Международная организация Web Application Security Consortium опубликовала статистику уязвимостей WEB-приложений за прошедший год.

Эксперты международной организации Web Application Security Consortium (WASC), объединяющей профессионалов в области безопасности Web-приложений, традиционно представили статистику уязвимостей WEB-приложений за 2008 год (WASC Web Application Security Statistics Project 2008).

Обзорная статистика содержит данные, полученные в ходе тестирований на проникновение, аудитов безопасности и других работ, проведенных компаниями, входящими в WASC: Blueinfy, Cenzic, dns, encription limited, HP Application Security Center, Positive Technologies, Veracode и WhiteHat Security.

Статистика получена на основе анализа данных 12-ти тысяч Web-приложений, в которых, в общей сложности, было обнаружено более 97 тысяч уязвимостей различной степени риска.

Бывшие сотрудники одного из сотовых операторов взломали базу данных компании и регистрировали на себя красивые номера с целью дальнейшей перепродажи. Арестовать преступников удалось только после поступления жалоб от настоящих владельцев украденных номеров.

Управление «К» МВД обезвредило преступную группу, занимавшуюся продажей краденных сотовых номеров. В состав группы входило 5 человек, включая бывших сотрудников одного из сотовых операторов.

Одна из участниц группы была задержана в аэропорту «Домодедово» при попытке вылета в Дубаи, остальные фигуранты взяты под подписку о не выезде.

Как пояснила информагентствам пресс-секретарь Управления «К» Ирина Зубарева, злоумышленники завладели пропуском в офис сотового оператора, и, воспользовавшись им, установили устройство для считывания вводимой с клавиатуры информации.

Это, в свою очередь, позволило злоумышленникам узнать логины и пароли от базы данных оператора, благодаря которым они стали переписывать «красивые» сотовые номера на своих сообщников.

Далее злоумышленники, по словам Зубаревой, обзванивали бизнесменов и предлагали им выкупить украденные номера по цене «ниже рыночной». Всего ими было реализована номеров на 1 миллион рублей.

Вычислить преступную группу удалось только после того, как покупателям номеров были выданы сим-карты, а настоящие владельцы украденных номеров стали подавать жалобы на отключения от сети. При обысках у преступной группы были изъяты телефонные аппараты, компьютерная техника, сим-карты и списки телефонных номеров.

Как было объявлено в пятницу, 9 октября 2009, вчера Microsoft выпустила одно из самых крупных программных обновлений для операционных систем Windows.

Корпорация Майкрософт выпустила традиционное ежемесячное обновление для операционных систем Windows, которое в этот раз содержит рекордное количество заплаток для различных уязвимостей.

В общей сложности в пакет исправлений вошло 13 патчей, закрывающих 34 дыры в Microsoft Windows, Silverlight, Office и других продуктах компании.

Несмотря на то, что официальный выход Windows 7 должен состояться только 22 октября, Microsoft уже сейчас выпускает обновления для своей новой платформы.

Напомним, на сегодняшний день многие энтузиасты используют эту операционную систему как в предрелизных версиях (Beta, Release Candidate), так и в окончательной версии (Release To Manufacturing).

По официальной информации, шесть заплаток имеют самый высокий приоритет и рекомендованы к немедленной установке - они обеспечивают более надежную защиту пользователей от вредоносного программного обеспечения и действий хакеров.

Корпорация Google выпустила исправление для мобильной платформы Android 1.5, закрывающее две уязвимости в системе безопасности, которые позволяли проводить атаки отказа в обслуживании.

Проблемы были обнаружены исследователями команды Open Source Computer Emergency Response Team (oCERT).

Воспользовавшись одной из дыр, хакеры могли отправить по WAP-протоколу СМС, представленное как Push-сообщение. Вредоносный код этого СМС мог привести к ошибке исключения ArrayIndexOutOfBoundsException (адресация элементов за пределами массива) в Java-приложении android.com.phone.

Аварийно завершившееся приложение автоматически перезапускалось, попутно приводя к временному отключению телефона от мобильной сети и пропуску входящих звонков. Тем пользователям, у которых сим-карта требовала ввода PIN, приходилось набирать его заново. При длительном повторении ошибки мог произойти отказ в обслуживании.

Корпорация Intel не исключает вероятности того, что в ближайшие годы может появиться новое поколение компьютерных вирусов, использующих потенциал параллельных вычислений современных графических процессоров.

Вычисления общего назначения на GPU (Graphics Processing Unit, Графический процессор) в последнее время привлекают все больше внимания со стороны разработчиков и программистов. Благодаря большому количеству потоковых процессоров видеоадаптеры способны справляться с определенными задачами с куда большей эффективностью, нежели центральные чипы.

Но у этой медали есть и обратная сторона: как полагает Интел, на графических процессорах при определенных условиях может быть выполнен и вредоносный код.

В следующий вторник корпорация Microsoft выпустит внушительный комплект патчей для более чем 30 дыр в своих программных продуктам.

Всего будет опубликовано 13 бюллетеней безопасности, содержащих описание 34 дыр в операционных системах Windows всех поддерживаемых версий, браузере Internet Explorer, системе управления реляционными базами данных SQL Server, офисных приложениях, пакете для защиты компьютеров Forefront, средствах для разработчиков и пр.

Восемь бюллетеней будут содержать информацию о критических уязвимостях, которые теоретически обеспечивают возможность полного контроля над удаленным персональным компьютером и выполнения на нем произвольного вредоносного кода.

Дыры, описанные в пяти других бюллетенях, носят статус важных, так как могут использоваться при проведении DoS-атак, с целью повышения привилегий на атакуемой машине.

Компания Mozilla запускает новый инструмент автоматической проверки плагинов. Новинка сможет определить устаревшие версии плагинов расширения для браузеров Firefox 3.5.3 и 3.0.14 и уведомить пользователей о необходимости установки более новых версий.

Такая проверка до недавнего времени работала только для плагина обработки Flash. Теперь она доступна и для других плагинов, в частности для Adobe Acrobat, Windows Media Player Plug-in, RealPlayer и QuickTime.

Необходимость внедрения такого инструмента возникла после того, как специалисты по безопасности стали отмечать увеличение числа атак, использующих уязвимости старых версий программного обеспечения.

В результате проверки пользователь получит список плагинов, которые рекомендуется обновить. Кроме того, указывается дата выхода последней версии плагина. Каждый пункт списка содержит ссылку на скачивание обновлений.

На недавнем семинаре IBM по информационной безопасности был доклад о развитии киберпреступности по данным аналитического отчета "2009 IBM X-Force Mid-Year Trend and Risk Report", подготовленного группой X-Force, исследовательского подразделения IBM ISS. Некоторые цифры из него мне показались очень интересными я решил об этом написать.

Согласно отчету X-Force, число зараженных веб-сайтов, выявленных в первом полугодии 2009 года, увеличилось на целых 508% по сравнению с предыдущим отчетным периодом. Причем они не ограничиваются специальными доменами злоумышленников.

Распространение вредоносного кода в основном ведется через заражение вполне легитимных веб-сайтов, включая популярные поисковые системы, блоги, форумы, персональные сайты, СМИ и другие популярные интернет-ресурсы.

Подпитывался этот рост большим количеством обнаруженных уязвимостей в веб-приложениях, число которых в первом квартале 2009 года составило около 50% от общего количества. Всего же за этот период было обнаружено 3240 уязвимостей!

Общее число дефектов, обнаруживаемых в открытом программном обеспечении, уменьшилось на 16%, заявили специалисты компании Coverity.

Данные получены в ходе начавшегося в 2006 году масштабного анализа исходного кода открытого программного обеспечения.

Компания Coverity, разработчик средств анализа программного кода, в свое время получила правительственный заказ от Министерства национальной безопасности США (Department of Homeland Security): компании вменялось улучшить качество открытого программного обеспечения, все больше внедряемого в государственные структуры.

Компания Panda Security отмечает 20-летие инновационных технологий в области антивирусных решений безопасности.

Panda Security, производитель «облачных» решений безопасности, сегодня объявила о праздновании своего 20-летнего юбилея. За два последних десятилетия Panda Security представила несколько революционных технологий, которые кардинально изменили способ защиты домашних пользователей и предприятий от постоянно растущего количества вредоносного ПО.

Являясь одной из крупнейших мировых антивирусных компаний, Panda на сегодняшний день имеет офисы в 56 странах и насчитывает более 1500 сотрудников. Более подробная информация о 20-летнем юбилее Panda, а также об истории компании и успехах в сфере безопасности.