Рубрика «патчи»
Как у меня украли авторство патча
2023-09-27 в 18:27, admin, рубрики: linux kernel, безопасность ядра, открытый исходный код, патчи, ядро Linux
Пентест корпоративной сети: о пользе своевременных патчей Microsoft AD
2023-03-27 в 12:15, admin, рубрики: active directory, CVE-2022–26923, dcsync, mimikatz, rubeus, аудит безопасности, аудит внутренней сети, Блог компании Бастион, информационная безопасность, патчи, Тестирование IT-систем, тестирование на проникновение
Сегодня поделюсь с вами историей из практики, которая наглядно покажет, к каким быстрым и катастрофическим последствиям может привести задержка с установкой патчей для серверного ПО.
Записки пентестера: карантин, удаленные сотрудники и как с этим жить
2020-04-03 в 6:00, admin, рубрики: CVE, rdp, vpn, информационная безопасность, патчи, уязвимости
На фоне всеобщего карантина и перехода на удаленку некоторые коллеги по цеху начали усиленно набрасывать нагнетать – мол, вокруг уже куча хакнутых компаний. Я же хочу поговорить о том, что можно сделать в короткие сроки, чтобы взломать вас было куда сложнее.
Читать полностью »
Уязвимость плагина WordPress может привести к удалению 200 тысяч сайтов. Выпущен патч
2020-02-18 в 12:42, admin, рубрики: wordpress, wordpress plugins, базы данных, информационная безопасность, патчи, плагины, Серверное администрирование, уязвимости
Исследователи безопасности из компании WebARX нашли серьезную уязвимость в плагине для темы WordPress, которая позволяла получать доступ к сайту и стирать базы данных. У нее более 200 тысяч установок. Читать полностью »
Project Zero будет выжидать 90 дней перед раскрытием уязвимостей, чтобы повысить эффективность патчей
2020-01-09 в 9:26, admin, рубрики: Google, Google API, project zero, безопасность, информационная безопасность, патчи, Разработка под android
Проект Google по раскрытию уязвимостей Project Zero изменит политику их раскрытия. С этого года информация будет публиковаться только через 90 дней, даже если патч вышел ранее этого срока. Эта мера направлена на повышение качества исправлений, поскольку многие производители ПО стремятся как можно скорее выпустить их, но в итоге такие патчи малоэффективны.
Таким образом, 90-дневный срок позволит разработчикам получить больше времени на распространение исправления и убедиться, что оно эффективно устраняет причину проблемы. Читать полностью »
Замаскированный под программиста бот исправляет ошибки в коде
2018-10-26 в 7:00, admin, рубрики: github, open source, Repairnator, баги, искусственный интеллект, ошибки, патчи, ПрограммированиеАвтоматизированный программист Repairnator сделал патчи достаточно хорошие для того, чтобы ввести в заблуждение людей
«В этом мире ничего нельзя заявить определённо, кроме неизбежности смерти и налогов», — писал Бенджамин Франклин в 1789. Если бы он жил сегодня, он мог бы ещё добавить в этот список ошибки в программах.
Современные компьютерные программы настолько сложны, что ошибки неизбежно появляются в них в процессе разработки. Поэтому их поиски и написание патчей, их исправляющих – обычная часть любого графика разработки ПО. Существуют даже компании, предлагающие разработчикам такой сервис – например, Travis.
Но поиск ошибок и написание патчей – дело долгое, забирающее значительные ресурсы. Различные исследователи разрабатывали ботов для автоматизации этого процесса, но они обычно работают медленно или выдают код плохого качества, не проходящий инспекцию. Поэтому разработчикам бы очень хотелось положиться на быстрый и качественный бот, сканирующий код на предмет ошибок и пишущий к ним патчи.
Читать полностью »
Исследование: половина компаний патчит уязвимости в течение месяца — почему?
2018-09-15 в 11:13, admin, рубрики: 1cloud, meltdown, spectre, Блог компании 1cloud.ru, ИБ, информационная безопасность, патчи, уязвимостиИсследователи из компании Kollective, занимающейся разработкой программно-определяемых сетей доставки контента, провели опрос среди двух сотен американских и британских организаций. Они обнаружили, что почти половине компаний на закрытие известной уязвимости нужен целый месяц. Расскажем, почему так происходит, и что с этим можно сделать.
Patch Tuesday: критически важные патчи, которые вы могли пропустить
2018-05-10 в 15:50, admin, рубрики: internet explorer, patch tuesday, solar jsoc, Блог компании Solar Security, информационная безопасность, патчи, патчинг, уязвимостиНадеемся, что очередной выходной посреди недели вас не расслабил и вы внимательно следили за «вторником обновлений», который фактически начинается в 9-10 вечера по Москве. Если же парад Победы и поездка на дачу немного выбили вас из рабочего ритма, то добро пожаловать под кат. Вендоры выкатили несколько важных патчей, закрывающих действительно серьезные уязвимости, так что рекомендуем обратить внимание.
Само название Patch Tuesday придумали в Microsoft, поэтому с них и начнем.
В Microsoft Exchange устранены сразу 5 уязвимостей, одна из которых — CVE-2018-8154 — особенно выделяется: злоумышленнику достаточно отправить на почтовый сервер MS Exchange специальным образом созданное письмо, чтобы на сервере выполнился код с привилегиями уровня SYSTEM.
Читать полностью »
Security Week 9: майнер устраняет конкурентов, обманка для светофора и крайне взломоопасные камеры
2018-03-21 в 11:17, admin, рубрики: IoT, Блог компании «Лаборатория Касперского», информационная безопасность, криптомайнинг, патчи, трояны, уязвимостиНовость
Майнинг стал, пожалуй, самым частым поводом для новостей и самым модным развлечением киберпреступников. Однако где популярность — там и конкуренция: такими темпами скоро на каждом компьютере будет работать несколько зловредов разных разработчиков, не говоря уже о скриптах, встроенных в веб-страницы. А ресурсы CPU не резиновые.
Неизвестный умелец задумался о такой перспективе и решил подстраховаться: на просторах сети появился троян-майнер, который находит и останавливает конкурентов.Читать полностью »
Вечно открытый «Сезам», или Несколько лазеек в ваш ИТ-ландшафт
2018-03-07 в 7:00, admin, рубрики: Блог компании Инфосистемы Джет, бреши, информационная безопасность, патчи
Зубодробительные уязвимости вроде EthernalBlue или Heartbleed привлекают к себе очень много внимания, подпитывая идею о том, что главное – это своевременный «патчинг» системного ПО. Однако не все помнят о том, что критические дефекты конфигурации встречаются ничуть не реже и далеко не всегда исправляются простой установкой обновлений.
О нескольких таких брешах безопасности хочется сказать особо, поскольку они встречаются у каждого второго (если не первого) заказчика и не исправляются годами.
Читать полностью »