Опасные уязвимости в программном обеспечении Airmail 3, альтернативном почтовом клиенте для macOS, позволяют удаленному злоумышленнику похитить электронные письма и прикрепленные файлы пользователей.
Уязвимость в Airmail 3 позволяет мгновенно красть информацию у пользователей Apple
Уязвимость в Airmail 3 позволяет мгновенно красть информацию у пользователей Apple
SecurityLab.ru
Уязвимость в Airmail 3 позволяет мгновенно красть информацию у пользователей Apple
Атакующие могут украсть файлы жертвы путем злоупотребления запросами URL, обрабатываемыми программой электронной почты для macOS.
Исследователь безопасности из Google Project Zero Тэвис Орманди (Tavis Ormandy) обнаружил критическую уязвимость в Ghostnoscript - интерпретаторе с открытым исходным кодом для языков PostScript и PDF.
Критическая уязвимость в Ghostnoscript ставит множество систем под угрозу взлома
Критическая уязвимость в Ghostnoscript ставит множество систем под угрозу взлома
SecurityLab.ru
Критическая уязвимость в Ghostnoscript ставит множество систем под угрозу взлома
Ghostnoscript содержит несколько проблем, совместная эксплуатация которых позволяет удаленному злоумышленнику выполнить произвольный код.
Группа исследователей представила новый метод извлечения ключей шифрования из электронных устройств, работающий намного быстрее по сравнению со всеми другими известными на сегодняшний день методами.
Представлен способ извлечения RSA-ключей за 1 секунду
Представлен способ извлечения RSA-ключей за 1 секунду
SecurityLab.ru
Представлен способ извлечения RSA-ключей за 1 секунду
Способ базируется на анализе электромагнитных волн, излучаемых устройством во время операции по шифрованию.
Хакеры попытались взломать базу данных избирателей Национального комитета Демократической партии США. Об этом в среду, 22 августа, сообщило агентство Associated Press.
Хакеры снова атаковали Демократическую партию США
Хакеры снова атаковали Демократическую партию США
SecurityLab.ru
Хакеры снова атаковали Демократическую партию США
Злоумышленники создали фишинговый сайт, замаскированный под страницу авторизации базы данных NGP VAN.
Исследователи безопасности из компании Qualys заметили уязвимость в OpenSSH, позволяющую удаленному атакующему угадать логины, зарегистрированные на серверах OpenSSH. Проблеме (CVE-2018-15473) подвержены все версии клиента OpenSSH, выпущенные за последние 20 лет. Учитывая широкое распространение OpenSSH, речь может идти о миллиардах уязвимых устройств - от облачных серверов до IoT- оборудования, а устранение проблемы (соответствующий патч уже выпущен), судя по всему, займет довольно долгое время.
Все выпущенные за последние 20 лет версии OpenSSH подвержены опасной уязвимости
Все выпущенные за последние 20 лет версии OpenSSH подвержены опасной уязвимости
SecurityLab.ru
Все выпущенные за последние 20 лет версии OpenSSH подвержены опасной уязвимости
Учитывая широкое распространение OpenSSH, речь может идти о миллиардах уязвимых устройств.
Исследователь безопасности компании Semmle Мань Юэ Мо (Man Yue Mo) обнаружил в популярном фреймворке для web-приложений Apache Struts критическую уязвимость (CVE-2018-11776). Проблема затрагивает ядро фреймворка и позволяет удаленно выполнить код.
В Apache Struts обнаружена критическая уязвимость
В Apache Struts обнаружена критическая уязвимость
SecurityLab.ru
В Apache Struts обнаружена критическая уязвимость
Проблема затрагивает ядро фреймворка и позволяет удаленно выполнить код.
Исследователь безопасности под псевдонимом NinjaStyle обнаружил полную контактную информацию всех присутствующих на конференции по безопасности BlackHat 2018 в открытом доступе. Данные включают в себя имя, адрес электронной почты, компанию и номер телефона.
Обнаружена утечка данных посетителей конференции BlackHat 2018
Обнаружена утечка данных посетителей конференции BlackHat 2018
SecurityLab.ru
Обнаружена утечка данных посетителей конференции BlackHat 2018
Данные включают в себя имя, адрес электронной почты, компанию и номер телефона.
