Уязвимость в macOS Mojave позволяет обойти новые механизмы защиты приватности
Сразу после выхода новой версии macOS известный ИБ-специалист и сооснователь Digita Security Патрик Вордл (Patrick Wardle) с…
Активность малвари Roaming Mantis обнаружена на iOS-устройствах
Эксперты «Лаборатории Касперского» обнаружили новую вредоносную активность мобильного банкера Roaming Mantis. Первоначально …
Пространство для эксплуатации. Как работает новая RCE-уязвимость в Apache Struts 2
Во фреймворке Apache Struts 2, виновном в утечке данных у Equifax, нашли очередную дыру. Она позволяет злоумышленнику, не имея никаких прав в системе, выполнить произвольный код от имени того пользователя, от которого запущен веб-сервер. Давай посмотрим, как эксплуатируется эта уязвимость.
Компания «Инфосистемы Джет» проводит серию бесплатных вебинаров по информационной безопасности
В октябре 2018 года компания «ИнфосистемыДжет» проведет серию бесплатных вебинаров по информационной безопасности. Мероприят…
Найден баг, приводящий к сбою в работе Firefox или всего компьютера
Интересный баг в Firefox нашел разработчик и ИБ-специалист Сабри Аддуш (Sabri Haddouche), недавно обнаруживший похожую ошибк…
Оператор сервиса Scan4You приговорен к 14 годам тюрьмы
Суд вынес приговор оператору и создателю сервиса Scan4You (хакерского аналога VirusTotal), гражданину Латвии Руслану Бондарю…
Баг в Twitter позволял сторонним разработчикам читать личные сообщения пользователей
Разработчики Twitter предупредили, что из-за бага в API, появившегося еще в мае 2017 года, сторонние разработчики могли имет…
Идеальная форма. Обрабатываем сложные формы на Python с помощью WTForms
Обработка HTML-форм в веб-приложениях — несложная задача. Проблемы начинаются, когда форма разрастается: нужно следить за полями, их ID, атрибутами name, корректно маппить атрибуты на бэкенде при генерации и процессинге данных... Разработка превращается в постоянную рутину. Однако есть способы сделать работу с формами удобной.
Тысячи сайтов на WordPress взломаны и содержат редиректы на фальшивую техподдержку
Специалисты компаний Sucuri и Malwarebytes выявили массовую компрометацию сайтов, работающих под управлением WordPress. Взло…
Эксперты Trend Micro раскрыли детали неисправленной 0-day уязвимости в Microsoft JET
Эксперты Trend Micro Zero Day Initiative (ZDI) обнародовали информацию о неисправленной уязвимости в составе Microsoft Jet D…
Завершились международные открытые соревнования VolgaCTF
В Самаре завершились VIII Международные межвузовские открытые соревнования в области информационной безопасности VolgaCTF. …
Пользователям Tor больше не придется сталкиваться с CAPTCHA на сайтах, защищенных Cloudflare
Разработчики Cloudflare объявили о создании Cloudflare Onion Service, который будет отличать ботов и злоумышленников от леги…
Из Google Play удалили шесть поддельных финансовых приложений
Специалист компании ESET обнаружил в каталоге приложений Google Play шесть фальшивых приложений, маскировавшихся под официал…
Разработчики AdGuard инициировали сброс всех паролей из-за credential stuffing атаки
Разработчики AdGuard, популярного блокировщика рекламы для Android, iOS, Windows и macOS, были вынуждены осуществить сброс п…
Эхо кибервойны. Как NotPetya чуть не потопил крупнейшего морского перевозчика грузов
Российское кибероружие, построенное на утекших у АНБ эксплоитах, маскировалось под вирус-вымогатель, но главной целью NotPetya было выведение из строя промышленных объектов. Одной из жертв стал крупнейший морской грузоперевозчик — Maersk. История о его заражении и устранении последствий не просто полна захватывающих подробностей, но во многом показательна.
Adobe выпустила патчи для уязвимостей в Reader и Acrobat
Разработчики Adobe выпустили патчи для Windows и macOS версий продуктов Acrobat и Reader, в общей сложности устранив семь уя…
Группировка MageCart более месяца похищала данные клиентов Newegg
ИБ-специалисты обнаружили еще одну жертву группировки MageCart. На этот раз выяснилось, что хакеры похищали данные банковски…
У криптовалютной биржи Zaif похитили 60 000 000 долларов
Японская криптовалютная биржа Zaif объявила об ограблении, произошедшем еще на прошлой неделе. В результате инцидента компан…
Устройства My Cloud компании Western Digital более года уязвимы перед проблемой обхода аутентификации
ИБ-эксперт компании Securify рассказал о проблеме в NAS компании Western Digital, которую разработчики не могут исправить с …
Самое крутое с мировых ИБ-конференций. Лучшие публикации, посвященные взлому видеоигр
Современная игровая индустрия — большой бизнес, в котором крутятся весьма солидные деньги. Поэтому и игры сегодня взламывают не ради фана, легкого прохождения или новых игровых возможностей, а все по той же причине – деньги, деньги и еще раз деньги. Добро пожаловать в будущее!
Специалисты обнаружили площадку, где торгуют доступом к 3000 взломанных сайтов
Специалисты компании Flashpoint обнаружили русскоязычную площадку MagBO, на которой торгуют доступом к тысячам взломанных са…
Создатели малвари Mirai работают с ФБР и не получат тюремных сроков
Еще в конце 2017 года трое авторов оригинальной малвари Mirai, на базе которой сегодня работает множество ботнетов, признали…
Малварь XBash сочетает в себе функциональность майнера, вымогателя, червя и бота
Исследователи из Palo Alto Networks обнаружили вредоноса XBash, который атакует Linux- и Windows-серверы. Как выяснилось, но…
Следы применения спайвари Pegasus найдены в 45 странах мира
Эксперты Citizen Lab обнаружили, что коммерческая спайварь Pegasus, которая позиционируется как решение для «законного перех…
Обнаружен странный ботнет, очищающий IoT-устройства от заражений
Специалисты Qihoo 360 Netlab обнаружили ботнет Fbot, построенный на базе исходных кодов малвари Satori. Судя по всему, главн…
CCleaner принудительно обновился до версии 5.46, не спрашивая пользователей
Совсем недавно пользователи обвиняли разработчиков CCleaner в слежке, а теперь утилита самопроизвольно обновилась до версии …
Безопасность смарт-контрактов. Топ-10 уязвимостей децентрализованных приложений на примере спецификации DASP
Количество смарт-контрактов в блокчейне Ethereum только за первую половину 2018 года выросло в два раза по сравнению с 2017-м. Соответственно, растет и множество уязвимостей, векторов атак на децентрализованные приложения. В этой статье мы попробуем упорядочить уязвимости аналогично OWASP Top 10. Кода тебя ждет немало, так что готовься — легко не будет. :)
Разработчики Android нашли серьезный баг в устройствах Honeywell
Инженеры Google, работающие над созданием операционной систсемы Android, обнаружили, что устройства компании Honeywell уязви…
Линус Торвальдс извинился перед сообществом и временно отстранился от разработки
В рассылке Linux Kernel Mailing List Линус Торвальдс неожиданно объявил о том, что временно прекратит заниматься разработкой…
Злоумышленники могут взломать камеры наблюдения через 0-day уязвимость Peekaboo
Специалисты Tenable обнаружили критическую уязвимость в оборудовании компании Nuuo, являющейся одним из лидеров в области ре…
Check Point: активность банковских троянов растет
По данным специалистов компании Check Point, в августе 2018 года банкер Ramnit поднялся до 6 места в рейтинге угроз, став са…
Нагнуть Nagios. Разбираем хитрую цепочку уязвимостей в популярной системе мониторинга
Nagios — это одно из популярнейших решений для мониторинга, которое используется во многих крупных компаниях. Обнаруженные в нем уязвимости приводят к полной компрометации системы и выполнению произвольного кода с правами суперпользователя, а для их эксплуатации не нужно обладать никакими привилегиями. Давай разберемся, какие ошибки допустили разработчики и как этим можно воспользоваться.
Атака шифровальщика отключила информационные табло в международном аэропорту Бристоля
Работу международного аэропорта Бристоля едва не парализовала атака вымогателя. Все табло с информацией о рейсах пришлось от…
Поддомены и WWW вернутся в Chrome, но лишь временно
Разработчики Google решили вернуть поддомены для мобильных и WWW в адресную строку Chrome 69. Однако это временное решение, …
Мошенники из группировки Partnerstroka блокируют курсор пользователей Google Chrome
Исследователи Malwarebytes рассказали о мошеннической группе Partnerstroka, которая блокирует пользователей Google Chrome на…
Баг в антивирусе Webroot SecureAnywhere для macOS позволял выполнить вредоносный код на уровне ядра
Специалисты Trustwave SpiderLabs опубликовали подробности о локально эксплуатируемом баге в антивирусе Webroot SecureAnywher…
Майнинговый червь WannaMine по-прежнему атакует крупные компании
Аналитики компании Cybereason предупредили, что вредонос WannaMine по-прежнему активен и заражает сети крупных компаний.
Подводим итоги Chaos Constructions 2018
В последние выходные августа в Санкт-Петербурге прошел фестиваль компьютерного искусства Chaos Constructions 2018. Рассказыв…
Private_problem. Разбираем сложное задание на реверс и форензику с CTFZone 2018
Закончился онлайновый этап ежегодных соревнований CTFZone, которые проходят уже третий год подряд. Лучшие десять команд отборочного тура приглашены на финал CTFZone 2018, который состоится на конференции OFFZONE в ноябре. Здесь же мы разберем одно из наиболее сложных заданий онлайнового этапа — задание на реверс и форензику под названием private_problem.
Простой CSS-код заставляет iPhone перезагружаться
В сети был опубликован proof-of-concept эксплоит для проблемы в движке WebKit, используемом браузером Safari. После загрузки…
Бумажный спецвыпуск
Материалы для подписчиков
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире