Adobe выпустила внеплановые патчи для критических уязвимостей в After Effects и Media Encoder

Компания Adobe выпустила два срочных патча для критических уязвимостей, которые могут привести к удаленному выполнению произвольного кода.

https://xakep.ru/2020/02/21/out-of-band-patches/

Пользователей устройств Samsung Galaxy напугали странные push-уведомления

Пользователи Samsung Galaxy массово получили странные push-уведомления с темой «1» и содержанием сообщения «1». Хотя многие подумали, что их взломали, оказалось, что разработчики Samsung провели неудачный тест.

https://xakep.ru/2020/02/21/1-push/

Аккаунты PayPal массово подвергаются атакам через интеграцию с Google Pay

Пользователи со всего мира сообщают о несанкционированных платежах, осуществляемых через их аккаунты PayPal. Судя по всему, хакеры нашли баг в интеграции PayPal и Google Pay.

https://xakep.ru/2020/02/25/paypal-google-pay/

Для проблемного обновления Windows 10 появился неофициальный патч

Недавно пользователи Windows 10 обнаружили, что обновление KB4532693 вызывает множество проблем, вплоть до потери данных. Однако оно связно с исправлением RCE-уязвимости в Internet Explorer, а значит, многим пригодится микропатч от сторонних разработчиков.

https://xakep.ru/2020/02/25/kb4532693-micropatch/

Вирус для Windows. Создаем простейшую вредоносную программу на ассемблере #windows #malware #guide #подписчикам

Конструирование вирусов — отличный стимул изучать ассемблер. И хотя вирус, в принципе, можно написать и на С, это будет как-то не по-хакерски и вообще неправильно. Следующий далее текст — заметка Криса Касперски, которая раньше не публиковалась в «Хакере». Из нее ты узнаешь, как создаются вирусы и как написать простой вирус для Windows при помощи FASM.

https://xakep.ru/2020/02/25/nezumi-malware-howto/

Количество попыток отмывания денег выросло почти в три раза

«Лаборатория Касперского» подсчитала, что каждая пятидесятая онлайн-сессия в банковском секторе и сфере электронной коммерции в России и мире в 2019 году проводилась злоумышленниками.

https://xakep.ru/2020/02/25/money-laundering/

#реклама

Поговорим о защите корпоративной переписки!
27 февраля в 12:00 этичные хакеры из Центра Компетенций «Электронное Облако» проведут вебинар "Безопасный мессенджер. Взгляд специалиста ИБ"
Онлайн-встреча для сотрудников ИБ, руководителей ИБ компаний, руководителей и топ-менеджеров будет посвящена темам:
1.    Размещение на собственных серверах. За и против.
2.    Анонимность. Для чего необходима. Как реализовать.
3.    Отсутствие данных на конечных устройствах пользователей. За и против.
4.    Сквозное шифрование — как сделать правильно.
5.    Защита пользователей при попадании в экстренную ситуацию.

Смотрите вебинар после регистрации!
https://cyberskill.timepad.ru/event/1262745/?utm_refcode=fd67af16a00d7e3cece22035763a79c4cb0acdc4

Новая уязвимость в LTE угрожает практически всем современным смартфонам

Эксперты из Рурского университета сообщили о проблеме IMP4GT, которой подвержены практически все современные устройства с поддержкой LTE. Баг позволяет имитировать в сети оператора другого пользователя, а значит, злоумышленник может оформлять платные подписки за счет других людей или публиковать что-либо (к примеру, секретные документы) под чужой личиной.

https://xakep.ru/2020/02/25/imp4gt/

Инженеры Google исправили 0-day уязвимость в Chrome, которая уже находилась под атаками

Разработчики Google выпустил обновление для браузера Chrome, которое устраняет три ошибки, включая уязвимость нулевого дня, которая уже используется хакерами.

https://xakep.ru/2020/02/25/v8-0day/

Фундаментальные основы хакерства. Учимся искать ключевые структуры языков высокого уровня #hacking #howto #подписчикам

Исследование алгоритма работы программ, написанных на языках высокого уровня, традиционно начинается с реконструкции ключевых структур исходного языка — функций, локальных и глобальных переменных, ветвлений, циклов и так далее. Это делает дизассемблированный листинг более наглядным и значительно упрощает его анализ.

https://xakep.ru/2020/02/26/nezumi-hacking-guide-6/

Уязвимость нулевого дня исправлена в NAS компании Zyxel

Критическая уязвимость CVE-2020-9054 затрагивает несколько моделей NAS компании и позволяет удаленно выполнить произвольный код. Хуже того, проблему уже эксплуатируют хакеры.

https://xakep.ru/2020/02/26/zyxel-0day/

DDoS-вымогатели угрожают австралийским банкам

Банки и другие финансовые организации в Австралии стали жертвами массовой вымогательской кампании. Злоумышленники рассылают письма, в которых угрожают устроить DDoS-атаки, если банки не заплатят им крупную сумму в криптовалюте Monero.

https://xakep.ru/2020/02/26/rdos-australia/

В 2019 году сталкерское ПО стало атаковать россиян в три раза чаще

По данным «Лаборатории Касперского», в 2019 году в России по сравнению с предыдущим годом в три раза увеличилось количество пользователей мобильных устройств, атакованных сталкерскими программами.

https://xakep.ru/2020/02/26/stalkerware-2019/

Ошибочная рассылка push-уведомлений Samsung помогла обнаружить утечку данных

Недавно пользователей устройств Samsung Galaxy напугали странные push-уведомления с темой «1» и содержанием сообщения «1». Когда озадаченные владельцы устройств из Великобритании решили на всякий случай сменить пароли на сайте производителя, они обнаружили личные данные других людей.

https://xakep.ru/2020/02/26/samsung-leak/

Проблема Kr00k опасна для Wi-Fi устройств с чипами Broadcom и Cypress

Уязвимость Kr00k может использоваться для перехвата и дешифровки Wi-Fi трафика (WPA2). Проблеме подвержены любые устройства, использующие решения компаний Cypress Semiconductor и Broadcom, в том числе iPhone, iPad, Mac, Amazon Echo и Kindle, устройства на Android, Raspberry Pi 3, а также Wi-Fi роутеры Asus и Huawei.

https://xakep.ru/2020/02/27/kr00k/

Релиз Chrome 80 помешал работе малвари AZORult и маркетплейса Genesis

Вредонос AZORult, ворующий личные данные пользователей, не работает с Chrome 80. Из-за этого проблемы возникли у торговой площадки Genesis, где торгуют не просто личными данными, но готовыми виртуальными личностями.

https://xakep.ru/2020/02/27/genesis-azorult/

Hack the web! Как проверить сайт на уязвимости и как их эксплуатируют #hack #web #подписчикам

Взлом сайтов — один из самых распространенных типов атак. Если тебе интересно, как взламывают сайты и на что нужно обратить внимание, чтобы защитить свой ресурс, то эта статья для тебя. Здесь я разберу самые начала пентеста веб-приложений и на примерах покажу, как работать с популярными движками.

https://xakep.ru/2020/02/27/hack-the-web/

Свежая 0-day уязвимость Zyxel влияет и на брандмауэры компании

Критическая проблема нулевого дня, набравшая 10 баллов из 10 возможных по шкале оценки уязвимостей CVSS, оказалась опасна не только для NAS компании Zyxel.

https://xakep.ru/2020/02/27/zyxel-0day-2/

Операторы вымогателя Sodinokibi могут сообщать NASDAQ о своих атаках, чтобы влиять на цену акций

Операторы шифровальщика Sodinokibi (REvil) придумывают новые вымогательские тактики. В частности, злоумышленники планируют уведомлять о своих атаках фондовые биржи (к примеру, NASDAQ), чтобы повлиять на акции компаний-жертв.

https://xakep.ru/2020/02/27/sodinokibi-nasdaq/

Вредонос Raccoon ворует данные из 60 разных приложений

Специалисты CyberArk предупредили, что инфостилер Raccoon способен похищать данные из 60 различных приложений, включая популярные браузеры, почтовые клиенты и криповалютные кошельки.

https://xakep.ru/2020/02/27/raccoon-apps/