Microsoft выпустила обновления микрокода от Intel, в том числе для устранения недавно выявленной уязвимости класса Spectre, получившей название Foreshadow.
Исправление для уязвимости Foreshadow доступно для всех версий Windows 10
Исправление для уязвимости Foreshadow доступно для всех версий Windows 10
SecurityLab.ru
Исправление для уязвимости Foreshadow доступно для всех версий Windows 10
Обновления также включают в себя исправление для нескольких вариантов Spectre.
Представитель офиса директора национальной разведки США Ланая Джонс (LaNaia Jones) заявила о нехватке квалифицированных специалистов в сфере кибербезопасности. Об этом сообщили РИА «Новости».
США не хватает специалистов для борьбы с киберугрозами
США не хватает специалистов для борьбы с киберугрозами
SecurityLab.ru
США не хватает специалистов для борьбы с киберугрозами
У экспертов недостаточно времени на обработку большого объема поступающих данных.
Исследователи безопасности из «Лаборатории Касперского» сообщили об атаке на одну из крупных азиатских криптовалютных бирж. Нападение является делом рук хакерской группировки Lazarus, предположительно связанной с северокорейским правительством.
Хакерская группировка Lazarus атаковала криптовалютную биржу в Азии
Хакерская группировка Lazarus атаковала криптовалютную биржу в Азии
SecurityLab.ru
Хакерская группировка Lazarus атаковала криптовалютную биржу в Азии
В отличие от предыдущих операций Lazarus, хакеры впервые использовали вредоносные программы для Mac.
Разработчики как минимум одного дистрибутива Linux задерживают выпуск обновлений, исправляющих очередные уязвимости в процессорах Intel. Причина отзыва – проблемы с лицензией.
Debian задерживает выпуск патчей для Spectre-подобных уязвимостей
Debian задерживает выпуск патчей для Spectre-подобных уязвимостей
SecurityLab.ru
Debian задерживает выпуск патчей для Spectre-подобных уязвимостей
Разработчики дистрибутива не согласны с условиями нового лицензионного соглашения Intel.
В четверг, 23 августа, бывшая подрядчица разведслужб США Реалити Ли Уиннер (Reality Leigh Winner) была приговорена к 63 месяцам лишения свободы за передачу прессе секретного отчета Агентства национальной безопасности. Как сообщает The Wall Street Journal, данный срок является самым большим, к которому когда-либо был приговорен обвиняемый в утечке секретной информации.
Экс-подрядчица АНБ получила самый большой срок за утечку
Экс-подрядчица АНБ получила самый большой срок за утечку
SecurityLab.ru
Экс-подрядчица АНБ получила самый большой срок за утечку
Реалити Ли Уиннер является первым человеком, осужденным согласно «Закону о шпионаже» при администрации Трампа.
Проживающий в Польше белорусский активист Кристиан Шинкевич подал на социальную сеть «ВКонтакте» жалобу в польское Управление охраны персональных данных (Urząd Ochrony Danych Osobowych, UODO). Как считает активист, «ВКонтакте» нарушает европейский Общий регламент по защите данных (General Data Protection Regulation, GDPR) и за это должна быть оштрафована либо запрещена на территории Польши. Об этом сообщает Telegram-канал «Ты сядешь за лайк».
«ВКонтакте» могут оштрафовать за нарушение GDPR
«ВКонтакте» могут оштрафовать за нарушение GDPR
SecurityLab.ru
«ВКонтакте» могут оштрафовать за нарушение GDPR
Компании грозит штраф до €20 млн либо 4% от годового оборота.
Intel выпустила обновления микрокода, исправляющие новые Spectre-подобные уязвимости L1 Terminal Fault в ее процессорах. Однако вместе с патчами компания также выпустила обновленное лицензионное соглашение, согласно которому разработчики теперь не могут публиковать результаты бенчмарков. Похоже, таким образом Intel попыталась юридически запретить разработчикам сообщать о снижении производительности, вызванном новыми патчами.
