В VLC Media Player 3.0.11 исправлена опасная RCE-уязвимость

Разработчики VideoLan выпустили VLC Media Player 3.0.11 для Windows, Mac и Linux. В составе этого релиза была исправлена серьезная уязвимость, допускающая удаленное выполнение произвольного кода или приводящая к DoS-атаке на уязвимую машину.

https://xakep.ru/2020/06/17/vlc-rce-3/

Сотни миллионов IoT-устройств в опасности из-за уязвимостей Ripple20

Исследователи рассказали о 19 уязвимостях, влияющих на библиотеку, которая лежит в основе многих IoT-устройств.

https://xakep.ru/2020/06/17/ripple20/

Adobe исправила 18 критических багов в своих продуктах

На этой неделе разработчики Adobe выпустили внеочередной набор патчей и исправили 18 критических уязвимостей в своих продуктах, включая After Effects, Illustrator, Premiere Pro, Premiere Rush и Audition.

https://xakep.ru/2020/06/17/adobe-rces/

Уязвимости в старом протоколе GTP могут влиять на сети 4G и 5G

Эксперты Positive Technologies предостерегли, что проблемы в GPRS Tunneling Protocol могут сказываться на работе сетей 4G и 5G.

https://xakep.ru/2020/06/17/gtp-problems/

Сотрудники eBay присылали похоронные венки и окровавленные маски недовольным блогерам

Шесть бывших сотрудников eBay стали фигурантами странного судебного разбирательства. Их обвиняют в преследовании супружеской пары блогеров из города Натик, штат Массачусетс. Сотрудники аукциона буквально терроризировали супругов, которые публиковали нелестные статьи о eBay, присылая им живых тараканов и похоронные венки, отправляя сообщения с угрозами, и даже планировали поставить на их машину «маячок».

https://xakep.ru/2020/06/18/ebay-stalkers/

Zoom пересмотрела свое решение: сквозное шифрование будет доступно всем

После шквала критики, обрушившегося на Zoom, компания сообщила, что изменила свое решение. Если раньше end-to-end шифрование хотели сделать доступным лишь для платных пользователей и образовательных учреждений, то теперь стало известно, что шифрование все же будет доступно всем.

https://xakep.ru/2020/06/18/zoom-e2ee/

Виртуальный полигон. Делаем лабораторию сетевого хакера #hack #lab #guide #подписчикам

Вряд ли кто-то в здравом уме станет отрабатывать хакерские атаки сразу в боевых условиях. Для тренировки и экспериментов хорошо иметь тестовый стенд. Но что, если речь об атаках на сеть? Ее тоже можно сделать виртуальной, и в этой статье я покажу, как развернуть свою лабораторию.

https://xakep.ru/2020/06/18/virtual-lab/

Роскомнадзор снял блокировку с Telegram

Сегодня, 18 июня 2020 года, Роскомнадзор сообщил, что позитивно оценивает высказанную Павлом Дуровым готовность противодействовать терроризму и экстремизму в Telegram. В итоге ограничения доступа к мессенджеру снимаются по согласованию с прокуратурой.

https://xakep.ru/2020/06/18/telegram-unblocked/

В IBM Maximo исправлена уязвимость, обнаруженная экспертами Positive Technologies

Критическая уязвимость в системе IBM Maximo Asset Management могла упростить злоумышленникам проникновение во внутреннюю сеть крупных компаний. Баг мог использовать для атак на предприятия нефтегазовой сферы, АЭС, аэропорты и так далее.

https://xakep.ru/2020/06/18/ibm-maximo-bug/

AWS сообщает, что справилась с мощнейшей DDoS-атакой в истории, достигшей 2,3 Тб/сек

Amazon заявила, что в середине февраля текущего года сервис AWS Shield смягчил самую крупную DDoS-атаку в истории, достигавшую мощности 2,3 Тб/сек. Прошлый «рекорд» в этой области был установлен в 2018 году, тогда была зафиксирована DDoS-атака мощностью 1,7 Тб/сек.

