Экстренный патч для Internet Explorer выводит из строя ноутбуки Lenovo
Вышедшее на днях исправление, закрывающее уязвимость нулевого дня в IE, не стоит устанавливать на некоторые ноутбуки Lenovo.…
Обновление до iOS 12.1.2 лишило некоторых пользователей связи
Обновление до iOS 12.1.2 должно было исправить проблемы с сотовой связью, ранее возникшие у турецких пользователей. Увы, пат…
Chrome OS будет блокировать порты USB при включенном экране блокировки
Инженеры Google улучшают безопасность и стремятся защитить Chromebook’и от злоумышленников с физическим доступом.
Уязвимости в WibuKey могут привести к исполнению произвольного кода
Специалисты Cisco обнаружили три серьезных уязвимости в защитных DRM решениях WibuKey, которые применяются для работы с Stra…
«Лаборатория Касперского» узнала, чего опасаются пользователи при совершении покупок в сети
В преддверии сезона праздничного шопинга и январских распродаж «Лаборатория Касперского» провела опрос интернет-пользователе…
По-настоящему праздничный хак: исследователи нашли баги в «умной» гирлянде Twinkly
Интернет вещей богат и разнообразен самыми разными девайсами. Существуют даже IoT-гирлянды, управлять которыми можно удаленн…
Минюст США обвинил двух граждан Китая в связи с APT10
Власти США предъявили обвинения двум гражданам КНР, якобы входящим в состав правительственной хак-группы APT10. Данная групп…
Сайты фальшивой техподдержки эксплуатируют новый баг в Chrome, загружающий CPU на 100%
Мошенники используют баг в Chrome, из-за которого браузер поглощает все ресурсы процессора и «зависает».
Хак для Xiaomi Camera. Получаем контроль над дешевой и практичной камерой наблюдения и приучаем ее к iOS
Китайская фирма Xiaomi знаменита не только своими мобильными телефонами, но и недорогими гаджетами, выбор которых ширится с каждым годом. Одна проблема: работают они зачастую только с фирменными приложениями и хабами. В этой статье я покажу, как модифицировать камеру Xiaomi Small Square Smart Camera ценой 25 долларов, чтобы сначала заполучить доступ ко всему интересному, а затем интегрировать в экосистему Apple.
Более 19 000 модемов Orange Livebox «сливают» учетные данные Wi-Fi
Атакующие эксплуатируют уязвимость, обнаруженную в модемах Orange Livebox ADSL еще в 2012 году. Под атакой оказались пользов…
45 000 китайских сайтов под угрозой из-за появления эксплоита для уязвимости в ThinkPHP
После публикации эксплоита для уязвимости в популярном фреймворке ThinkPHP, множество китайских сайтов оказалось под атакой.…
Опубликован proof-of-concept для создания червя в Facebook
Польский ИБ-специалист опубликовал PoC-эксплоит для уязвимости в Facebook. Проблема может использоваться для создания полноц…
Лови Positive Wave: на PHDays 9 пройдет музыкальный фестиваль
Positive Hack Days 9 обещает быть музыкальным! Объявлено о запуске фестиваля Positive Wave и наборе музыкальных групп из IT-…
Цепная реакция. Разбираем уязвимость от забытого комментария до полной компрометации
В этой статье нам предстоит преодолеть длинную цепочку препятствий на пути к заветному руту. По дороге мы в разных вариантах обнаружим уязвимости типа LFI, RCE и эскалации привилегий. А упражняться будем на виртуальной машине ch4inrulz: 1.0.1, полученной с VulhHub.
Опубликован PoC-эксплоит для уязвимости нулевого дня в Windows
ИБ-специалистка, известная под псевдонимом SandboxEscaper, опубликовала в сети эксплоит для уязвимости нулевого дня в Window…
Рождественский DDoS отменяется: правоохранители закрыли 15 хакерских сервисов
Правоохранительные органы США, Британии и Нидерландов сообщили о закрытии 15 сервисов DDoS-атак по найму.
Исследователи смогли перехватить нажатия клавиш через графические библиотеки
Группа ученых разработала атаку, которая позволяет осуществлять перехват нажатий клавиш (как на физических, так и на виртуал…
Хакеры размещают пейлоады своей малвари в Google Cloud Storage
Специалисты Menlo Labs обнаружили, что преступники хранят вредоносные файлы на storage.googleapis.com. Вредоносная кампания,…
Поиграем в карты? Полное прохождение заданий со смарт-картами OFFZONE Badge Challenge
На OFFZONE была серия задач на смарт-карте с интерфейсом ISO/IEC 7816. Особо внимательных даже предупредили заранее, опубликовали фотографию бейджа и прямо заявили, что «бейдж можно будет взломать, если вам это будет по силам». Нам оказалось это по силам, и из этой статьи ты узнаешь — как.
Обновление лишило владельцев Logitech Harmony Hub доступа к управлению «умным» домом
После очередного обновления прошивки многие владельцы Harmony Hub утратили возможность управлять своими «умными домами».
Продемонстрирована удаленная атака, повреждающая BMC и UEFI
Исследователи из компании Eclypsium показали PoC-атаку, не менее разрушительную, чем вайперы и прочая деструктивная малварь.
Вышло экстренное исправление для критической 0-day уязвимости в Internet Explorer
Разработчики Microsoft устранили RCE-уязвимость в своем браузере. Баг был найден специалистами из Google Threat Analysis Gro…
Positive Technologies: по итогам 2018 года рынок ИБ вырастет на 10%
Компания подвела итоги года в области информационной безопасности и представила ряд возможных сценариев, которые могут угрож…
Новый алгоритм машинного обучения ломает текстовые CAPTCHA быстрее и точнее предшественников
Сводная группа китайских и британских исследователей создала алгоритм для решения текстовых CAPTCHA, основанный на принципах…
НАСА подверглось кибератаке и допустило утечку данных сотрудников
В октябре 2018 года Национальное управление по аэронавтике и исследованию космического пространства подверглось хакерской ат…
Аудит Windows. Выбираем коммерческий софт для комплексной проверки безопасности
В сегодняшнем материале мы продолжаем наш практический обзор самых популярных и функциональных утилит проверки уровня защищенности (Hardening) десктопных и серверных версий Windows. В первой части мы сосредоточили внимание на бесплатных и open sources инструментах, сегодня же сделаем уклон в сторону коммерческих программ и комплексных enterprise-решений.
Тысячи серверов Jenkins по-прежнему уязвимы перед багами, позволяющими любому стать админом
Две исправленные минувшим летом уязвимости по-прежнему представляют угрозу для тысяч серверов и могут быть использованы злоу…
Google борется с фальшивыми отзывами в Google Play
Каждую неделю представители Google удаляют из Google Play миллионы отзывов и оценок. В компании предупреждают, что разработч…
Роскомнадзор угрожает Facebook и Twitter штрафом 5000 рублей и готовит систему DPI за 20 млрд
Пресса сообщает, что в 2019 году Роскомнадзор планирует внедрить новую технологию борьбы с запрещенными сайтами и сервисами,…
Взломай константы на PHDays 9
Стали известны концепция и основные темы девятого международного форума по практической безопасности Positive Hack Days.
Реклама
Ugears. Новые модели подвижных конструкторов из дерева
Услышав слова «деревянный конструктор», ты, наверное, представляешь себе этакий Lego для самых маленьких детей. Впрочем, возможно, ты уже слышал про Ugears — конструкторы из дерева, которые превращаются в сложнейшие механизмы. Это отличный подарок не только для детей, но и для взрослых!
Старый сарай, новые грабли. Эксплуатируем PHAR-десериализацию в phpBB
В знаменитом форумном движке phpBB обнаружилась уязвимость, связанная с PHP-десериализацией. В результате некорректной проверки настроек атакующий может сохранить файл с произвольным содержимым на целевой системе и таким образом получить выполнение произвольных команд и скомпрометировать сервер. Здесь я детально разберу каждый аспект обнаруженной проблемы и покажу способ ее эксплуатации.
Неизвестные дефейснули сайт The Wall Street Journal и извинились перед PewDiePie
Неизвестные взломали коммерческую секцию The Wall Street Journal и разместили на сайте издания извинения в адрес PewDiePie.
Twitter сообщил о хакерской атаке
Разработчики Twitter предупредили, что неизвестные лица обнаружили и эксплуатировали баг в форме обращения в поддержку. Из-з…
Малварь использует мемы для связи со своими операторами
Эксперты Trend Micro обнаружили трояна, который получал команды при помощи Twitter, стеганографии и мемов.
В Twitter исправлена уязвимость, позволявшая третьим сторонам читать чужие личные сообщения
ИБ-специалист обнаружил, что некоторые приложения могли читать личные сообщения пользователей Twitter, о чем социальная сеть…
Эксперты Google нашли «дыру» в приложении для контроллеров Logitech
Исследователи из Google Project Zero обнаружили опасную проблему в приложении Options, при помощи которого пользователи могу…
Для шифровальщиков семейства Hidden Tear появился бесплатный дешифровщик HT Brute Forcer
ИБ-специалист Майкл Гиллеспи (Michael Gillespie) создал универсального дешифровщика данных для различных видов малвари Hidde…
Пишем стилер. Как вытащить пароли Chrome и Firefox своими руками
Ты наверняка слышал о таком классе зловредных приложений, как стилеры. Их задача — вытащить из системы жертвы ценные данные, в первую очередь — пароли. В этой статье я расскажу, как именно они это делают, на примере извлечения паролей из браузеров Chrome и Firefox и покажу примеры кода на C++.
Критический баг в SQLite угрожает тысячам приложений и Chromium-браузерам
Новая уязвимость в SQLite получила название Magellan. Баг позволяет исполнять произвольный код, приводит к утечке памяти про…
Бумажный спецвыпуск
Материалы для подписчиков
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире