0-day в Chrome использовали вместе с уязвимостью в Windows 7

Специалисты Google сообщили, что злоумышленниками комбинировали уязвимость нулевого дня в Chrome, о которой стало известно на прошлой неделе, с уязвимостью нулевого дня в Windows 7.

https://xakep.ru/2019/03/11/win7-0day/

Открытка для Wordpress. Захватываем контроль над сайтом, спрятав код в картинке #wordpress #rce #exploit #подписчикам

Сегодня я расскажу об уязвимости, дающей возможность исполнять произвольный код в самой популярной CMS в мире — Wordpress. Причина бага — в недостаточной фильтрации метаданных загруженного файла: можно загрузить произвольный PHP-код в теле изображения и поместить его в папку, откуда будет возможен вызов.

https://xakep.ru/2019/03/11/wp-image-rce/

Баги в «умных» автосигнализациях могли стать причиной угона

Эксперты Pen Test Partners изучили «умные» автосигнализации компаний Viper и Pandora. Как оказалось, именно противоугонные системы могут стать причиной компрометации и угона авто.

https://xakep.ru/2019/03/11/viper-pandora-flaws/

Незащищенная БД стала причиной утечки 800 000 000 записей

Специалисты обнаружили незащищенную базу MongoDB, содержавшую 150 Гб личных данных.

https://xakep.ru/2019/03/11/verifications-io-leak/

Распознавание лиц в Samsung Galaxy S10 можно легко обмануть

Пользователи, эксперты и СМИ обнаружили, что флагманский смартфон Samsung не слишком хорошо справляется с распознаванием лиц. Обмануть устройство можно при помощи простой фотографии.

https://xakep.ru/2019/03/11/galaxy-s10-face-unlock/

Власти округа Джексон заплатили хакерам 400 000 долларов из-за атаки шифровальщика

Власти округа Джексон в штате Джорджия приняли решение заплатить вымогателям выкуп за расшифровку данных.

https://xakep.ru/2019/03/12/jackson-county-ryuk/

Атака на цепочку поставок: азиатские игровые компании заразили бэкдорами

Специалисты ESET рассказали, что хак-группа Winnti продолжает атаковать игровые компании и успешно инфицировала две игры и одну игровую платформу бэкдорами.

https://xakep.ru/2019/03/12/winnti/

Мастхэв для мобильной аналитики. Что нужно, чтобы вскрывать приложения для Android на Android #android #analytics #подписчикам

Если ты занимаешься аналитикой мобильных приложений или разрабатываешь их, то знаешь о таких десктопных инструментах, как IDA, apktool или Jadx. Но бывает, что компьютера под рукой нет, а тебе срочно нужно проанализировать приложение. В этой статье я приведу примеры хороших утилит для Android, которые помогут тебе решить эту проблему.

https://xakep.ru/2019/03/12/mobile-analytics-must-have/

Компании допускают утечки данных через свои аккаунты Box

Исследователи заметили, что компании, использующие платформу для облачного хостинга и совместного использования файлов Box.com, часто оставляют в общем доступе внутренние файлы, важные документы и информацию о проприетарных технологиях.

https://xakep.ru/2019/03/12/leaked-box/

XSS-уязвимость в популярном плагине для WordPress используют для взлома сайтов

Эксперты компании Defiant заметили, что злоумышленники эксплуатируют уязвимость в плагине Abandoned Cart Lite for WooCommerce, установленном на 20 000 сайтов.

https://xakep.ru/2019/03/12/abandoned-cart-plugin/