В программной платформе для управления административными политиками и привилегиями PolicyKit обнаружена уязвимость обхода аутентификации, позволяющая пользователю с низкими привилегиями успешно выполнить любую команду systemctl на Linux-системах со значением UID, превышающим 2147483647.    
Уязвимость в PolicyKit позволяет выполнить любую команду на системах Linux

В 2017-2018 годах возросло количество DDoS-атак на банки (90%), online-игры (142%), организации в сфере страхования (195%), букмекерские конторы (143%) и online-кассы (836%). Такие данные приводятся в отчете об основных трендах 2018 года в сфере безопасности, подготовленном компанией Qrator Labs, специализирующейся на противодействии DDoS-атакам.    
В 2018 году число DDoS-атак на online-кассы возросло на 836%

Уже 10 декабря 2018 года правительство Японии может запретить закупки для государственных учреждений телекоммуникационного оборудования китайских компаний Huawei Technologies и ZTE из-за риска кибершпионажа со стороны Пекина. Под запрет может попасть даже оборудование японских компаний, если в нем реализованы компоненты Huawei и ZTE, сообщила газета Yomiuri Shimbun.    
Японские власти намерены запретить использование оборудования Huawei и ZTE

Ученые из Института оптики атмосферы (ИОА) им. В. Е. Зуева Сибирского отделения РАН в Томске ведут работу над созданием системы шифрования информации с помощью свойств атмосферы. Речь идет о способе беспроводной оптической связи, где каналы будут особо емкими, а передаваемая информация зашифрована атмосферой.    
Ученые придумали систему шифрования данных с помощью свойств атмосферы

В России могут запретить мобильным операторам регистрировать в сети краденые мобильные устройства. Как сообщает ТАСС, сенаторы уже подготовили соответствующий законопроект. Профильные министерства и ведомства ознакомились с документом и выступили в его поддержку. В ближайшее время законопроект будет внесен на рассмотрение в Госдуму РФ.    
В РФ могут запретить операторам регистрировать в сети краденые телефоны

С точки зрения рекламодателей, Android и iOS – два совершенно разных мира. К примеру, за возможность добраться до кошельков владельцев «яблочных» устройств им приходится платить больше. Этим пользуются недобросовестные разработчики приложений, которые врут рекламодателям о том, на каких устройствах в действительности была нажата реклама.    
Мошенники выдают Android-приложения за iOS-приложения с целью заработать на рекламе

В открытом доступе обнаружена информация более 66 млн пользователей, получить которую мог любой, кто знал, где искать. По словам исследователя безопасности Боба Дяченко (Bob Diachenko), данные хранились на незащищенном сервере MongoDB и предположительно были собраны из профилей LinkedIn.    
Обнаружен незащищенный сервер MongoDB с 66 млн записей

Вирусописатели, распространители рекламы и прочие мошенники активно используют уязвимость в браузере Mozilla Firefox для того, чтобы не дать пользователям уйти с вредоносных сайтов. Примечательно, речь идет не о какой-либо новой уязвимости или технике, а о проблеме известной еще с 2007 года, но до сих пор не исправленной.    
Злоумышленники активно эксплуатируют 11-летнюю уязвимость в Firefox

Около 49% сотрудников используют в работе личные мобильные устройства, большинство из них передают трафик по незащищенным соединениям.


Создание безопасного интернет-шлюза за пределами корпоративной сети предлагают Cisco и АйТеко

Служащим государственных учреждений придется отказаться от использования таких популярных шрифтов, как Times New Roman, Arial, Courier New и пр. Дело в том, что права на шрифты принадлежат американской компании Monotype Imaging, отказавшейся лицензировать их для российского ПО из-за санкций.    
Чиновникам в РФ запретили использовать популярные шрифты

На портале GitHub размещен PoC-код для уязвимости в движке WebKit, используемом в браузере Apple Safari и других приложениях для операционных систем macOS, iOS и Linux, позволяющей выполнить произвольный код.    
Опубликован эксплоит для уязвимости в WebKit

В пятницу, 7 декабря, сайт Linux.org подвергся кибератаке. Злоумышленники взломали домен, оставив на нем сообщение «G3T 0WNED L1NUX N3RDZ» наряду с ругательствами и неприличным изображением.    
Linux.org подвергся кибератаке

Прокуратура запросила для украинца Юрия Лысенко, обвиняемого в организации киберпреступной группировки, наказание в виде 15 лет лишения свободы. Для 13 сообщников Лысенко обвинение требует от 6,5 лет до 12 лет лишения свободы. Об этом в понедельник, 10 декабря, сообщила газета «КоммерсантЪ».    
Прокуратура требует 15 лет тюрьмы для лидера группировки, укравшей у банков 1 млрд руб.

Экспертный совет при правительстве предложил внести изменения в Кодекс об административных правонарушениях (КоАП), предусматривающие введение наказания за подделку IMEI (International Mobile Equipment Identity) — международного идентификатора мобильного оборудования. Поправки были одобрены временной комиссией Совета Федерации по развитию информационного общества, пишет издание «Ведомости».    
В РФ могут ввести штрафы за подделку IMEI

Ряд моделей контроллеров производства компании Rockwell Automation подвержены серьезной уязвимости, которая может быть использована для DoS-атак. Проблема (CVE-2018-17924) затрагивает устройства MicroLogix 1400 серий A, B и C, а также различные версии коммуникационных модулей 1756 ControlLogix Ethernet/IP, включая серии A, B и C.    
В контроллерах Rockwell Automation выявлена опасная уязвимость

Выпущенное на минувшей неделе обновление iOS 12.1.1, устраняющее ряд серьезных проблем в ОС, повлекло неприятный сюрприз для некоторых владельцев iPhone и iPad. Как оказалось, обновление до свежей версии операционной системы может выключить мобильный интернет.    
Обновление iOS лишает пользователей мобильного интернета

В начале минувшей недели администрация форума вопросов и ответов Quora сообщила о компрометации данных порядка 100 млн пользователей сервиса в результате кибератаки. В руках злоумышленников могла оказаться информация, включающая имена, адреса электронной почты, хеши паролей, сведения из соцсетей, если пользователи синхронизировали свои ученые записи с Quora, публичный контент и данные об активности (вопросы, ответы, комментарии, оценки ответов), закрытый контент и личные сообщения.    
Обзор инцидентов безопасности за период с 3 по 9 декабря 2018 года

В России могут запретить иностранным сервисам переводить деньги россиян без зарегистрированного Центробанком оператора платежной системы. Соответствующий проект закона был внесен в Госдуму РФ депутатами от «Единой России» и «Справедливой России».    
В РФ ужесточат контроль над работой иностранных электронных кошельков

Система анализа трафика и выявления сетевых атак PT Network Attack Discovery прошла сертификационные испытания ФСТЭК России и теперь может применяться в государственных информационных системах.


PT Network Attack Discovery сертифицирован ФСТЭК

Злоумышленники используют сайты со сгенерированным пользователями контентом для распространения вредоносного ПО, выдаваемого за пиратские игры или программы. Проблема затрагивает целый ряд различных платформ, но более всего – группы в Facebook и Google.    
Мошенники используют Facebook и Google для распространения вредоносного ПО