Início Vulnerabilidades de Segurança no InfoQ Brasil
Notícias
Feed RSS-
GitHub integra análise de código Semmle para detecção contínua de vulnerabilidades
Com a aquisição da startup Semmle, o GitHub visa tornar a detecção contínua de vulnerabilidades parte do serviço de integração e implantação contínua.
-
Engenharia social de robôs: Brittany Postnikoff no QCon New York
No QCon Nova York, Brittany Postnikoff apresentou a palestra "Engenharia Social de Robôs: Engenharia Social Usando Robôs Físicos". Citando resultados da literatura de pesquisa acadêmica, demonstrou que os seres humanos podem ser manipulados através de robôs. Uma mensagem central da palestra foi a necessidade de segurança e privacidade para fazer parte do design fundamental de qualquer robô.
-
Cenário de Segurança do Ecossistema Docker e Melhores Práticas
Como parte de seu Relatório Anual de Segurança de Código Aberto, a empresa de segurança Snyk divulgou um relatório específico com foco na segurança do Docker, que mostra vulnerabilidades em imagens de contêineres. O InfoQ falou com Liran Tal, defensor do desenvolvimento de Snyk.
-
Design e segurança no método ágil: perguntas e respostas no QCon London
As revisões de diagramas de design por especialistas no domínio podem detectar possíveis violações de segurança não encontradas por verificações de vulnerabilidades ou pela automação de segurança. Essas análises devem focar em funções críticas como emissão e gerenciamento de tokens de acesso, transferência de dados para serviços externos e execução de código não confiável, disse Kevin Gilpin.
-
Dependabot cria automaticamente PRs no GitHub para corrigir suas vulnerabilidades
Aproveitando a API GitHub Security Advisory, o serviço comercial do Dependabot visa ajudar os desenvolvedores a rastrear suas dependências, monitorar a segurança removendo vulnerabilidades.
-
Microsoft corrige brechas no lançamento do Internet Explorer
A Microsoft lançou uma atualização fora do planejado para uma vulnerabilidade crítica no mecanismo de script do Internet Explorer (IE) que poderia levar à execução remota de código. A vulnerabilidade é ativamente explorada, de acordo com o engenheiro de pesquisa da Tenable, Satnam Narang, e os usuários devem atualizar seus sistemas o mais rápido possível.
-
Último incidente com Npm revela vulnerabilidade de segurança
Recentemente o npm-registry teve um incidente que deixou uma grande quantidade de pacotes altamente dependentes, como o require-from-string, indisponíveis. Embora o incidente tenha sido relativamente simples de resolver, descobriu-se uma grande vulnerabilidade de segurança.
-
Interpolação de Strings do Entity Framework levanta preocupações
Um dos novos recursos do Entity Framework Core 2 é a possibilidade de converter automaticamente strings interpoladas em script SQL parametrizado. Apesar da funcionalidade ter sido criada para evitar problemas com scripts SQL mal escritos, o medo é de que esse recurso possa ser utilizado para aumentar ataques de injeção de SQL.
-
Lançada a versão 2.1 da suíte de segurança para containers Twistlock
O Twistlock anunciou a disponibilização da versão 2.1 da sua suite de segurança para containers. Os destaques do lançamento incluem um firewall integrado que entende o tráfego de informação da aplicação, detecção de vulnerabilidade, gerenciamento de Secrets (credenciais, tokens, senhas e outros) via integração com ferramentas de terceiros, e alerta e aplicação de compliance
-
A web está saturada de bibliotecas JavaScript desatualizadas e vulneráveis
Um estudo recente revelou que 37% dos 75 mil maiores sites no ranking da Alexa, possuem pelo menos uma vulnerabilidade, e quase 10% possuem pelo menos duas vulnerabilidades. Outro dado preocupante que o estudo também revelou é que 26% dos 500 primeiros sites do ranking, utilizam bibliotecas vulneráveis.
-
Oracle JDK 1.7u4 com suporte oficial ao Mac, JavaFX e otimizações do JRockit
Foi liberado no final de abril, o update 4 para o Java Development Kit, que traz pela primeira vez suporte oficial ao OS X, incluindo o JavaFX 2.1, e ainda traz as otimizações resultantes da fusão do JRockit com o OpenJDK.
-
Grave vulnerabilidade de negação de serviço atinge maioria dos servidores web
Os pesquisadores de segurança Alexander Klink e Julian Wälde revelaram uma séria vulnerabilidade que atualmente afeta a maior parte dos servidores web. O ataque exige apenas uma requisição HTTP, que é projetada especialmente para gerar colisões de códigos hash dos dados POST de formulários.
-
Aprendendo sobre falhas de segurança hackeando o Google Jarlsberg
Para aqueles que se perguntam como é hackear outro sistema, o Google criou um novo laboratório chamado Jarlsberg, contendo uma aplicação web recheada de falhas de segurança prontas a serem exploradas por desenvolvedores que querem aprender algumas das possíveis vulnerabilidades, como usuários maliciosos usam essas falhas e o que pode ser feito para previni-las.
-
Uma vulnerabilidade de segurança do .NET afetou o Firefox
Uma vulnerabilidade que atinge o Internet Explorer através do .NET também afetou o Firefox. O culpado no caso do Firefox, um add-on do .NET, foi bloqueado pela Mozilla.
-
Vulnerabilidades de Segurança do Ruby on Rails
Falou-se muito da comunidade Ruby on Rails recentemente com a descoberta de vulnerabilidades de segurança e atualizações subsequentes que todo desenvolvedor Rails deve ficar sabendo.