New 12X ZCam, Tally Lights, Beta App Update and TP-Link NDI Equipment
D-Link a publicat beta-uri pentru vulnerabilități în firmware-ul multor camere de supraveghere IP care ar putea permite unui hacker să intercepteze un flux video. > Compania a declarat pe forumul său de suport că va publica o versiune completă a firmware-ului modernizat în decurs de o lună. Unele dintre camerele IP de protecție ale D-Link din seria de dispozitive Cloud vor primi automat actualizările.
"Vom lansa firmware beta cu patch-uri de securitate pentru clienții care doresc să își actualizeze manual camerele de luat vederi imediat", a scris un administrator D-Link pe forumul de asistență al companiei.
[Citirea suplimentară: Cum să eliminați programele malware de pe PC-ul Windows]
De asemenea, administratorul a afișat instrucțiuni pentru îmbunătățirea firmware-ului. Utilizatorii nu ar trebui să facă upgrade la o conexiune fără fir, deoarece o eroare ar putea rupe camera.Au fost publicate anunțuri identice pe paginile pentru alte produse afectate. Actualizările vin după ce Core Security a publicat luni detalii despre cinci vulnerabilități din firmware-ul D-Link, care este utilizat în mai mult de o duzină de produse.
Camerele video IP de la D-Link pot face fotografii și pot înregistra video prin panouri de control web sau dispozitive mobile. Core a descoperit o serie de probleme, inclusiv acreditările codificate și problemele de autentificare care ar putea permite accesul unui atacator prin intermediul protocolului de streaming RTSP.
Detaliile tehnice au fost postate în secțiunea Full Disclosure din Seclists.org. Unele dintre produse au fost eliminate treptat de către D-Link, potrivit site-ului web al companiei.
Anul trecut WabiSabiLabi a deschis un site de licitatii online pentru vulnerabilitatile de securitate neprotejate, de asemenea numite 0 zile. Scopul declarat al companiei a fost acela de a oferi o piață care să permită cercetătorilor de securitate independenți să își câștige existența din cauza vulnerabilităților pe care le descoperă. Pentru a preveni ca vulnerabilitățile să se termine în mâinile criminalilor, numai cumpărătorilor calificați li se permite să utilizeze site-ul licitației WabiSabi
ÎN timp ce companiile de securitate plătesc în mod obișnuit cercetătorii pentru vulnerabilități și apoi păstrează aceste informații în pericol, unii cred că cercetătorii ar trebui să dezvăluie vulnerabilitățile față de furnizori și, atunci când se eliberează un patch, fac detaliile despre vulnerabilitate disponibile publicului, o practică cunoscută în comunitatea de securitate ca fiind divulgarea etică.
Până în prezent, Microsoft declară că a primit rapoarte despre "un număr mic de atacuri direcționate" folosind acest exploit. Producătorul de software lucrează la un patch de securitate pentru această problemă, dar compania nu a spus încă dacă va emite o actualizare de securitate cât mai curând posibil sau ca parte a ciclului lunar de actualizare a "patch-ului de marți". Următorul "patch marți" va fi 9 octombrie.
Explozia a fost făcută publică pe Proiectul Metasploit al companiei Rapid7 și descoperită pentru prima oară în sălbăticie de cercetătorul de securitate Eric Romang. Metasploit îi recomandă utilizatorilor să elimine IE până când Microsoft emite o actualizare de securitate. Noul defect de securitate IE a fost dezvoltat de același grup care a creat defectul de zi zero de la zero, conform Metasploit.
Adobe patch-uri exploatate activ vulnerabilitățile ColdFusion
Adobe a lansat patch-uri de securitate pentru serverul său de aplicații ColdFusion marți, abordând patru vulnerabilități critice exploatate activ de atacatori la începutul lunii ianuarie