Security news aggregator


Гео и язык канала: не указан, Английский
Категория: Технологии


Собираю важные и интересные новости из мира безопасности

Связанные каналы

Гео и язык канала
не указан, Английский
Категория
Технологии
Статистика
Фильтр публикаций


Хакеры взломали CoinHive, чтоб все Монеро шел им

__Кратко: Хакеры взломали аккаунт Cloudflare, принадлежащий CoinHive, где изменили настройки DNS для coinhive.com. В результате файл coinhive.min.js загружался с сервера злоумышленников.
CoinHive - JS майнер Монеро (майнит с помощью браузеров, которые посещают сайт)__

Ссылка:
https://xakep.ru/2017/10/25/coinhive-hack/


В Украине завелся новый Петя

Кратко: из проверенных источников точно известно что шифровальщик ударил по киевскому метро, аэропорту и морпорту




WPA2 is vulnerable for Key Reinstallation Attack

Кратко: В WPA2 нашли уязвимость, которая позволяет прослушивать весь шифрованный трафик. Публичного експлоита пока что нет, но, думаю, скоро появится

Ссылка:
https://arstechnica.com/information-technology/2017/10/severe-flaw-in-wpa2-protocol-leaves-wi-fi-traffic-open-to-eavesdropping/
Update: Статья на хакере на русском:
https://xakep.ru/2017/10/16/wpa2-krack/


GitHub добавил новый функционал для написания более безопасного кода

Вкратце: GitHub добавил новый функционал, теперь можно отслеживать dependencies своего приложения. Также, GitHub будет предупреждать о компонентах с известными уязвимостями

Блог GitHub:
https://github.com/blog/2447-a-more-connected-universe


Новый вектор фишинг-атак на iOS

Кратко: У Айфонов можно вызвать диалоговое окно в виде системного с помощью любого приложения. При вводе пароля атакующий получит Ваш пароль, так что самое время подключать 2FA, чтоб случайно не подарить кому-то свой аккаунт

Ссылка на статью, содержит семпл приложения: https://krausefx.com/blog/ios-privacy-stealpassword-easily-get-the-users-apple-id-password-just-by-asking


НБУ усилил требования к информбезопасности и киберзащите в банках

Кратко: Вчера было было опубликовано постановление НБУ, которые устанавливает 150 обязательных минимальных требований к защите ИБ для банков

Ссылка: http://minfin.com.ua/2017/10/05/30287086/


В MacOS вместо подсказки для пароля выводится сам пароль

Кравтко: В MacOS High Sierra при попытке доступа к зашифрованному APFS тому вместо подсказки выводится пароль

Ссылка: https://twitter.com/felix_schwarz/status/915851372217683970/video/1


RCE в Apache Tomcat (CVE-2017-12617)

Кратко: Если в дефолтном сервлете установлен параметр readonly `false`, то специальный PUT запрос с jsp пэйлоадом позволяет выполнить произвольный код на сервере

Статья про уязвимость:
https://www.alphabot.com/security/blog/2017/java/Apache-Tomcat-RCE-CVE-2017-12617.html


Не забываем обновлять Андроид

Кратко: Обнародованы несколько критических уязвимостей ОС Android, которые позволяют выполнить произвольный код от имени root, с помощью специального файла. Обновление обещают выкатить в течении 2 дней

Ссылка на Android Security Bulletin:
https://source.android.com/security/bulletin/2017-10-01


Фейк 2 бесплатных билета от МАУ

Кратко: По фейсбуку прошла волна репостов бесплатных билетов от МАУ. Конечно, никаких билетов не будет; для чего все это было сделано не ясно. Однако, можно сказать точно, что рядовые пользователи в поисках халявы дали право писать в свой фейсбук, слили свои пары IP/ФИ и многое другое, что мы еще узнаем

Статья на АИНе:
https://ain.ua/2017/10/02/2-besplatnyx-bileta-ot-mau


Опубликовано видео с phdays про взлом учетных записей в WhatsApp и Telegram

Кратко: Атакующий мог выполнить JS код в контексте telegram.org или whatsapp.com, который позволял угнать аккаунт жертвы. Для этого необходимо чтоб жертва открыла видео в новой вкладке или скачала + открыла вредоносный файл

Блог Check Point про данную уязвимость: https://blog.checkpoint.com/2017/03/15/check-point-discloses-vulnerability-whatsapp-telegram/
Видео с подробным объяснением и демонстрацией: https://www.youtube.com/watch?v=SUV7V94tIxg

















Показано 20 последних публикаций.

5

подписчиков
Статистика канала