Общий смысл в том, что при импорте из нехорошего (или хорошего, но подпорченного нехорошими людьми) репозитория .git/config может быть перезаписан новым файлом, содержащим произвольные команды, которые будут запущены на клиентской машине ( Read more... )

Как обычно, XSS. Прикол в том, что зловредные скрипты, оставленные в _анонимных_ комментариях, запускаются в браузере администратора, который зашёл в Dashboard/Comments их отмодерировать или даже просто посмотреть. И позволяют создать новый администраторский эккаунт для злоумышленника. Это относится к версиям 3.9.2, 3.8.4, 3.7.4, а также, возможно ( Read more... )

Внезапно OLE package manager (packager.dll) умеет скачивать извне и запускать файлы ( Read more... )

Детали: http://seclists.org/oss-sec/2014/q3/650 или http://www.csoonline.com/article/2687265/application-security/remote-exploit-in-bash-cve-2014- ( Read more... )

Уязвимость проистекает из-за того, что платёжный терминал считается доверенной частью процесса, а на самом деле это не так. При генерации картой авторизационного кода используются случайные числа, генерируемые не банком, а терминалом ( Read more... )

Компания WhiteHat Security провела исследование популярных языков программирования веб-сайтов: http://www.net-security.org/secworld.php?id=16694Read more... )

Серьёзный такой, говорят, позволяет вытянуть до 64 килобайт памяти (за одну попытку, а попыток в одной сессии можно проделать сколь угодно много) из подключённого по SSL клиента или сервера. А там могут лежать ключи в открытом виде ( Read more... )

Уязвимы Word 2003, 2007, 2010, 2013, а также Microsoft Word Viewer и Microsoft Office for Mac 2011 ( Read more... )

тестируя найденную им уязвимость. Собственно, уронил он не весь Play, а тольуо Google's Developer Console, в результате чего разработчики не могли загрузить в Play новые приложения и обновления старых. Остальное вроде бы работало нормально.http://money.cnn.

MS14-013: удаленное исполнение кода при просмотре специально подготовленного JPEG (баг в DirectShow) - все версии Windows, начиная с XP SP3, за исключением Itanium-based.
MS14-015: повышение привилегий при запуске специально подготовленного приложения (баг в ядре) - все версии Windows, начиная с XP SP3.