Профиль: Аноним (вход | регистрация) неRU opennet.me  
The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

·05.06.2026 В Chrome устранено 429 уязвимостей, а в Android - 124 (36 +18)
  Компания Google внесла изменения в объявление о выпуске Chrome 149, в котором раскрыла сведения об устранении 429 уязвимостей. 22 уязвимости отмечены как критические, а 87 - как опасные. Критические проблемы позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. Детали пока не раскрываются, упомянуто только, что большая часть критических проблем вызвана переполнением буфера или обращением к уже освобождённой памяти в компонентах ANGLE, Ozone, Chromecast, Chromoting, GFX и процессе для взаимодействия с GPU. Наибольший размер вознаграждения за уязвимость составил 97 тысяч долларов...
·04.06.2026 Атака на реализации HTTP/2, приводящая к исчерпанию доступной памяти (130 +33)
  Раскрыта информация об уязвимости "HTTP/2 Bomb", затрагивающей различные реализации протокола HTTP/2 и позволяющей добиться отказа в обслуживании через исчерпание всей доступной процессу памяти. Наличие проблемы подтверждено в HTTP-серверах nginx, Apache httpd (CVE-2026-49975), Microsoft IIS, Envoy (CVE-2026-47774) и Cloudflare Pingora в конфигурации по умолчанию...
·04.06.2026 Уязвимость в libinput, позволяющая повысить свои привилегии в системе (57 +21)
  В библиотеке libinput, предоставляющей унифицированный стек ввода для Wayland и X.Org Server, выявлена уязвимость (CVE-2026-50265), позволяющая добиться выполнения кода с правами root через подключение локальным пользователем виртуального устройства ввода, сэмулированного в пользовательском пространстве через uinput или uhid. Проблема устранена в выпусках 1.31.3 и 1.30.4...
·01.06.2026 Атакующие встроили вредоносное ПО в 32 NPM-пакета Red Hat (86 +25)
  В результате компрометации процесса формирования релизов на базе GitHub Actions в принадлежащих компании Red Hat репозиториях RedHatInsights, злоумышленники смогли опубликовать в каталоге NPM 64 вредоносные версии, охватывающие 32 NPM-пакета для платформы Red Hat Cloud Services. Для каждого из поражённых NPM-пакетов были выпущены по две вредоносные версии, в которые был интегрирован код для активации нового варианта червя mini-shai-hulud, выполняющего поиск токенов и учётных данных в текущем окружении...
·29.05.2026 CIFSwitch - уязвимость в CIFS-подсистеме ядра Linux, позволяющая получить права root (76 +18)
  Раскрыты детали и опубликован эксплоит для уязвимости CIFSwitch (CVE пока не присвоен) в модуле ядра CIFS и инструментарии cifs-utils, позволяющей непривилегированному пользователю получить права root в системе. Исправление доступно только в виде патча, который опубликован 16 мая и 19 мая был принят в основную ветку ядра Linux (корректирующие выпуски ядра ещё недоступны)...
·28.05.2026 Определение посещаемых сайтов через анализ активности SSD из web-браузера (59 +19)
  Группа исследователей из Грацского технического университета (Австрия), разработала технику атаки по сторонним каналам FROST (Fingerprinting Remotely using OPFS-based SSD Timing), позволяющую через анализ активности SSD-накопителя из выполняемого в браузере JavaScript-кода определить открываемые пользователям сайты с точностью 88.95%, а также запускаемые в системе приложения с точностью 95.83%. Метод также можно использовать для организации скрытого канала связи между локально работающим приложением и выполняемым в браузере JavaScript-кодом. Производительность такого обмена данными в Linux составила 661 bit/s, а в macOS - 892 bit/s...
·28.05.2026 Критические уязвимости в Suricata
  В системе обнаружения и предотвращения сетевых вторжений Suricata выявлено 16 уязвимостей, из которых четырём присвоен критический уровень опасности. Детали об уязвимостях пока не раскрываются публично, но судя по уровню опасности они позволяют организовать выполнение кода на сервере при инспектировании специально оформленного трафика. Уязвимости устранены в выпусках Suricata 8.0.5 и 7.0.16.