https://xakep.ru/2020/06/18/new-ddos-achievement/

Павел Дуров прокомментировал разблокировку Telegram

Основатель Telegram пообещал, что право на конфиденциальность и тайну личной переписки останутся фундаментальными принципами мессенджера.

https://xakep.ru/2020/06/19/durov-comment/

Из Chrome Web Store удалили 106 вредоносных расширений

Из Chrome Web Store была удалены 106 расширений, пойманные на сборе конфиденциальных данных пользователей.

https://xakep.ru/2020/06/19/web-store-malware/

Практика разбитых окон. Как устроена система безопасности Windows и как ее обходят #windows #security #подписчикам

Когда-то считалось, что система локальной безопасности Windows похожа на кованые железные ворота с хитрым замком, стоящие посреди чистого поля: выглядят грозно, однако эффективность… сомнительна. Но времена меняются. Сегодня мы поговорим о том, как устроена безопасность в современных версиях Windows.

https://xakep.ru/2020/06/19/windows-sid/

Во время карантина геймеры стали чаще подвергаться атакам

Как показало исследование «Лаборатории Касперского», в апреле 2020 года количество ежедневных попыток перейти на зараженные сайты, эксплуатирующие игровую тематику, выросло на 54% (по сравнению с январем текущего года).

https://xakep.ru/2020/06/19/gamers-under-attack/

Mozilla запустит собственный VPN-сервис в ближайшие недели

Mozilla VPN выйдет из беты уже текущим летом. В настоящее время сервис доступен для Windows, Chromebook, Android, iOS и Firefox, но в планах у разработчиков есть создание Mac-клиента.

https://xakep.ru/2020/06/19/mozilla-vpn/

Операторы шифровальщика Maze по ошибке атаковали не ту компанию

Операторы шифровальщика Maze по ошибке атаковали нью-йоркскую фирму, занимающуюся архитектурно-строительными работами, хотя собирались устроить атаку на Канадскую ассоциацию стандартизации.

https://xakep.ru/2020/06/19/csa-group-is-not-csa/

79 моделей роутеров Netgear в опасности из-за неисправленного бага

ИБ-эксперты обнаружили, что 79 моделей маршрутизаторов Netgear уязвимы для серьезного бага, который может позволить хакерам удаленно захватить контроль над устройствами.

https://xakep.ru/2020/06/19/netgear-routers-bug/

​Профессиональный новый онлайн-курс "Безопасность веб-приложений" от OTUS. Займите своё место со специальной скидкой: https://otus.pw/vLrU/

Курс рассчитан для разработчиков сайтов; специалистов по тестированию на проникновение; DevOps-инженеров.

Цель курса: научить разработчиков приложений выявлять уязвимости, оценивать их риск для проекта и устранять их различными способами.

Вы научитесь за 3 месяца:
- Использовать средства анализа защищенности кода;
- Внедрять практики безопасной разработки (Secure SDLC);
- Выявлять уязвимости белым и черным ящиком;
- Эксплуатировать уязвимости OWASP Top-10.

Знакомьтесь с программой и пройдите вступительный тест на знания: https://otus.pw/vLrU/

#реклама

Nftables. Как выглядит будущее настройки файрвола в Linux #linux #nftables #подписчикам

Начинающие админы часто считают, что файрвол в Linux называется iptables. Более опытные знают, что нынешняя подсистема ядра для фильтрации трафика и модификации пакетов называется NetFilter, а команда iptables всего лишь утилита для ее настройки. В этой статье я познакомлю тебя с инструментом, который все чаще встречается в современных дистрибутивах, — nftables.

https://xakep.ru/2020/06/22/nftables/

Взломанный сервер Оксфорда использовался для фишинговых атак на Office 365

Эксперты Check Point раскрыли сложную фишинговую кампанию, нацеленную на сбор корпоративных данных и компрометацию учетных записей Microsoft Office 365. Чтобы избежать обнаружения, злоумышленники использовали серверы известных организаций — Оксфордского университета, компаний Adobe и Samsung.

https://xakep.ru/2020/06/22/office-365-phishing/