⚡Очередная подборка новостей для этичного хакера
🤯👩💻 Аппаратная уязвимость в процессорах Apple
Уязвимость делает возможной атаку по стороннему каналу на алгоритмы шифрования данных с последующей кражей приватных ключей. Для этого на компьютере жертвы необходимо запустить вредоносный код, который сможет контролировать алгоритм.
Сама атака занимает от одного до нескольких часов, и прямо сейчас угрозы пользователям не несет. Последствия от обнаружения уязвимости, тем не менее, будут: проблема в системе подгрузки данных в кэш-память может быть закрыта только программным путем, в конкретных реализациях алгоритмов шифрования, что приведет к снижению производительности.
👩💻 Свежая публикация экспертов «Лаборатории Касперского» описывает типичные виды вредоносных программ для устройств под управлением Android.
🗂 Исследователи нашли новый метод проведения DoS-атаки на базовые сетевые сервисы (TFTP, DNS, NTP). Уязвимости подвержены более 300 тысяч серверов.
🔐 Исследование безопасности дверных замков Saflok фирмы Dormakaba, используемых в отелях и открываемых с помощью технологии RFID. В предложенном сценарии атаки злоумышленник заселяется в отель, получает ключ-карту от своего номера и на основе данных из него создает универсальный ключ, который открывает все замки в гостинице.
🐛 CVE-2024-27298: SQL-инъекция в Parse Server до 6.5.0
🐛 CVE-2024-27103: XSS в Pineterest Querybook до 3.31.1
🐛 CVE-2024-27307: Prototype Pollution в JSONata до 1.8.7
🐛 CVE-2024-26143: XSS в Ruby on Rails до 7.0.8.1
🐛 CVE-2024-27302: обход политики CORS во фреймворке go-zero до 1.4.4
🌐 Утечка маршрутов интернета / Nvidia предсказывает будущее / ИИ твой новый тиммейт: security-новости от главреда SecLab
#news #чтопроисходит
🤯
Уязвимость делает возможной атаку по стороннему каналу на алгоритмы шифрования данных с последующей кражей приватных ключей. Для этого на компьютере жертвы необходимо запустить вредоносный код, который сможет контролировать алгоритм.
Сама атака занимает от одного до нескольких часов, и прямо сейчас угрозы пользователям не несет. Последствия от обнаружения уязвимости, тем не менее, будут: проблема в системе подгрузки данных в кэш-память может быть закрыта только программным путем, в конкретных реализациях алгоритмов шифрования, что приведет к снижению производительности.
🗂 Исследователи нашли новый метод проведения DoS-атаки на базовые сетевые сервисы (TFTP, DNS, NTP). Уязвимости подвержены более 300 тысяч серверов.
🔐 Исследование безопасности дверных замков Saflok фирмы Dormakaba, используемых в отелях и открываемых с помощью технологии RFID. В предложенном сценарии атаки злоумышленник заселяется в отель, получает ключ-карту от своего номера и на основе данных из него создает универсальный ключ, который открывает все замки в гостинице.
🐛 CVE-2024-27298: SQL-инъекция в Parse Server до 6.5.0
🐛 CVE-2024-27103: XSS в Pineterest Querybook до 3.31.1
🐛 CVE-2024-27307: Prototype Pollution в JSONata до 1.8.7
🐛 CVE-2024-26143: XSS в Ruby on Rails до 7.0.8.1
🐛 CVE-2024-27302: обход политики CORS во фреймворке go-zero до 1.4.4
#news #чтопроисходит
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3👍1
📦 HTB Drive: повышаем привилегии через собственный модуль SQLite
📦 HTB Visual: захватываем сервер на Windows через проект Visual Studio
📦 HTB CozyHosting: эксплуатируем инъекцию команд в веб-приложении на Java
📦 HTB Appsanity: используем DLL Hijacking для повышения привилегий
📦 HTB Manager: повышаем привилегии в Active Directory через технику ESC7
📦 HTB Analytics: используем баг в OverlayFS, чтобы сбежать из Docker
#writeup #pentest #чтопроисходит
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5
🤠 Подборка для этичного хакера
📦 HTB Rebound: проводим сложную атаку на Active Directory
📦 HTB Codify: выходим из песочницы vm2
📦 HTB Hospital: получаем доступ к хосту через уязвимость Ghostscript
📦 HTB Surveillance: эксплуатируем инъекцию команд через скрипт ZoneMinder
📦 HTB Devvortex: повышаем привилегии через уязвимость в Apport
📦 HTB Napper: реверсим приложение на Go и пишем декриптор при помощи ChatGPT
📦 HTB Monitored: получаем доступ в систему через Nagios XI
📦 HTB Ouija: повышаем привилегии через бинарную уязвимость целочисленного переполнения
📌 Задачи на тему «Цифровая криминалистика и реагирование на инциденты» (Digital Forensics and Incident Response, DFIR)
🔎 HTB Sherlock: Brutus
🔎 HTB Sherlock: Unit42
🔎 HTB Sherlock: BFT
🔎 HTB Sherlock: Subatomic
🔎 HTB Sherlock: Meerkat
🔎 HTB Sherlock: Einladen
🔎 HTB Sherlock: Logjammer
#writeup #pentest #чтопроисходит
📦 HTB Rebound: проводим сложную атаку на Active Directory
📦 HTB Codify: выходим из песочницы vm2
📦 HTB Hospital: получаем доступ к хосту через уязвимость Ghostscript
📦 HTB Surveillance: эксплуатируем инъекцию команд через скрипт ZoneMinder
📦 HTB Devvortex: повышаем привилегии через уязвимость в Apport
📦 HTB Napper: реверсим приложение на Go и пишем декриптор при помощи ChatGPT
📦 HTB Monitored: получаем доступ в систему через Nagios XI
📦 HTB Ouija: повышаем привилегии через бинарную уязвимость целочисленного переполнения
📌 Задачи на тему «Цифровая криминалистика и реагирование на инциденты» (Digital Forensics and Incident Response, DFIR)
🔎 HTB Sherlock: Brutus
🔎 HTB Sherlock: Unit42
🔎 HTB Sherlock: BFT
🔎 HTB Sherlock: Subatomic
🔎 HTB Sherlock: Meerkat
🔎 HTB Sherlock: Einladen
🔎 HTB Sherlock: Logjammer
#writeup #pentest #чтопроисходит
👍1