уязвимость

Все результаты по тегу уязвимость
В компьютерной безопасности термин «уязвимость» (англ. vulnerability, на сленге — дыра) используется для обозначения недостатка в системе, используя который, можно намеренно нарушить её целостность и вызвать неправильную работу. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадежных паролей, вирусов и других вредоносных программ, скриптовых и SQL-инъекций. Некоторые уязвимости известны только теоретически, другие же активно используются и имеют известные эксплойты.
Обычно уязвимость позволяет атакующему «обмануть» приложение — выполнить непредусмотренные создателем действия или заставить приложение совершить действие, на которое у того не должно быть прав. Это делается путём внедрения каким-либо образом в программу данных или кода в такие места, что программа воспримет их как «свои». Некоторые уязвимости появляются из-за недостаточной проверки данных, вводимых пользователем, и позволяют вставить в интерпретируемый код произвольные команды (SQL-инъекция, XSS, SiXSS). Другие уязвимости появляются из-за более сложных проблем, таких как нарушение безопасности при работе с памятью, например переполнение буфера. Поиск уязвимостей иногда называют зондированием, например когда говорят о зондировании удалённого компьютера — подразумевают, поиск открытых сетевых портов и наличии уязвимостей, связанных с приложениями, использующими эти порты.
Метод информирования об уязвимостях является одним из пунктов спора в сообществе компьютерной безопасности. Некоторые специалисты отстаивают немедленное полное раскрытие информации об уязвимостях, как только они найдены. Другие советуют сообщать об уязвимостях только тем пользователям, которые подвергаются наибольшему риску, а полную информацию публиковать лишь после задержки или не публиковать совсем. Такие задержки могут позволить тем, кто был извещён, исправить ошибку при помощи разработки и применения патчей, но также могут и увеличивать риск для тех, кто не посвящён в детали.
Существуют инструментальные средства, которые могут помочь в обнаружении уязвимостей в системе. Хоть эти инструменты могут обеспечить аудитору хороший обзор возможных уязвимостей, существующих в системе, они не могут заменить участие человека в их оценке.
Для обеспечения защищённости и целостности системы необходимо постоянно следить за ней: устанавливать обновления, использовать инструменты, которые помогают противодействовать возможным атакам. Уязвимости обнаруживались во всех основных операционных системах, включая Microsoft Windows, Mac OS, различные варианты UNIX (в том числе GNU/Linux) и OpenVMS. Так как новые уязвимости находят непрерывно, единственный путь уменьшить вероятность их использования против системы — постоянная бдительность и использование обновленных версий ПО.

Посмотреть больше на Wikipedia.org
  1. ScriptMakeR

    Zero-click уязвимость обнаружена во всех версиях Windows

    Ошибка TCP/IP распространяется по системам с IPv6 без участия пользователя. Microsoft предупредила пользователей о критической уязвимости TCP/IP, которая позволяет удалённое выполнение кода (RCE) на всех системах Windows с включенным по умолчанию протоколом IPv6. Уязвимость CVE-2024-38063...
  2. Ботан

    Защиту Cloudflare от DDoS удалось обойти

    Механизмы защиты, настроенные клиентами Cloudflare (например, брандмауэр, предотвращение DDoS-атак) для веб-сайтов, могут быть обойдены из-за пробелов в межсетевых контролях безопасности, что потенциально подвергает клиентов атакам, которые Cloudflare должен предотвратить. Злоумышленники могут...
  3. newswriter

    Уязвимость WinRAR позволяет хакерам запускать программы при открытии RAR-файлов

    Популярное приложение для архивации WinRAR недавно получило исправление, устраняющее опасную уязвимость. Обновление до версии WinRAR 6.23, замеченное экспертами из Bleeping Computer, закрывает уязвимость с высоким уровнем опасности — CVE-2023-40477. Старые версии WinRAR предоставляли возможность...
  4. Dragokas

    KIS и обновление уязвимых программ

    77% российских пользователей работают с устаревшим программным обеспечением, а в среднем на одном компьютере в нашей стране сегодня содержится 7 приложений, которые требуют обновлений. Такие данные получила «Лаборатория Касперского» с помощью облачной инфраструктуры Kaspersky Security Network...
  5. machito

    Уязвимость в прошивке маршрутизаторов Netgear

    Уязвимость в прошивке маршрутизаторов Netgear позволяет злоумышленникам раскрыть важные данные. Уязвимость существует из-за ошибки в протоколе удаленного управления устройством, позволяя злоумышленнику раскрыть определенную информацию. Ряд беспроводных маршрутизаторов Netgear подвержены...
  6. machito

    Как защититься от кражи учетных записей: советы экспертов

    На этой неделе интернет-общественность горячо обсуждала скандальную атаку, организованную, как предполагается,хакерами из России. Исследователи безопасности из Hold Security сообщили, что киберпреступники, располагавшиеся на территории России, Казахстана и Монголии, осуществили целый ряд атак на...
Назад
Сверху Снизу