Что такое уязвимости в компьютере
Уязвимость — параметр, характеризующий возможность нанесения описываемой системе повреждений любой природы теми или иными внешними средствами или факторами.
Уязвимость неразрывно связанна с характеристикой «живучесть».
-
.
- Уязвимость органов (медицина).
- Уязвимость (вооружения и военной техники)
Список значений слова или словосочетания со ссылками на соответствующие статьи. Если вы попали сюда из другой статьи Википедии, пожалуйста, вернитесь и уточните ссылку так, чтобы она указывала на статью. |
Wikimedia Foundation . 2010 .
Synology и QNAP предупредили об ошибках в своих продуктах
Компании заявили о многочисленных критических Netatalk-уязвимостях серверов.
Бесплатные утилиты
Наши бесплатные утилиты помогают обеспечить защиту ваших устройств на базе Windows, Mac и Android.
Данные тысяч заемщиков ENCollect утекли в сеть
Утечка составила 5,8 ГБ и состояла в общей сложности из более чем полутора миллиона записей.
Подготовка заражения троянскими программами
Киберпреступники используют также небольшие троянские программы, предназначенные для загрузки и запуска более серьезных троянских программ. Небольшая троянская программа проникает на компьютер пользователя, например, используя уязвимость, а затем из интернета загружает и устанавливает другие вредоносные компоненты. Многие троянские программы меняют настройки браузера, устанавливая в браузере минимальный уровень защиты, чтобы облегчить загрузку других троянских программ.
Сувенирный портал Lab Shop
Здесь вы можете приобрести сувенирные продукты с корпоративной символикой «Лаборатории Касперского».
Термин «уязвимость» часто упоминается в связи с компьютерной безопасностью, во множестве самых различных контекстов.
В общем случае, уязвимость ассоциируется с нарушением политики безопасности, вызванным неправильно заданным набором правил или ошибкой в обеспечивающей безопасность компьютера программе. Стоит отметить, что теоретически все компьютерные системы имеют уязвимости. Но то, насколько велик потенциальный ущерб от вирусной атаки, использующей уязвимость, позволяет подразделять уязвимости на активно используемые и не используемые вовсе.
Предпринималось много попыток четко определить термин «уязвимость» и разделить два его значения. MITRE, исследовательская группа, финансируемая федеральным правительством США, занимающаяся анализом и разрешением критических проблем с безопасностью, разработала следующие определения:
Согласно терминологии MITRE CVE:
[…] Уязвимость — это состояние вычислительной системы (или нескольких систем), которое позволяет:
- исполнять команды от имени другого пользователя;
- получать доступ к информации, закрытой от доступа для данного пользователя;
- показывать себя как иного пользователя или ресурс;
- производить атаку типа «отказ в обслуживании».
Предпринималось много попыток четко определить термин «уязвимость» и разделить два его значения.
В MITRE считают, что атака, производимая вследствие слабой или неверно настроенной политики безопасности, лучше описывается термином «открытость» (exposure).
Открытость — это состояние вычислительной системы (или нескольких систем), которое не является уязвимостью, но:
- позволяет атакующему производить сбор защищенной информации;
- позволяет атакующему скрывать свою деятельность;
- содержит возможности, которые работают корректно, но могут быть легко использованы в неблаговидных целях;
- является первичной точкой входа в систему, которую атакующий может использовать для получения доступа или информации.
Когда хакер пытается получить неавторизованный доступ к системе, он производит сбор информации (расследование) о своем объекте, собирает любые доступные данные и затем использует слабость политики безопасности («открытость») или какую-либо уязвимость. Существующие уязвимости и открытости являются точками, требующими особенно внимательной проверки при настройке системы безопасности против неавторизованного вторжения.
