Уязвимость в npm позволяла размещать или модифицировать файлы на машине жертвы

В популярнейшем JavaScript-менеджере пакетов npm (Node Package Manager) была обнаружена уязвимость, и теперь пользователей призывают как можно скорее обновиться до версии 6.13.4.

https://xakep.ru/2019/12/16/npm-bug-2/

Игра на доверии. Пентестим Multicast DNS и Service discovery #mdns  #zeroconf #пентестинг #подписчикам

Multicast DNS (mDNS) и Service Discovery (DNS-SD) — это повсеместно распространенные протоколы, их сейчас по дефолту включают во многие технические продукты, особенно предназначенные для дома или маленькой офисной сети. В этой статье я разберу, что пентестеру следует знать о mDNS и DNS-SD и как можно использовать эти технологии для собственных целей.

https://xakep.ru/2019/12/16/multicast-dns-pentest/

Автомобиль сотрудника Facebook взломали, и компания потеряла данные 29 000 человек

Компания Facebook допустила утечку личных данных 29 000 своих сотрудников. Жесткие диски с этой информацией похитили из машины работника социальной сети.

https://xakep.ru/2019/12/16/fb-car-leak/

Google стал считать популярные Linux-браузеры небезопасными

Пользователи и журналисты заметили, что Google не позволяет популярным Linux-браузерам (Konqueror, Falkon и Qutebrowser) использовать свои сервисы.  

https://xakep.ru/2019/12/16/linux-browsers/

Mozilla вынуждает разработчиков расширений использовать 2ФА

Начиная с 2020 года разработчики расширений для Firefox будут обязаны использовать двухфакторную аутентификацию.

https://xakep.ru/2019/12/16/firefox-addons-2fa/

Опубликованы худшие пароли 2019 года

Разработчики менеджера паролей NordPass опубликовали список из 200 наиболее используемых и слабых паролей уходящего года. «12345» — по-прежнему самый популярный пароль.  

https://xakep.ru/2019/12/17/2019-pass/

Критическая уязвимость в роутерах TP-Link позволяла перехватить управление устройством без пароля

Инженеры TP-Link устранили уязвимость в маршрутизаторах серии Archer. Используя баг, злоумышленник мог получить контроль над устройствами через локальную сеть и Telnet.

https://xakep.ru/2019/12/17/tp-link-archer/

Баг в iOS позволяет обмануть родительский контроль

С релизом iOS 13.3 разработчики Apple ввели в строй ряд дополнительных инструментов родительского контроля. Как оказалось, обойти эти ограничения можно обойти, обратившись за помощью к Siri, или отключив синхронизацию с iCloud.

https://xakep.ru/2019/12/17/parents-control-bug/

GitLab выплатил исследователям полмиллиона долларов за год

За последний год GitLab выплатила исследователям более 500 000 долларов США в рамках программы bug bounty.

https://xakep.ru/2019/12/17/gitlab-bug-bounty-2/

Visa предупреждает: в Северной Америке PoS-малварь атакует автозаправки

В этом году специалисты Visa расследовали как минимум пять инцидентов, связанных с атаками PoS-малвари на заправочные станции.

https://xakep.ru/2019/12/17/gas-stations-pos/