·28.05.2026 Уязвимость в rsync, позволяющая повысить свои привилегии в системе
  Шесть уязвимостей в утилите для синхронизации файлов rsync. Наиболее опасная проблема (CVE-2026-29518), вызванная состоянием гонки при обработке символических ссылок, позволяет повысить свои привилегии при запуске rsync в режиме фонового процесса без chroot-изоляции. Атака производится через подмену файла на символическую ссылку, указывающую на произвольный файл в системе, в момент после выполнения проверки, но до начала операции записи. Уязвимости устранены в выпуске rsync 3.4.3.
·28.05.2026 Уязвимость в MongoDB, позволяющая выполнить код на сервере
  Уязвимость (CVE-2026-8053) в MongoDB Server, позволяющая пользователю, имеющему доступ к БД на запись, инициировать переполнение буфера и добиться выполнения своего кода на сервере с правами процесса mongod. Уязвимость устранена в выпусках MongoDB 5.0.33, 6.0.28, 7.0.34, 8.0.23, 8.2.9 и 8.3.2.
·28.05.2026 Уязвимости в HPLIP, позволяющая поднять свои привилегии
  Уязвимости (CVE-2026-8631) в HPLIP, наборе открытых драйверов для принтеров и МФУ, позволяющие повысить свои привилегии и выполнить код в системе. Проблемы вызваны возможностью подстановки команд и переполнением буфера. Уязвимости устранены в обновлении HPLIP 3.26.4.
·28.05.2026 Уязвимости в PostgreSQL, позволяющие выполнить код на сервере через отправку SQL-запросов
  11 уязвимостей в СУБД PostgreSQL, наиболее опасная из которых (CVE-2026-6637) может привести к выполнению кода на уровне операционной системы с правами серверного процесса PostgreSQL при выполнении специально оформленных SQL-запросов (атакующий должен иметь непривилегированный доступ к СУБД). Другая опасная уязвимость (CVE-2026-6475) позволяет перезаписать файлы на сервере (например, /var/lib/postgres/.bashrc) через манипуляции с символическими ссылками при выполнении операций с pg_basebackup и pg_rewind. Проблемы устранены в выпусках PostgreSQL 18.4, 17.10, 16.14, 15.18 и 14.23. Также можно отметить публикацию рабочего эксплоита для ранее выявленной уязвимости (CVE-2026-2005) в расширении pgcrypto...
·28.05.2026 Уязвимости в Memcached, приводящие к повреждению памяти
  Десять уязвимостей (CVE не назначены) в системе кэширования данных в оперативной памяти Memcached, наиболее опасные из которых приводят к переполнению буфера при отправке специально оформленных запросов и потенциально могут использоваться для организации выполнения кода на сервере. Уязвимости устранены в версии Memcached 1.6.42.
·28.05.2026 Уязвимость в qSnapper, позволяющая получить права root в системе
  Уязвимости в D-Bus-сервисе, используемом в qSnapper, графическом интерфейсе для управления снапшотами Btrfs. Уязвимости могут привести к повышению своих привилегий в системе (CVE-2026-41046), утечке информации об изменениях между снапшотами (CVE-2026-41047) и обходу аутентификации при доступе к Polkit (CVE-2026-41045). Наиболее опасная уязвимость вызвана отсутствием проверки символов "../" в путях, передаваемых в функцию snapper::Snapper() при обращении через D-Bus, что можно использовать для подмены файла конфигурации для libsnapper в обработчике, выполняемом с повышенными привилегиями...
·28.05.2026 Уязвимость в 7-Zip, приводящая к выполнению кода при обработке образов NTFS
  Уязвимость (CVE-2026-48095) в архиваторе 7-Zip, приводящая к переполнению буфера при обработке сжатых данных NTFS. Потенциально уязвимость может привести к выполнению кода атакующего при обращении через 7-Zip к специально оформленному образу файловой системы NTFS. Уязвимость устранена в версии 7-Zip 26.01.
·28.05.2026 Уязвимость в реализации DNS-over-HTTPS, предоставляемой DNS-сервером BIND
  Уязвимость (CVE-2026-3593) в DNS-сервере BIND, позволяющая вызвать обращение к памяти после её освобождения и повреждение содержимого памяти через отправку специально оформленного запроса к серверу DNS-over-HTTPS. Проблема устранена в версиях BIND 9.20.23 и 9.21.22. Конфигурации не использующие DNS-over-HTTPS уязвимости не подвержены.
<< Предыдущая страница (позже)
Следующая страница (раньше) >>



Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру