Разработчики Cisco удалили из Video Surveillance Manager жестко закодированные учетные данные
Разработчики Cisco сообщают, что исправили уязвимость в Video Surveillance Manager (VSM). Баг представлял собой жестко закод…
Уязвимость в macOS Mojave позволяет обойти новые механизмы защиты приватности
Сразу после выхода новой версии macOS известный ИБ-специалист и сооснователь Digita Security Патрик Вордл (Patrick Wardle) с…
Пространство для эксплуатации. Как работает новая RCE-уязвимость в Apache Struts 2
Во фреймворке Apache Struts 2, виновном в утечке данных у Equifax, нашли очередную дыру. Она позволяет злоумышленнику, не имея никаких прав в системе, выполнить произвольный код от имени того пользователя, от которого запущен веб-сервер. Давай посмотрим, как эксплуатируется эта уязвимость.
Активность малвари Roaming Mantis обнаружена на iOS-устройствах
Эксперты «Лаборатории Касперского» обнаружили новую вредоносную активность мобильного банкера Roaming Mantis. Первоначально …
Компания «Инфосистемы Джет» проводит серию бесплатных вебинаров по информационной безопасности
В октябре 2018 года компания «ИнфосистемыДжет» проведет серию бесплатных вебинаров по информационной безопасности. Мероприят…
Найден баг, приводящий к сбою в работе Firefox или всего компьютера
Интересный баг в Firefox нашел разработчик и ИБ-специалист Сабри Аддуш (Sabri Haddouche), недавно обнаруживший похожую ошибк…
Оператор сервиса Scan4You приговорен к 14 годам тюрьмы
Суд вынес приговор оператору и создателю сервиса Scan4You (хакерского аналога VirusTotal), гражданину Латвии Руслану Бондарю…
Баг в Twitter позволял сторонним разработчикам читать личные сообщения пользователей
Разработчики Twitter предупредили, что из-за бага в API, появившегося еще в мае 2017 года, сторонние разработчики могли имет…
Тысячи сайтов на WordPress взломаны и содержат редиректы на фальшивую техподдержку
Специалисты компаний Sucuri и Malwarebytes выявили массовую компрометацию сайтов, работающих под управлением WordPress. Взло…
Идеальная форма. Обрабатываем сложные формы на Python с помощью WTForms
Обработка HTML-форм в веб-приложениях — несложная задача. Проблемы начинаются, когда форма разрастается: нужно следить за полями, их ID, атрибутами name, корректно маппить атрибуты на бэкенде при генерации и процессинге данных... Разработка превращается в постоянную рутину. Однако есть способы сделать работу с формами удобной.
Эксперты Trend Micro раскрыли детали неисправленной 0-day уязвимости в Microsoft JET
Эксперты Trend Micro Zero Day Initiative (ZDI) обнародовали информацию о неисправленной уязвимости в составе Microsoft Jet D…
Завершились международные открытые соревнования VolgaCTF
В Самаре завершились VIII Международные межвузовские открытые соревнования в области информационной безопасности VolgaCTF. …
Пользователям Tor больше не придется сталкиваться с CAPTCHA на сайтах, защищенных Cloudflare
Разработчики Cloudflare объявили о создании Cloudflare Onion Service, который будет отличать ботов и злоумышленников от леги…
Из Google Play удалили шесть поддельных финансовых приложений
Специалист компании ESET обнаружил в каталоге приложений Google Play шесть фальшивых приложений, маскировавшихся под официал…
Эхо кибервойны. Как NotPetya чуть не потопил крупнейшего морского перевозчика грузов
Российское кибероружие, построенное на утекших у АНБ эксплоитах, маскировалось под вирус-вымогатель, но главной целью NotPetya было выведение из строя промышленных объектов. Одной из жертв стал крупнейший морской грузоперевозчик — Maersk. История о его заражении и устранении последствий не просто полна захватывающих подробностей, но во многом показательна.
Разработчики AdGuard инициировали сброс всех паролей из-за credential stuffing атаки
Разработчики AdGuard, популярного блокировщика рекламы для Android, iOS, Windows и macOS, были вынуждены осуществить сброс п…
Adobe выпустила патчи для уязвимостей в Reader и Acrobat
Разработчики Adobe выпустили патчи для Windows и macOS версий продуктов Acrobat и Reader, в общей сложности устранив семь уя…
Группировка MageCart более месяца похищала данные клиентов Newegg
ИБ-специалисты обнаружили еще одну жертву группировки MageCart. На этот раз выяснилось, что хакеры похищали данные банковски…
У криптовалютной биржи Zaif похитили 60 000 000 долларов
Японская криптовалютная биржа Zaif объявила об ограблении, произошедшем еще на прошлой неделе. В результате инцидента компан…
Устройства My Cloud компании Western Digital более года уязвимы перед проблемой обхода аутентификации
ИБ-эксперт компании Securify рассказал о проблеме в NAS компании Western Digital, которую разработчики не могут исправить с …
Специалисты обнаружили площадку, где торгуют доступом к 3000 взломанных сайтов
Специалисты компании Flashpoint обнаружили русскоязычную площадку MagBO, на которой торгуют доступом к тысячам взломанных са…
Самое крутое с мировых ИБ-конференций. Лучшие публикации, посвященные взлому видеоигр
Современная игровая индустрия — большой бизнес, в котором крутятся весьма солидные деньги. Поэтому и игры сегодня взламывают не ради фана, легкого прохождения или новых игровых возможностей, а все по той же причине – деньги, деньги и еще раз деньги. Добро пожаловать в будущее!
Создатели малвари Mirai работают с ФБР и не получат тюремных сроков
Еще в конце 2017 года трое авторов оригинальной малвари Mirai, на базе которой сегодня работает множество ботнетов, признали…
Малварь XBash сочетает в себе функциональность майнера, вымогателя, червя и бота
Исследователи из Palo Alto Networks обнаружили вредоноса XBash, который атакует Linux- и Windows-серверы. Как выяснилось, но…
Следы применения спайвари Pegasus найдены в 45 странах мира
Эксперты Citizen Lab обнаружили, что коммерческая спайварь Pegasus, которая позиционируется как решение для «законного перех…
Обнаружен странный ботнет, очищающий IoT-устройства от заражений
Специалисты Qihoo 360 Netlab обнаружили ботнет Fbot, построенный на базе исходных кодов малвари Satori. Судя по всему, главн…
Безопасность смарт-контрактов. Топ-10 уязвимостей децентрализованных приложений на примере спецификации DASP
Количество смарт-контрактов в блокчейне Ethereum только за первую половину 2018 года выросло в два раза по сравнению с 2017-м. Соответственно, растет и множество уязвимостей, векторов атак на децентрализованные приложения. В этой статье мы попробуем упорядочить уязвимости аналогично OWASP Top 10. Кода тебя ждет немало, так что готовься — легко не будет. :)
CCleaner принудительно обновился до версии 5.46, не спрашивая пользователей
Совсем недавно пользователи обвиняли разработчиков CCleaner в слежке, а теперь утилита самопроизвольно обновилась до версии …
Разработчики Android нашли серьезный баг в устройствах Honeywell
Инженеры Google, работающие над созданием операционной систсемы Android, обнаружили, что устройства компании Honeywell уязви…
Линус Торвальдс извинился перед сообществом и временно отстранился от разработки
В рассылке Linux Kernel Mailing List Линус Торвальдс неожиданно объявил о том, что временно прекратит заниматься разработкой…
Злоумышленники могут взломать камеры наблюдения через 0-day уязвимость Peekaboo
Специалисты Tenable обнаружили критическую уязвимость в оборудовании компании Nuuo, являющейся одним из лидеров в области ре…
Check Point: активность банковских троянов растет
По данным специалистов компании Check Point, в августе 2018 года банкер Ramnit поднялся до 6 места в рейтинге угроз, став са…
Атака шифровальщика отключила информационные табло в международном аэропорту Бристоля
Работу международного аэропорта Бристоля едва не парализовала атака вымогателя. Все табло с информацией о рейсах пришлось от…
Нагнуть Nagios. Разбираем хитрую цепочку уязвимостей в популярной системе мониторинга
Nagios — это одно из популярнейших решений для мониторинга, которое используется во многих крупных компаниях. Обнаруженные в нем уязвимости приводят к полной компрометации системы и выполнению произвольного кода с правами суперпользователя, а для их эксплуатации не нужно обладать никакими привилегиями. Давай разберемся, какие ошибки допустили разработчики и как этим можно воспользоваться.
Поддомены и WWW вернутся в Chrome, но лишь временно
Разработчики Google решили вернуть поддомены для мобильных и WWW в адресную строку Chrome 69. Однако это временное решение, …
Мошенники из группировки Partnerstroka блокируют курсор пользователей Google Chrome
Исследователи Malwarebytes рассказали о мошеннической группе Partnerstroka, которая блокирует пользователей Google Chrome на…
Баг в антивирусе Webroot SecureAnywhere для macOS позволял выполнить вредоносный код на уровне ядра
Специалисты Trustwave SpiderLabs опубликовали подробности о локально эксплуатируемом баге в антивирусе Webroot SecureAnywher…
Майнинговый червь WannaMine по-прежнему атакует крупные компании
Аналитики компании Cybereason предупредили, что вредонос WannaMine по-прежнему активен и заражает сети крупных компаний.
Private_problem. Разбираем сложное задание на реверс и форензику с CTFZone 2018
Закончился онлайновый этап ежегодных соревнований CTFZone, которые проходят уже третий год подряд. Лучшие десять команд отборочного тура приглашены на финал CTFZone 2018, который состоится на конференции OFFZONE в ноябре. Здесь же мы разберем одно из наиболее сложных заданий онлайнового этапа — задание на реверс и форензику под названием private_problem.
Подводим итоги Chaos Constructions 2018
В последние выходные августа в Санкт-Петербурге прошел фестиваль компьютерного искусства Chaos Constructions 2018. Рассказыв…
Материалы для подписчиков
Трюки
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире