Facebook заплатила 10 000 долларов за DoS-уязвимость в библиотеке Fizz

Хотя bug bounty программа Facebook не распространяется на уязвимости, связанные с отказом в обслуживании (DoS), но за такой баг в опенсорсной TLS-библиотеке Fizz социальная сеть выплатила крупную сумму.

https://xakep.ru/2019/03/22/fizz-dos/

Баг в Google Photos позволял следить за геолокацией пользователей

В Google Photos была исправлена уязвимость, позволявшая атакующему добраться до геолокационной информации изображений пользователя.  

https://xakep.ru/2019/03/22/google-photos-bug/

В протоколе LTE нашли 36 новых уязвимостей

Группа южнокорейских специалистов обнаружила 51 уязвимость в протоколе LTE, и 36 из них оказались новыми.

https://xakep.ru/2019/03/25/ltefuzz/

СМИ полагают, что шифровальщик LockerGoga атаковал две крупных химических компании

На прошлой неделе жертвой малвари LockerGoga стал один из крупнейших в мире производителей алюминия, компания Norsk Hydro. Теперь эксперты пишут, что вредонос скорее похож на вайпера, а СМИ сообщают, что от атак могли пострадать две крупных химических компании.

https://xakep.ru/2019/03/25/lockergoga-victims/

Анонсирована встреча Российского отделения OWASP

3 апреля при поддержке компании «Инфосистемы Джет» пройдет очередная встреча российского отделения сообщества OWASP, на которой соберутся специалисты по информационной безопасности.

https://xakep.ru/2019/03/25/owasp-meetup/

Фундаментальные основы хакерства. Новые способы находить защитные механизмы в чужих программах #hacking #howto #подписчикам

Чтобы иметь возможность ломать программы, на страже которых стоят хитрые защитные механизмы, необходимо знать разные способы нахождения этих самых механизмов в подопытном приложении. В сегодняшней статье будет показано, как это сделать, а в конце мы разберем пример работы с графическим приложением.

https://xakep.ru/2019/03/25/nezumi-hacking-guide-4/

FEMA раскрыло третьим лицам данные 2,3 млн человек, пострадавших от ураганов и лесных пожаров

Американское Федеральное агентство по управлению в чрезвычайных ситуациях допустило утечку личных данных людей, пострадавших от природных катастроф.

https://xakep.ru/2019/03/25/fema-leak/

На Pwn2Own 2019 успешно взломали продукты Apple, Oracle, VMware, а также автомобиль Tesla

На прошлой неделе в Канаде, в рамках конференции CanSecWest, прошло состязание Pwn2Own 2019, организованное Trend Micro Zero Day Initiative (ZDI). Призовой фонд мероприятия в этом году составлял более миллиона долларов.

https://xakep.ru/2019/03/25/pwn2own-2019/

Операция ShadowHammer: из-за взлома ASUS Live Update более миллиона устройств заразили бэкдором

Классическая атака на цепочку поставок: около полугода назад злоумышленники скомпрометировали компанию Asus и принялись раздавать бэкдоры через инструмент для автоматического обновления ASUS Live Update.

https://xakep.ru/2019/03/26/asus-live-update-hack/

Более 100 000 репозиториев GitHub допускают утечки криптографических ключей и токенов API

Исследование показало, что в публичные репозитории на GitHub ежедневно попадают самые разные конфиденциальные данные, включая пароли и криптографические ключи.

https://xakep.ru/2019/03/26/github-leaks/

Подводные камни AppCache. Как злодеи идентифицируют статус кросс-доменных ресурсов #cors #appcache #hack #подписчикам

Механизм AppCache позволяет веб-приложениям кешировать ресурсы в локальном хранилище твоего браузера. Это дает им возможность взаимодействовать с тобой даже в автономном режиме. Но когда через AppCache кешируются кросс-доменные ресурсы, возникает серьезный риск утечки конфиденциальной информации. Давай разберемся, как это происходит.

https://xakep.ru/2019/03/26/corsida/