Обзор эксплоитов. Критические баги в vBulletin, InfluxDB и Django #hack #exploits #подписчикам

Сегодня мы поговорим сразу о нескольких уязвимостях. Одна из них была найдена в популярном форумном движке vBulletin и позволяет атакующему выполнять произвольный код, не имея никаких прав, — от такого безобразия его отделяет лишь один POST-запрос. Также я потреплю старичка Django в поисках SQL-инъекций и покажу, как работает обход авторизации в базе данных InfluxDB.

https://xakep.ru/2019/12/19/exploits-249/

Учения по изоляции рунета пройдут 23 декабря

В Минкомсвязи подтвердили, что в следующий понедельник будут проведены учения по устойчивости и безопасности интернета в рамках так называемого «закона о суверенном рунете».

https://xakep.ru/2019/12/19/runet-teset/

​#реклама
20 декабря в 20-00 (мск) в формате онлайн пройдет День открытых дверей курса «Безопасность приложений»: https://otus.pw/Re0A/

Старт групп уже 26 декабря - успейте пройти вступительный тест и занять место со скидкой 30% до подорожания: https://otus.pw/r0er/

На бесплатном вебинаре мы:
- ответим на все вопросы по уязвимостях приложений;
- поговорим о хардкорной программе курсов, формате обучения и выпускном проекте;
- расскажем о карьерных перспективах выпускников OTUS и 28+ работодателях, которые готовы предложить собеседования на вакантные позиции по итогу обучения.

Встречу проведёт преподаватель и руководитель программы курса Денис Макрушин Руководитель группы безопасности приложений в IT-компании из списка Fortune 100, до этого работал исследователем уязвимостей в группе GREAT "Лаборатории Касперского").

Остались вопросы? Задайте их преподавателям лично. Регистрируйтесь - напомним в день вебинара!

Check Point: количество угроз для мобильных устройств резко увеличилось

К концу года резко увеличилась активность вредоносных программ для мобильных устройств. Впервые за последние три года в общий список наиболее активной малвари вошел мобильный троян XHelper, и он же стал самой распространенной мобильной угрозой ноября.

https://xakep.ru/2019/12/20/check-point-november-malware/

Критический баг, связанный с обработкой архивов, исправлен в Drupal

Разработчики Drupal обновили свою CMS до версий 7.69, 8.7.11 и 8.8.1, в которых устранили несколько уязвимостей, включая критические. Наиболее серьезная из проблем затрагивает Drupal 7.x, 8.7.x и 8.8.x и связана со сторонней библиотекой Archive_Tar — популярным инструментом, предназначенный для обработки архивных файлов TAR в PHP. Около месяца тому назад разработчикам Archive_Tar посоветовали добавить опцию, которая…

https://xakep.ru/2019/12/20/drupal-critical-bugs/

Выбираем файрвол. Проверяем восемь домашних файрволов на строгость

Казалось бы, выбрать файрвол для домашнего компьютера — дело нехитрое: наливай да пей (то есть устанавливай да пользуйся). Но файрволы бывают разные, и выбор может стоить усилий и времени. Сегодня мы рассмотрим восемь файрволов и проверим их возможности и умолчательные настройки при помощи простого функционального теста. Наиболее важные факторы при выборе — это простота и…

https://xakep.ru/2019/12/20/firewalls-249/

Браузер Vivaldi вынужден менять user-agent, маскируясь под Chrome

Разработчики браузера Vivaldi сообщили, что начиная с релиза версии 2.10, состоявшегося на этой неделе, их браузер будет маскироваться под Chrome, чтобы пользователям могли получить доступ к сайтам, которые в противном случае несправедливо их блокируют.

https://xakep.ru/2019/12/20/vivaldi-ua/

Университет вынудил 38 000 человек стоять в очереди ради сброса пароля

Десятки тысяч студентов и сотрудников Гисенского университета имени Юстуса Либиха в Германии выстроились в очередь для получения новых учетных данных, после того как учебное заведение пострадало от атаки малвари.

https://xakep.ru/2019/12/20/jlu-passwords/

Майнинговый ботнет MyKingz использует фото Тейлор Свифт для сокрытия полезной нагрузки

Ботнет MyKingz, также известный под названиями Smominru, DarkCloud и Hexmen, использует стеганографию для заражения целевых машин. Пейлод прячется в фотографии певицы Тейлор Свифт.

https://xakep.ru/2019/12/20/taylor-swift-payload/

Хакеры воруют банковские карты, предлагая жертвам посмотреть новый эпизод «Звездных войн»

В конце прошлой недели в прокат вышла заключительная часть новой трилогии, «Звёздные войны: Скайуокер. Восход», и уже более 30 мошеннических сайтов и аккаунтов в социальных сетях предлагают бесплатно скачать его копию.

https://xakep.ru/2019/12/23/rise-of-skywalker/

Android: уязвимость StrandHogg и обход ограничений на доступ к камере и микрофону #android #дайджест #подписчикам

Сегодня в выпуске: подробности уязвимости StrandHogg, которая позволяет подменить любое приложение в любой версии Android; обход защиты на доступ к камере, микрофону и местоположению; обход защиты на снятие скриншотов; хорошие и плохие приемы программирования на Kotlin; а также статистика по версиям Android от PornHub и подборка библиотек для программистов.

https://xakep.ru/2019/12/23/android-248/

Мошенник, обманувший Google и Facebook на 100 млн долларов, получил 5 лет тюрьмы

Гражданин Литвы Эвалдас Римасаускас, обманувший Google и Facebook и присвоивший таким образом более 100 млн долларов, был признан виновным и приговорен к пяти годам лишения свободы.

https://xakep.ru/2019/12/23/rimasauskas-sentenced/

Прошлогодняя уязвимость в Cisco ASA все еще популярна среди злоумышленников

Специалисты Cisco Talos предупредили, что участились DoS-атаки с использованием прошлогодней уязвимости в Cisco Adaptive Security (ASA) и Firepower.

https://xakep.ru/2019/12/23/cisco-asa-attacks/

Данные 267 000 000 пользователей Facebook нашли в открытом доступе

В сети нашли незащищенную базу Elasticsearch, содержащую данные 267 000 000 пользователей Facebook.

https://xakep.ru/2019/12/23/one-more-fb-leak/

Канадские власти оштрафовали разработчиков Orcus RAT

Orcus Technologies продает и рекламирует инструмент удаленного доступа (Remote Administration Tool) Orcus, однако ИБ-специалисты давно отмечают, что многие его функции скорее присущи малвари, а не легальному коммерческому продукту.

https://xakep.ru/2019/12/23/orcus-rat/

Осужден хакер, который шантажировал Apple и угрожал  обнулить сотни миллионов аккаунтов

Лондонский суд вынес приговор по делу 22-летнего шантажиста, который в 2017 году угрожал обнулить сотни миллионов учетных записей iCloud и сбросить к заводским настройками 250 миллионов устройств iPhone и iPad.

https://xakep.ru/2019/12/23/turkish-crime-family/