Компания Qualys обнаружила ряд проблем с ядром Linux и системным менеджером systemd. Как оказалось, там есть две уязвимости, которые позволяют пользователю повысить привилегии до root и выполнить произвольный код, а также привести к краху системы. Для этого используются манипуляции с каталогами.

Исследователь проблем кибербезопасности из компании IOActive Жозеп Родригес (Josep Rodriquez) предупредил, что устройства для считывания NFC-чипов во многих современных банкоматах и платёжных терминалах уязвимы к атакам, часто — с помощью обычного смартфона.

Данные более 100 млн пользователей устройств на базе Android могут быть раскрыты из-за разных ошибок в настройках сторонних облачных сервисов, используемых мобильными приложениями. К такому выводу пришли специалисты из компании Check Point Research, работающей в сфере информационной безопасности, после проведения соответствующего исследования.

В модемах Qualcomm обнаружена уязвимость, которая ставит под угрозу персональные данные пользователей смартфонов на базе её чипов. По мнению исследователей, данная уязвимость может быть использована для взлома трети всех смартфонов в мире, однако компания уже выпустила исправление.

Компания Microsoft приступила к распространению первого в этом году пакета обновлений безопасности в рамках программы Patch Tuesday. Разработчики выпустили исправления 83 уязвимостей в разных продуктах, в том числе Windows 10, облачных продуктах, инструментах для разработчиков и др. Январский патч безопасности доступен для устройств с Windows 10 October 2020 Update (20H2), Windows 10 May 2020 Update (2004) и Windows 10 November 2019 Update (1909).

Исследователи из Грацского университета в Австрии обнаружили новую опасную уязвимость в процессорах Intel. Атака на неё получила название PLATYPUS («утконос» по-русски). Утконосы, по словам авторов исследования, своим клювом чувствуют электрический ток, что передаёт суть найденной уязвимости, основанной на использовании показаниий потребления процессоров. Обнаруженная дыра позволяет извлекать AES- и RSA-ключи и присутствует во всех процессорах Intel с 2011 года.

Компания AMD объявила о проведении работ, направленных на устранение уязвимости SMM Callout (CVE-2020-12890), использование которой позволяет взять под контроль интерфейс UEFI и осуществить выполнение кода на уровне System Management Mode.

Интересная и перспективная процессорная архитектура AMD Zen и её последующие версии заслуженно привлекли к себе внимание и любовь потребителей. Но каждая медаль имеет две стороны. Оборотной стороной растущей популярности процессоров AMD стало растущее же число обнаруженных уязвимостей. Пока Intel была безусловным лидером рынка, «дыры» в процессорах AMD мало кого интересовали. Теперь это в прошлом. Начинаем считать уязвимости в процессорах AMD.

Эксперты Positive Technologies годами исследуют подсистему Intel ME (CSME). И не зря! Они находят там много интересного. Сама подсистема Intel Management Engine преследует благую цель ― обеспечить удобное и удалённое обслуживание компьютеров. Но обратная сторона комфорта ― это потенциальная уязвимость системы для взлома. А новая находка экспертов вообще за гранью. Оказывается, в чипсетах Intel есть в принципе неустранимая уязвимость.

Исследователь Амол Байкар (Amol Baikar), работающий в сфере информационной безопасности, обнародовал данные о существующей в течение десяти лет уязвимости в протоколе авторизации OAuth, используемом в социальной сети Facebook. Эксплуатация данной уязвимости позволяла осуществлять взлом аккаунтов Facebook.