Пентестеры Центра кибербезопасности УЦСБ нашли критичные уязвимости в ПО известных компаний
Старшие специалисты по анализу защищенности УЦСБ Дмитрий Зубарев и Влад Дриев обнаружили критичные уязвимости в программных продуктах компаний-разработчиков международного уровня. Уязвимости были официально зарегистрированы в базе данных общеизвестных уязвимостей CVE, а также отмечены в «зале славы разработчика».
Дмитрий Зубарев нашел девять уязвимостей в блоке распределения питания Aten PE6208.
Влад Дриев обнаружил две уязвимости в устройствах внутренней связи BAS-IP, за что был внесен в «зал славы разработчика». СVE зарегистрированы здесь и здесь.
CVE (Common Vulnerabilities and Exposures) – это глобальный каталог известных уязвимостей и дефектов безопасности, которым пользуются эксперты по информационной безопасности всех стран.
Для того чтобы уязвимость включили в CVE она должна соответствовать следующим критериям:
- уязвимость должна быть исправлена,
- разработчик продукта с найденной уязвимостью должен признать, что она имеет негативные последствия для безопасности,
- уязвимость затрагивает только одну кодовую базу. Если уязвимость связана с ошибками в библиотеках, протоколах или стандартах, то CVE назначается для каждого затронутого продукта.
Получить зарегистрированные CVE – это очень почетно для каждого специалиста по анализу защищенности и, конечно, очень важно для компаний-разработчиков.
Прохор Садков, руководитель направления анализа защищенности УЦСБ: «Обнаружить и зарегистрировать уязвимости наши специалисты смогли благодаря активному взаимодействию с партнерами и разработчиками продуктов. Приглашаем российских производителей ИТ-продуктов к сотрудничеству, в рамках которого эксперты Центра кибербезопасности УЦСБ могут провести тестирование ПО или оборудования для выявления возможных уязвимостей. Независимое тестирование на проникновение способствует своевременному выявлению и устранению недостатков в защищенности цифрового продукта — это повышает его надежность и безопасность, а также укрепляет доверие пользователей и репутацию разработчика».
похожие материалы
Пассворк стал первым менеджером паролей в России c сертификацией ФСТЭК
Компания Пассворк объявила о получении сертификата ФСТЭК России № 5063 по 4-му уровню доверия.
«Лаборатория Касперского» и hh.ru выяснили, как компании выстраивают киберзащиту и обучают сотрудников
Российские компании планомерно выстраивают системный подход к обучению сотрудников кибербезопасности.
Доход обещают пассивный, а списание вполне реальное
МВД предупредило о мошеннической схеме с «пассивным заработком» на VPS-серверах.
Дешевле агрегатора, но без защиты: «серое» такси ушло в чаты на миллионы пользователей
В России за два года почти втрое выросло число чатов, групп и сообществ с нелегальными и «серыми» такси.
Разработчики говорят, что ИИ помогает работать быстрее, но оценки могут быть завышены
Специалисты METR опубликовали исследование о том, как технические специалисты оценивают влияние ИИ-инструментов на свою продуктивность.
Больше половины банков используют устаревшие ИТ-системы
Согласно исследованию RED Security, в большинстве отечественных банков существуют системные проблемы с кибербезопасностью, создающие риски для бизнеса на фоне растущей активности хакеров и мошенников.
Эксперт компании «Газинформсервис»: «Принято считать, что кибербезопасность глобальна, но хакеры специализируются на конкретных странах»
Исследователи обнаружили, что новый банковский троян TCLBanker способен самостоятельно распространяться по принципу сетевого червя как через один из мессенджеров, так и через почтовый клиент Microsoft Outlook, рассылая фишинговые сообщения от имени заражённых пользователей.
«АйТи Бастион» присоединился к Ассоциации РУССОФТ
Российский разработчик решений в области защиты привилегированного доступа и автоматизации «АйТи Бастион» вошел в Ассоциацию разработчиков программного обеспечения РУССОФТ — одному из крупнейших объединений ИТ-компаний страны, участвующему в развитии отечественной ИТ-индустрии и продвижении российских технологий на внутреннем и зарубежных рынках.
Российским разработчикам рекомендуют переходить с GitHub на российские платформы
Депутат Госдумы по информационной политике Антон Горелкин заявил, что российским разработчикам стоит переносить проекты с GitHub в другие репозитории.
IV Форум «Технологии доверенного искусственного интеллекта»
В Москве 13 мая проходит IV Форум «Технологии доверенного искусственного интеллекта» — авторитетная площадка по научным, прикладным и законодательным аспектам разработки и применения решений на базе ИИ.