Критический баг, связанный с обработкой архивов, исправлен в Drupal
Разработчики Drupal выпустили версии 7.69, 8.7.11 и 8.8.1, которые устраняют несколько уязвимостей, включая критические.
Браузер Vivaldi вынужден менять user-agent, маскируясь под Chrome
Разработчики сообщили, что начиная с релиза Vivaldi 2.10, их браузер будет маскироваться под Chrome, чтобы пользователи могл…
Check Point: количество угроз для мобильных устройств резко увеличилось
К концу года резко увеличилась активность вредоносных программ для мобильных устройств. Впервые за последние три года в общи…
Учения по изоляции рунета пройдут 23 декабря
В Минкомсвязи подтвердили, что в следующий понедельник будут проведены учения по устойчивости и безопасности интернета в рам…
Обзор эксплоитов. Критические баги в vBulletin, InfluxDB и Django
Сегодня мы поговорим сразу о нескольких уязвимостях. Одна из них была найдена в популярном форумном движке vBulletin и позволяет атакующему выполнять произвольный код, не имея никаких прав, — от такого безобразия его отделяет лишь один POST-запрос. Также я потреплю старичка Django в поисках SQL-инъекций и покажу, как работает обход авторизации в базе данных InfluxDB.
Утекшая информация о банковских картах проверяется в течение 2 часов
Эксперимент показал, что любые данные о банковских картах, попавшие в сеть, быстро обнаруживаются мошенниками и проверяются.
Бывший подрядчик Siemens получил полгода тюрьмы за размещение в коде «логической бомбы»
Дэвид Тинли, внедривший в свои электронные таблицы «логическую бомбу» и много лет оказывавший компании Siemens услуги по уст…
Количество атак шифровальщиков на органы городской администрации продолжает расти
По данным «Лаборатории Касперского», в 2019 году городские администрации в полтора раза чаще сталкивались с атаками шифровал…
Суд постановил, что Эдвард Сноуден не может получать прибыль от продаж своей книги
Федеральный суд в Виржинии согласился с мнением американских властей: Эдвард Сноуден нарушил соглашения о неразглашении, кот…
Google не будет предустанавливать свои сервисы на турецкие устройства из-за жалобы «Яндекса»
Google предупредила своих партнеров в Турции, что более не планирует предустанавливать на Android-смартфоны свои сервисы. Вс…
Канадский гигант в сфере лабораторной диагностики заплатил выкуп хакерам
Компания LifeLabs была вынуждена заплатить хакерам выкуп, так как те получили доступ к результатам 85 000 лабораторных иссле…
Запасливый пингвин. Программы для резервного копирования в Linux
Недавно мы писали про утилиты для резервного копирования под Windows, однако у линуксоидов бэкапы тоже насущная проблема. Настало время восстановить справедливость и посмотреть, какие средства позволяют спасать ценные данные от разных напастей, если на компьютере установлен один из дистрибутивов Linux.
Баг в WhatsApp позволял спровоцировать сбой в работе и потерю данных
Уязвимость в WhatsApp могла использоваться одним единственным пользователем для нарушения работы мессенджера у всех участник…
Исправлена ошибка, приводившая к потере данных из-за обновления до Chrome 79
В Chrome 79.0.3945.93 для Android исправили ошибку, из-за которой пользователи теряли данные.
ТрюкиХардкор
MP3-плеер своими руками. Как собрать и запрограммировать гаджет у себя дома
Мастерить свои электронные устройства — занятие, может быть, и не очень практичное, но увлекательное и познавательное. В этой статье я расскажу, как я создал собственный музыкальный плеер. Конечно, не iPod nano (и даже не mini), но зато с разным железом — SD-картой, кодеком, экраном и клавиатурой.
ESET выпустила бесплатный инструмент для обнаружения уязвимости BlueKeep
Эксперты компании ESET представили бесплатную утилиту для проверки Windows-систем на наличие уязвимости BlueKeep (CVE-2019-0…
Visa предупреждает: в Северной Америке PoS-малварь атакует автозаправки
В этом году специалисты Visa расследовали как минимум пять инцидентов, связанных с атаками PoS-малвари на заправочные станци…
GitLab выплатил исследователям полмиллиона долларов за год
За последний год GitLab выплатила исследователям более 500 000 долларов США в рамках программы bug bounty.
Баг в iOS позволяет обмануть родительский контроль
С релизом iOS 13.3 разработчики Apple ввели в строй ряд дополнительных инструментов родительского контроля. Как оказалось, о…
Критическая уязвимость в роутерах TP-Link позволяла перехватить управление устройством
Инженеры TP-Link устранили уязвимость в маршрутизаторах серии Archer. Используя баг, злоумышленник мог получить контроль над…
Опубликованы худшие пароли 2019 года
Разработчики менеджера паролей NordPass опубликовали список из 200 наиболее используемых и слабых паролей уходящего года. «1…
Mozilla вынуждает разработчиков расширений использовать 2ФА
Начиная с 2020 года разработчики расширений для Firefox будут обязаны использовать двухфакторную аутентификацию.
Google стал считать популярные Linux-браузеры небезопасными
Пользователи и журналисты заметили, что Google не позволяет популярным Linux-браузерам (Konqueror, Falkon и Qutebrowser) исп…
Игра на доверии. Пентестим Multicast DNS и Service discovery
Multicast DNS (mDNS) и Service Discovery (DNS-SD) — это повсеместно распространенные протоколы, их сейчас по дефолту включают во многие технические продукты, особенно предназначенные для дома или маленькой офисной сети. В этой статье я разберу, что пентестеру следует знать о mDNS и DNS-SD и как можно использовать эти технологии для собственных целей.
Автомобиль сотрудника Facebook взломали, и компания потеряла данные 29 000 человек
Компания Facebook допустила утечку личных данных 29 000 своих сотрудников. Жесткие диски с этой информацией похитили из маши…
Уязвимость в npm позволяла размещать или модифицировать файлы на машине жертвы
В популярнейшем JavaScript-менеджере пакетов npm (Node Package Manager) была обнаружена уязвимость, и теперь пользователей п…
Развертывание Chrome 79 для Android временно остановлено: баг удалял данные пользователей
Разработчики Google обнаружили, что из-за бага часть пользовательских данных терялась при переносе из Chrome 78 в Chrome 79.
Умные замки KeyWe можно открыть благодаря уязвимости, которую нельзя исправить
Эксперты F-Secure предупредили о небезопасности умных дверных замков KeyWe. Злоумышленники могут использовать уязвимости в з…
В приложении для работы с SMS по умолчанию в Android появилась защита от спама
Разработчики Google обновили приложение для работы с SMS по умолчанию в Android. Теперь оно имеет две новые функции: Verifie…
DoS-атаку на iPhone и iPad можно устроить с помощью AirDrop
На этой неделе инженеры Apple исправили уязвимость, которая позволяла сделать iPhone и iPad практически непригодными к испол…
Как стартовал Nginx. Игорь Сысоев о разработке знаменитого веб-сервера
12 декабря 2019 года в московском офисе разработчиков Nginx прошел неожиданный обыск, о котором вначале стало известно благодаря опубликованному в Twitter сообщению сотрудника Nginx Игоря Ипполитова. Твит и приложенные к нему фото постановления о производстве обыска заметили и сохранили другие пользователи.
Взломы камер Ring привлекли внимание СМИ. Хакеры троллили пользователей в подкасте NulledCast
Хакеры ломают умные камеры Ring и терроризируют их владельцев, транслируя происходящее в прямом эфире. К примеру, неизвестны…
В даркнете данные медицинских карт стоят дороже банковских
«Лаборатория Касперского» составила ряд прогнозов на 2020 год относительно киберинцидентов, связанных с медицинскими учрежде…
Hydra анонсировала проведение ICO
Нелегальная даркнет-площадка по продаже запрещенных товаров объявила о желании выйти на ICO.
Microsoft описала самые необычные фишинговые техники уходящего года
Специалисты Microsoft составили список наиболее интересных фишинговых уловок, включая отравление результатов поиска Google и…
Антивирусные будни. Как аналитики Avast детектируют новые угрозы
В конце октября компания Avast провела мероприятие CyberSec & AI в штаб-квартире компании в Праге. Я посетил это мероприятие и посмотрел на то, как делают знаменитые на весь мир антивирусные продукты. Одной из наиболее интересных бесед был рассказ главы группы детектирования угроз Михала Салата о том, как в Avast работают с малварью.
Северокорейская хак-группа Lazarus использует TrickBot и Anchor для заражения целей
Аналитики компаний Cybereason и SentinelOne обнаружили, что северокорейские хакеры покупают доступ к зараженным системам у о…
Вымогатель Zeppelin атакует компании в сфере ИТ и здравоохранения в странах Европы, США и Канаде
Эксперты BlackBerry Cylance рассказали о вымогателе Zeppelin, который базируется на коде малвари VegaLocker и атакует технол…
На The Pirate Bay появились ссылки для стриминга видео
Администрация торрент-трекера The Pirate Bay тестирует новую функциональность: на сайте появились ссылки для стриминга видео…
460 000 турецких банковских карт выставлены на продажу
Данные о банковских картах 460 000 клиентов банков Турции появились в продаже на кардерском ресурсе Joker's Stash.
Бумажный спецвыпуск
Материалы для подписчиков
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире