайт tribunal.dnr-online.ru (через скаргу хостеру) - 08.2018
Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.
Цього разу повідомляю про уразливості в плагінах WooCommerce, Contact Form To Email, Code Snippets, ColorWay, Insert PHP. Для котрих з’явилися експлоіти.
Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.
Виявлені уразливості в Microsoft .NET і ChakraCore. Що були виправлені у вівторку патчів у серпні.
Уразливі продукти: Microsoft .NET Framework 3.5, 3.5.1, 4.5.2, 4.6.2, 4.7, 4.7.1, 4.7.2, ChakraCore.
Обхід безпеки та виконання коду.
В даній добірці експлоіти в веб додатках:
У липні, 29.07.2018, я знайшов Brute Force та Cross-Site Request Forgery уразливості в Philips Envision Gateway. Це система керування розумним будинком.
Раніше я писав про уразливості в сотнях тисяч різних мережевих пристроїв, в тому числі Smart Home системах.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.
Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.
Виявлені уразливості безпеки в Microsoft SQL Server. Що були виправлені у вівторку патчів у серпні.
Уразливі продукти: Microsoft SQL Server 2016 SP1, SQL Server 2016 SP2, SQL Server 2017.
Обхід безпеки та витік інформації.
* 
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.