Intel запретила разработчикам рассказывать о влиянии патчей на производительность
Intel запретила разработчикам рассказывать о влиянии патчей на производительность
SecurityLab.ru
Intel запретила разработчикам рассказывать о влиянии патчей на производительность
Вместе с исправлениями для уязвимостей L1 Terminal Fault производитель выпустил обновленное лицензионное соглашение.
Попытка хакеров взломать базу данных избирателей Национального комитета Демократической партии США на самом деле оказалась тестированием безопасности. В четверг, 23 августа, Представители Демпартии подтвердили CNN, что они ошиблись и подняли ложную тревогу.
Хакерская атака на Демпартию США оказалась учениями
Хакерская атака на Демпартию США оказалась учениями
SecurityLab.ru
Хакерская атака на Демпартию США оказалась учениями
Демократическая партия Мичигана проводила тестирование безопасности, забыв уведомить об этом Нацкомитет.
Злоумышленники используют официальные инструменты для тестирования в целях создания и поддержки работы ботнетов. В частности, речь идет об инструменте для удаленного доступа Remcos (Remote Control and Surveillance), утилите для шифрования Octopus Protector и другом программном обеспечении производства компании Breaking Security, утверждают специалисты команды Cisco Talos.
Преступники создают ботнеты с помощью легитимных инструментов для удаленного доступа
Преступники создают ботнеты с помощью легитимных инструментов для удаленного доступа
SecurityLab.ru
Преступники создают ботнеты с помощью легитимных инструментов для удаленного доступа
RAT Remcos применялся в ряде целевых фишинговых атак на организации в Турции, Испании, Польше и Великобритании.
Facebook удалила приложение Onavo VPN из App Store после того, как Apple попросила компанию добровольно убрать программное обеспечение. Причиной удаления стало нарушение приложением политики сбора данных Apple. Об этом сообщает издание Wall Street Journal.
Apple заставила Facebook удалить приложение Onavo VPN из App Store
Apple заставила Facebook удалить приложение Onavo VPN из App Store
Компания Spyfone, продающая программное обеспечение для слежки, оставила «терабайты данных», включая фотографии, аудиозаписи, текстовые сообщения и историю web-поиска, в открытом доступе на некорректно настроенном сервере Amazon S3. Об этом сообщает портал Motherboard.
Продающая шпионское ПО компания допустила утечку данных
Продающая шпионское ПО компания допустила утечку данных
SecurityLab.ru
Продающая шпионское ПО компания допустила утечку данных
На незащищенном сервере были обнаружены фотографии, текстовые сообщения, аудиозаписи, контакты и пр.
Подписанный президентом США закон №115-232 может стать причиной отказа различных ИБ-компаний от прохождения сертификации в Федеральной службе по техническому и экспортному контролю (ФСТЭК), считает эксперт по кибербезопасности Алексей Лукацкий.
ИБ-компании могут отказаться от сертификации в РФ
ИБ-компании могут отказаться от сертификации в РФ
SecurityLab.ru
ИБ-компании могут отказаться от сертификации в РФ
Новый закон США позволяет минобороны страны не использовать ПО, чей исходный код анализировался иностранными структурами.
Как считают в Центробанке, фишинговые сайты, использующиеся для мошенничества, должны блокироваться без суда, причем заниматься блокировкой должен сам Центробанк. Соответствующая инициатива на прошлой неделе была рассмотрена на совещании у вице-премьера Максима Акимова, сообщает издание «Ведомости».
Центробанк может получить право блокировать сайты без суда
Центробанк может получить право блокировать сайты без суда
SecurityLab.ru
Центробанк может получить право блокировать сайты без суда
Глава Центробанка Эльвира Набиуллина может получить право лично блокировать мошеннические сайты.
Один из крупнейших операторов связи в Европе и США T-Mobile сообщил о кибератаке, в ходе которой хакеры похитили персональные данные порядка 2 млн человек.
Хакеры похитили личные данные 2 млн клиентов T-Mobile
Хакеры похитили личные данные 2 млн клиентов T-Mobile
SecurityLab.ru
Хакеры похитили личные данные 2 млн клиентов T-Mobile
Представители компании уверяют, что финансовая информация не пострадала.