vulnerabilities
Просмотров: 8,216
12 обсуждают
Популярные
Новые
См. оригинал
#Cloudflare недавно смягчил самую большую зарегистрированную распределенную атаку типа «отказ в обслуживании» (#DDoS ), достигшую пика в 3,8 терабит в секунду (Тбит/с), во время кампании, нацеленной на финансовые услуги, интернет и телекоммуникации. Атака длилась месяц, было более 100 гиперобъемных атак, одна из которых длилась 65 секунд. Атака перегрузила сетевую инфраструктуру большими объемами данных, некоторые из которых превышали два миллиарда пакетов в секунду. Было задействовано много скомпрометированных устройств, включая #ASUS маршрутизаторов и #MikroTik систем, со значительным заражением в России, Вьетнаме, США, Бразилии и Испании. Злоумышленники в основном использовали протокол UDP для выполнения атак. Ранее рекорд принадлежал Microsoft с атакой DDoS мощностью 3,47 Тбит/с на свою сеть Azure.
Кроме того, Akamai подчеркнул, что #vulnerabilities in Linux CUPS серверы могут стать потенциальным вектором для будущих DDoS атак, с более чем 58000 систем в настоящее время подвержены. Тестирование показало, что уязвимости CUPS могут усиливать атаки через повторяющиеся запросы, представляя значительную угрозу - #bleepingcomputer
Кроме того, Akamai подчеркнул, что #vulnerabilities in Linux CUPS серверы могут стать потенциальным вектором для будущих DDoS атак, с более чем 58000 систем в настоящее время подвержены. Тестирование показало, что уязвимости CUPS могут усиливать атаки через повторяющиеся запросы, представляя значительную угрозу - #bleepingcomputer
См. оригинал
#Google и #Arm объединились для улучшения безопасности #GPU , уделяя особое внимание широко используемому графическому процессору Mali, чтобы защитить устройства Android от уязвимостей, которые могут привести к повышению привилегий.
- Важность графических процессоров: графические процессоры имеют решающее значение для мобильных визуальных впечатлений, но могут подвергать устройства рискам безопасности из-за своих программных и прошивочных стеков.
- Исследование уязвимости: Android Red Team и Arm стремятся проактивно выявлять и устранять уязвимость #vulnerabilities в модулях ядра GPU, которые часто написаны на языках, небезопасных для памяти, таких как C.
- Недавние инициативы:
- Тестирование драйвера ядра: фаззинг выявил проблемы с памятью (CVE-2023-48409, CVE-2023-48421) в драйвере Mali #kernel , которые были быстро исправлены.
- Тестирование прошивки: многогранный подход выявил CVE-2024-0153, переполнение буфера в прошивке GPU, которое также было быстро исправлено.
- Время исправления: для борьбы с активной эксплуатацией команды разработали девять новых тестов Security Test Suite, чтобы помочь партнерам обеспечить своевременное исправление.
- Будущие направления: Arm запускает программу вознаграждений за ошибки, чтобы улучшить обнаружение уязвимостей и поддерживать постоянное сотрудничество с Android Red Team для укрепления безопасности GPU во всей экосистеме.
Это партнерство представляет собой значительную попытку повысить безопасность устройств Android, сохранив при этом высокую производительность.
- Важность графических процессоров: графические процессоры имеют решающее значение для мобильных визуальных впечатлений, но могут подвергать устройства рискам безопасности из-за своих программных и прошивочных стеков.
- Исследование уязвимости: Android Red Team и Arm стремятся проактивно выявлять и устранять уязвимость #vulnerabilities в модулях ядра GPU, которые часто написаны на языках, небезопасных для памяти, таких как C.
- Недавние инициативы:
- Тестирование драйвера ядра: фаззинг выявил проблемы с памятью (CVE-2023-48409, CVE-2023-48421) в драйвере Mali #kernel , которые были быстро исправлены.
- Тестирование прошивки: многогранный подход выявил CVE-2024-0153, переполнение буфера в прошивке GPU, которое также было быстро исправлено.
- Время исправления: для борьбы с активной эксплуатацией команды разработали девять новых тестов Security Test Suite, чтобы помочь партнерам обеспечить своевременное исправление.
- Будущие направления: Arm запускает программу вознаграждений за ошибки, чтобы улучшить обнаружение уязвимостей и поддерживать постоянное сотрудничество с Android Red Team для укрепления безопасности GPU во всей экосистеме.
Это партнерство представляет собой значительную попытку повысить безопасность устройств Android, сохранив при этом высокую производительность.
См. оригинал
Ronin Network теряет $9,8 млн 💸
#Ronin Сеть потеряла $9,8 млн Ether в результате потенциальной атаки, которую мог провести хакер, согласно сообщению PeckShield.
Хакеры White Hat используют #vulnerabilities , чтобы повысить безопасность и обычно возвращают украденные средства после того, как докажут, что код неисправен. Если это касается Ronin, средства могут быть возвращены в ближайшее время.
Кроме того, хакеры со злым умыслом также известны тем, что возвращают #stolen средств, о чем свидетельствует возврат криптовалюты на сумму $71 млн в мае после того, как инцидент привлек к себе значительное внимание.
#Binance
#crypto2024
#Ronin Сеть потеряла $9,8 млн Ether в результате потенциальной атаки, которую мог провести хакер, согласно сообщению PeckShield.
Хакеры White Hat используют #vulnerabilities , чтобы повысить безопасность и обычно возвращают украденные средства после того, как докажут, что код неисправен. Если это касается Ronin, средства могут быть возвращены в ближайшее время.
Кроме того, хакеры со злым умыслом также известны тем, что возвращают #stolen средств, о чем свидетельствует возврат криптовалюты на сумму $71 млн в мае после того, как инцидент привлек к себе значительное внимание.
#Binance
#crypto2024
См. оригинал
Полное руководство по эмуляции и анализу прошивки.
#Firmware Эмуляция — это важный процесс в исследовании встраиваемых систем и #cybersecurity , позволяющий аналитикам тестировать, проверять и идентифицировать #vulnerabilities прошивку без необходимости доступа к физическому оборудованию.
Такие инструменты, как QEMU, Firmadyne и Firmware Analysis Toolkit (FAT), жизненно важны для эмуляции прошивок на базе Linux, используемых в маршрутизаторах, устройствах IoT и других встроенных системах. В этой статье подробно рассматриваются эти инструменты и предоставляется пошаговое руководство по их эффективному использованию для анализа прошивок.
QEMU: универсальная эмуляция процессора
Такие инструменты, как QEMU, Firmadyne и Firmware Analysis Toolkit (FAT), жизненно важны для эмуляции прошивок на базе Linux, используемых в маршрутизаторах, устройствах IoT и других встроенных системах. В этой статье подробно рассматриваются эти инструменты и предоставляется пошаговое руководство по их эффективному использованию для анализа прошивок.
QEMU: универсальная эмуляция процессора
См. оригинал
Настроения инвесторов на рынках криптовалют…
Рынки криптовалют известны своей волатильностью, вызванной различными факторами: от макроэкономических тенденций до заявлений регулирующих органов и технологических разработок. Несмотря на периодические корректировки, долгосрочные инвесторы сохраняют оптимизм в отношении преобразующего потенциала технологии блокчейн и цифровых активов.
Проблемы и риски на рынках криптовалют…
1. **Волатильность.** Колебания цен на криптовалюты могут быть существенными, создавая риски как для инвесторов, так и для трейдеров.
2. **Проблемы безопасности.** Кибератаки, взломы и уязвимости в смарт-контрактах остаются значительными рисками для экосистемы криптовалют.
3. **Неопределенность регулирования.** Отсутствие четкой нормативной базы в некоторых юрисдикциях создает неопределенность для участников рынка и может препятствовать более широкому внедрению.
#VolatilityWarning #smartcontracts #vulnerabilities #risks #StabilityAndInnovation $USDC $SOL $BNB
Рынки криптовалют известны своей волатильностью, вызванной различными факторами: от макроэкономических тенденций до заявлений регулирующих органов и технологических разработок. Несмотря на периодические корректировки, долгосрочные инвесторы сохраняют оптимизм в отношении преобразующего потенциала технологии блокчейн и цифровых активов.
Проблемы и риски на рынках криптовалют…
1. **Волатильность.** Колебания цен на криптовалюты могут быть существенными, создавая риски как для инвесторов, так и для трейдеров.
2. **Проблемы безопасности.** Кибератаки, взломы и уязвимости в смарт-контрактах остаются значительными рисками для экосистемы криптовалют.
3. **Неопределенность регулирования.** Отсутствие четкой нормативной базы в некоторых юрисдикциях создает неопределенность для участников рынка и может препятствовать более широкому внедрению.
#VolatilityWarning #smartcontracts #vulnerabilities #risks #StabilityAndInnovation $USDC $SOL $BNB
См. оригинал
Вызывает ли ERC-2771 и интеграция нескольких вызовов уязвимости смарт-контрактов Web3? ☠️
#OpenZeppelin обнаружил 13 уязвимых смарт-контрактов, возникших в результате интеграции ERC-2771 и Multicall.
#Thirdweb обнаружил широко распространенную угрозу безопасности, затрагивающую распространенные контракты Web3, что привело к появлению предупреждений от OpenZeppelin, Coinbase NFT и OpenSea.
Проблема возникает из-за неправильной интеграции, допускающей потенциальную эксплуатацию. OpenZeppelin предложил четырехэтапный протокол безопасности, советующий отключать серверы пересылки, приостанавливать контракты, отзывать одобрения, обновлять и оценивать моментальные снимки.
Thirdweb запустил инструмент для проверки #vulnerabilities . Velodrome приостановил работу служб Relay для безопасного обновления. Обсуждалась роль искусственного интеллекта в аудите контрактов; По словам Джеймса Эдвардса из Librehash, хотя он и не уступает людям-одиторам, он ускоряет и усиливает процесс.
#Binance
#crypto2023
#OpenZeppelin обнаружил 13 уязвимых смарт-контрактов, возникших в результате интеграции ERC-2771 и Multicall.
#Thirdweb обнаружил широко распространенную угрозу безопасности, затрагивающую распространенные контракты Web3, что привело к появлению предупреждений от OpenZeppelin, Coinbase NFT и OpenSea.
Проблема возникает из-за неправильной интеграции, допускающей потенциальную эксплуатацию. OpenZeppelin предложил четырехэтапный протокол безопасности, советующий отключать серверы пересылки, приостанавливать контракты, отзывать одобрения, обновлять и оценивать моментальные снимки.
Thirdweb запустил инструмент для проверки #vulnerabilities . Velodrome приостановил работу служб Relay для безопасного обновления. Обсуждалась роль искусственного интеллекта в аудите контрактов; По словам Джеймса Эдвардса из Librehash, хотя он и не уступает людям-одиторам, он ускоряет и усиливает процесс.
#Binance
#crypto2023
См. оригинал
#AnciliaInc
Неизвестный проект потерял около 85 тыс. (около 150 $BNB ) из-за двух #vulnerabilities в их двух контрактах.
Tx: 0x0b45e23c6af507caa78b8fe3783c2f6c8486cb18c7a0324afc268ab1797260ce
адрес атакующего 0x3C4e4fbc17A7caa22570E54b57Ba42cF053A777A
Неизвестный проект потерял около 85 тыс. (около 150 $BNB ) из-за двух #vulnerabilities в их двух контрактах.
Tx: 0x0b45e23c6af507caa78b8fe3783c2f6c8486cb18c7a0324afc268ab1797260ce
адрес атакующего 0x3C4e4fbc17A7caa22570E54b57Ba42cF053A777A
См. оригинал
Распространенные уязвимости в криптовалютных системах
Криптографические системы лежат в основе децентрализованных финансов (DeFi) и блокчейн-экосистем, предлагая пользователям беспрецедентный контроль над цифровыми активами. Однако сложность этих систем также открывает множество векторов атак, от смарт-контрактов до кошельков с мультиподписью и даже аппаратных кошельков. Разработчики, часто сосредоточенные на функциональности, могут упускать из виду критические уязвимости, создавая возможности для сложных атак, подобных тем, что были замечены во время взлома Radiant Capital на 50 миллионов долларов. В этой статье будут рассмотрены уязвимости в криптосистемах и предоставлены подробные сведения о том, как они возникают, опираясь на последние тенденции атак и часто упускаемые из виду ошибки разработчиков.