Использование уязвимостей веб-браузеров
Последнее время технология распространения вредоносного кода через веб-страницы стала одной из самых популярных у киберпреступников. На веб-сайте размещается зараженный файл и программа-скрипт, использующая уязвимость браузера. При посещении пользователями такой страницы программа-скрипт загружает зараженный файл на компьютер пользователя, используя уязвимость браузера, а затем запускает выполнение файла. Чтобы заразить максимальное количество компьютеров, создатель вредоносной программы использует ряд методов привлечения внимания пользователя к такой веб-странице:
Смотреть что такое "Уязвимость" в других словарях:
Уязвимость — слабое место в информационной системе, которое может привести к нарушению безопасности. Различают: человеческую уязвимость; и техническую уязвимость, возникающая в результате неисправности технологического компонента информационной системы. По… … Финансовый словарь
уязвимость — небезукоризненность, ранимость, небезупречность, чувствительность, слабость, незащищенность Словарь русских синонимов. уязвимость см. ранимость Словарь синонимов русского языка. Практический справочник. М.: Русский язык. З … Словарь синонимов
уязвимость — Внутренние свойства объекта, создающие восприимчивость к воздействию источника риска, которое может привести к какому либо последствию. [ГОСТ Р 53114 2008] уязвимость Слабое место, которое может быть использовано Угрозой. Например, открытый порт… … Справочник технического переводчика
УЯЗВИМОСТЬ — УЯЗВИМОСТЬ, уязвимости, мн. нет, жен. (книжн.). отвлеч. сущ. к уязвимый. Толковый словарь Ушакова. Д.Н. Ушаков. 1935 1940 … Толковый словарь Ушакова
уязвимость — УЯЗВИМЫЙ, ая, ое; им. Толковый словарь Ожегова. С.И. Ожегов, Н.Ю. Шведова. 1949 1992 … Толковый словарь Ожегова
УЯЗВИМОСТЬ — в терминологии ликвидации последствий различных бедствий степень потерь (от 0% до 100%) в результате потенциально разрушительного явления … Юридическая энциклопедия
уязвимость — 2.26 уязвимость (vulnerability): Слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами. Источник … Словарь-справочник терминов нормативно-технической документации
Уязвимость — (англ. vulnerability уязвимость) – 1. ранимость, повышенная чувствительность даже к повседневным психотравмирующим ситуациям; 2. внутренние факторы, которые усиливают эффекты влияния рисков. Ф … Энциклопедический словарь по психологии и педагогике
уязвимость (информационной системы) — уязвимость (информационной системы); брешь: Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации. Примечания Источник: ГОСТ Р 5 … Словарь-справочник терминов нормативно-технической документации
Уязвимость баланса — переоценка зарубежных валютных счетов компании, вызванная изменением обменного курса. По английски: Accounting exposure См. также: Отчетная валюта Финансовый словарь Финам … Финансовый словарь
Киберпреступники часто используют уязвимости операционной системы (ОС) или программных приложений, которые выполняются на компьютере пользователя, чтобы сетевые черви или троянские программы смогли проникнуть на компьютер и запустить себя.
Что такое уязвимость?
Уязвимость — это ошибка в коде или логике работы ОС или программного приложения. Так как современные ОС и приложения очень сложны и включают много функций, разработчикам очень непросто создать программное обеспечение, в котором нет ошибок.
К сожалению, очень много вирусописателей и киберпреступников готовы прилагать значительные усилия, чтобы обнаружить в ОС и приложениях уязвимости и использовать их в своих целях, пока вендоры не выпустят для них патчи.
Рассмотрим типичные уязвимости.
Смотреть что такое "Уязвимость" в других словарях:
Уязвимость — слабое место в информационной системе, которое может привести к нарушению безопасности. Различают: человеческую уязвимость; и техническую уязвимость, возникающая в результате неисправности технологического компонента информационной системы. По… … Финансовый словарь
уязвимость — небезукоризненность, ранимость, небезупречность, чувствительность, слабость, незащищенность Словарь русских синонимов. уязвимость см. ранимость Словарь синонимов русского языка. Практический справочник. М.: Русский язык. З … Словарь синонимов
уязвимость — Внутренние свойства объекта, создающие восприимчивость к воздействию источника риска, которое может привести к какому либо последствию. [ГОСТ Р 53114 2008] уязвимость Слабое место, которое может быть использовано Угрозой. Например, открытый порт… … Справочник технического переводчика
УЯЗВИМОСТЬ — УЯЗВИМОСТЬ, уязвимости, мн. нет, жен. (книжн.). отвлеч. сущ. к уязвимый. Толковый словарь Ушакова. Д.Н. Ушаков. 1935 1940 … Толковый словарь Ушакова
уязвимость — УЯЗВИМЫЙ, ая, ое; им. Толковый словарь Ожегова. С.И. Ожегов, Н.Ю. Шведова. 1949 1992 … Толковый словарь Ожегова
УЯЗВИМОСТЬ — в терминологии ликвидации последствий различных бедствий степень потерь (от 0% до 100%) в результате потенциально разрушительного явления … Юридическая энциклопедия
уязвимость — 2.26 уязвимость (vulnerability): Слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами. Источник … Словарь-справочник терминов нормативно-технической документации
Уязвимость — (англ. vulnerability уязвимость) – 1. ранимость, повышенная чувствительность даже к повседневным психотравмирующим ситуациям; 2. внутренние факторы, которые усиливают эффекты влияния рисков. Ф … Энциклопедический словарь по психологии и педагогике
уязвимость (информационной системы) — уязвимость (информационной системы); брешь: Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации. Примечания Источник: ГОСТ Р 5 … Словарь-справочник терминов нормативно-технической документации
Уязвимость баланса — переоценка зарубежных валютных счетов компании, вызванная изменением обменного курса. По английски: Accounting exposure См. также: Отчетная валюта Финансовый словарь Финам … Финансовый словарь
Киберпреступники часто используют уязвимости операционной системы (ОС) или программных приложений, которые выполняются на компьютере пользователя, чтобы сетевые черви или троянские программы смогли проникнуть на компьютер и запустить себя.
Критическая уязвимость Snipe-IT используется для отправки электронных писем-ловушек
Неавторизованный пользователь может использовать уязвимость для кражи учетных данных.
Вредоносные приложения похищают данные и деньги жертв
Национальный центр кибербезопасности Великобритании предлагает ввести свод правил для магазинов приложений на разных платформах.
Эксперты рассказали, как взломать связанные с VirusTotal сторонние антивирусные песочницы
Уязвимость позволяла удаленно выполнять команды через VirusTotal и получать доступ к его различным функциям сканирования.
Обнаружена критическая уязвимость в RubyGems
Проверьте свои “драгоценности”, ведь из-за ошибки в действии yank любой пользователь RubyGems мог удалять и заменять определенные гемы.
Samsung устранила уязвимости Weather и Galaxy Themes
А Google – семь критических и более десятка уязвимостей высокой и средней степени серьезности.
Продукты для дома
Наши передовые решения помогают защитить то, что для вас ценно. Узнайте больше о нашей удостоенной наград защите.
Google устраняет активно эксплуатируемую уязвимость в ядре Android
Уязвимость представляет собой ошибку повышения привилегий в ядре Linux.
Разработчики программного обеспечения и поставщики антивирусных решений отвечают на вызов
К сожалению, интервал между появлением новой уязвимости и началом ее эксплуатации червями и троянскими программами становится все меньше. Это создает проблемы и для вендоров программного обеспечения, и для антивирусных компаний:
- Разработчикам приложений и ОС приходится максимально быстро исправлять ошибки в программном обеспечении, тестируя его и выпуская обновления. должны оперативно реагировать, чтобы выпустить решение, которое обнаруживает и блокирует файлы, сетевые пакеты или любые другие объекты, позволяющие использовать уязвимость.
Другие статьи и ссылки, связанные с вредоносными программами
Уязвимость в тестах на коронавирус Cue Health позволяла менять результаты
Производителю не известно о каких-либо случаях фальсификации результатов тестирования в реальной жизни.
Термин “уязвимость” используется для обозначения недостатка в системе, используя который может намеренно нарушить её целостность и вызвать неправильную работу. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадежных паролей, вирусов и других вредоносных программ.
В данной статье Вы познакомитесь с основными видами компьютерных уязвимостей.
Переполнение буфера
Переполнение буфера — явление, возникающее, когда компьютерная программа записывает данные за пределами выделенного в памяти буфера. Переполнение буфера обычно возникает из-за неправильной работы с данными, полученными извне, и памятью, при отсутствии жесткой защиты со стороны подсистемы программирования и операционной системы. В результате переполнения могут быть испорчены данные, расположенные следом за буфером (или перед ним).
Подробнее про переполнение буфера Вы можете прочитать в этой статье.
Висячий указатель
Висячий указатель или висячая ссылка — указатель, не ссылающийся на допустимый объект соответствующего типа. Это особый случай нарушения безопасности памяти.
Висячие указатели возникают тогда, когда объект удалён или перемещён без изменения значения указателя на нулевое, так что указатель все ещё указывает на область памяти, где ранее хранились данные. Поскольку система может перераспределить ранее освобождённую память, то оборванный указатель может привести к непредсказуемому поведению программы.
SQL-инъекция
Внедрение SQL-кода — один из распространённых способов взлома сайтов и программ, работающих с базами данных, основанный на внедрении в запрос произвольного SQL-кода. Атака типа внедрения SQL может быть возможна из-за некорректной обработки входных данных, используемых в SQL-запросах.
Внедрение SQL в зависимости от типа используемой СУБД и условий внедрения, может дать возможность атакующему выполнить произвольный запрос к базе данных (например, прочитать содержимое любых таблиц, удалить, изменить или добавить данные), получить возможность чтения и/или записи локальных файлов и выполнения произвольных команд на атакуемом сервере.
Подробнее про SQL-инъекцию Вы можете прочитать в этой статье.
PHP-инъекция
В параметр, определяющий работу PHP с файлами или программным кодом, передаётся ссылка на сторонний программный код или сам код. Является критичной уязвимостью, так как взломщик может выполнять свои скрипты на сервере. Выполнение кода осуществляется при помощи функций: eval(), preg_replace(), require_once(), include_once(), include(), require(), create_function(), readfile(), dir(), fopen().
Email-инъекция
Email инъекция — это техника атаки, используемая для эксплуатации почтовых серверов и почтовых приложений, конструирующих IMAP/SMTP выражения из выполняемого пользователем ввода, который не проверяется должным образом. В зависимости от типа операторов, используемых злоумышленником, выделяют два типа инъекций: IMAP инъекция и SMTP инъекция.
Типичная структура IMAP/SMTP инъекции заключается в следующем:
Межсайтовый скриптинг
XSS (межсайтовый скриптинг) — тип атаки на web-системы, заключающийся во внедрении в выдаваемую web-системой страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с web-сервером злоумышленника. Является разновидностью атаки «внедрение кода».
Специфика подобных атак заключается в том, что вредоносный код может использовать авторизацию пользователя в web-системе для получения к ней расширенного доступа или для получения авторизационных данных пользователя. Вредоносный код может быть вставлен в страницу как через уязвимость в web-сервере, так и через уязвимость на компьютере пользователя.
Подробнее можете узнать в даннной статье.
Межсайтовый скриптинг при наличии SQL-инъекции
SiXSS — тип атаки на уязвимые интерактивные информационные системы. Внедрение выполняемых на клиентском компьютере вредоносных скриптов в выдаваемую системой страницу посредством внедрения кода в SQL-инъекцию. Как правило, данная уязвимость возникает на стороне клиента, при наличии вывода принтабельных полей посредством выполнения SQL-инъекции. Данная атака может обеспечить доступ к информации на сервере, дать возможность выполнять определенные команды, украсть COOKIES пользователя и многое другое.
Межсайтовая подделка запроса
Для осуществления данной атаки жертва должна быть аутентифицирована на том сервере, на который отправляется запрос, и этот запрос не должен требовать какого-либо подтверждения со стороны пользователя, которое не может быть проигнорировано или подделано атакующим скриптом.
Shatter attack
Уязвимость нулевого дня
0day (англ. zero day) — термин, обозначающий не устранённые уязвимости, а также вредоносные программы, против которых ещё не разработаны защитные механизмы. Сам термин означает, что у разработчиков было 0 дней на исправление дефекта: уязвимость или атака становится публично известна до момента выпуска производителем ПО исправлений ошибки.
Доступность данных о характеристиках системы пользователю
Хакер может получить доступ к данным, дающим представление о системе. Не является критичной уязвимостью, но позволяет взломщику получить дополнительную информацию о структуре и работе сервера. Причина этой уязвимости в ошибках и «недосмотрах» программиста. Примером может служить наличие файла phpinfo.php с одноимённой функцией в свободном доступе.
Простые пароли для доступа к административным страницам
Взломщик может подобрать простой пароль к административной странице, дающей ему больше возможностей для взлома. Является критичной уязвимостью, так как позволяет взломщику повлиять на работу сервера.
Пробные версии
Попробуйте наши решения. Всего за несколько кликов вы можете скачать бесплатные пробные версии нашего продукта и проверить их в действии.
Основные атаки программ-вымогателей
Что такое глубокий и теневой интернет?
Технологии внедрения вредоносных программ
Киберпреступники часто используют уязвимости операционной системы (ОС) или программных приложений, которые выполняются на компьютере пользователя, чтобы сетевые черви или троянские программы смогли проникнуть на компьютер и запустить себя.
Избранные статьи
Поиск
Продукты для дома
Наши передовые решения помогают защитить то, что для вас ценно. Узнайте больше о нашей удостоенной наград защите.
Сетевые коммутаторы Aruba и Avaya уязвимы для RCE-атак
Ошибки в библиотеках позволяют злоумышленникам проникнуть в систему.
Колледж Линкольна закрывается после 157 лет работы из-за атаки банды вымогателей
Кибератака нанесла смертельный удар учебному заведению.
О компании
Узнайте больше о том, кто мы, как мы работаем и почему наша главная цель - сделать цифровой мир безопасным для всех.
Cisco выпустила исправления уязвимостей ПО NFVIS для предприятий
Были исправлены три уязвимости NFVIS, позволявшие хакеру взламывать хосты и получать над ними полный контроль.
Участники программы Hack DHS обнаружили 122 уязвимости в системах МНБ США
27 из выявленных проблем оцениваются как критические.
Связаться с нами
Наша главная цель – обеспечить вашу безопасность. Мы всегда готовы ответить на ваши вопросы и оказать техническую поддержку.
Уязвимость – недостаток в компьютерной системе, использование которого, приводить к нарушению целостности системы и некорректной работе. Уязвимость появляются в результате ошибок программирования, недостатков, которые допускались при проектировании системы, ненадежных паролей, вредоносных программ, скриптовых и SQL-инъекций.
Уязвимость позволяет атакующему нарушить корректную работу приложения, к примеру, с помощью внедрения данных незапланированным способом; выполнения команды на системе, на которой выполняется данное приложение; или, используя упущение, которое позволяет получить доступ к памяти для выполнения кода на уровне привилегий программы. Запись данных в буфер, без проверки его границ, приводит к переполнению буфера и как результат происходит выполнение произвольного кода. Это также является уязвимостью. В результате недостаточной проверки данных, вводимых пользователем, возникает уязвимость, которая позволяет напрямую выполнить SQL (SQL-инъекции).
Уязвимости были обнаружены во всех основных операционных системах, включая Microsoft Windows, Mac OS, UNIX и OpenVMS.
Обнаружена критическая уязвимость RCE в ПО dotCMS
Предварительно авторизованный хакер может удаленно выполнять код и загружать произвольные файлы в систему.
Бесплатные утилиты
Наши бесплатные утилиты помогают обеспечить защиту ваших устройств на базе Windows, Mac и Android.
О компании
Узнайте больше о том, кто мы, как мы работаем и почему наша главная цель – сделать цифровой мир безопасным для всех.
Пробные версии
Попробуйте наши решения. Всего за несколько кликов вы можете скачать бесплатные пробные версии нашего продукта и проверить их в действии.
Риски безопасности и конфиденциальности в виртуальной и дополненной реальности
В антивирусах Avast и AVG были исправлены многолетние уязвимости
Уязвимости позволяют локальному пользователю повысить привилегии на системе.
Уязвимости в Linux позволяют получить права суперпользователя
Проблемы содержатся в компоненте networkd-dispatcher многих Linux-дистрибутивов, который отправляет изменения статуса сети.
Хакеры используют критическую ошибку F5 BIG-IP, выпущены общедоступные эксплойты
Уязвимость с оценкой 9,8 баллов может вырасти в серьезную проблему.
TrickBot – многоцелевой ботнет
Британское правительство выпустило инструмент для проверки безопасности электронной почты
Бесплатный инструмент поможет организациям с выявлением уязвимостей.
Связаться с нами
Наша главная цель - обеспечить вашу безопасность. Мы всегда готовы ответить на ваши вопросы и оказать техническую поддержку.
Как защитить детей в интернете во время коронавируса
F5 предупреждает о новой критической уязвимости BIG-IP
Уязвимость связана с отсутствием проверки аутентификации, что потенциально позволяет злоумышленнику получить контроль над уязвимыми системами.
Читайте также: