В России могут ввести ограничения на использование приложений для обмена сообщениями. Согласно подготовленным правительством новым правилам, пользоваться мессенджером сможет только абонент, на которого зарегистрирован номер телефона, сообщают «Известия».
Мессенджеры будут проверять подлинность номеров телефонов своих пользователей

Специалисты университета Редбаунд (Нидерланды) обнаружили несколько уязвимостей в прошивках самошифруемых твердотельных накопителей (SSD) производства Micron (Crucial) и Samsung, позволяющих обойти функцию шифрования и скрыто получить доступ к данным без пароля. Проблема затрагивает исключительно модели SSD, поддерживающие аппаратное шифрование (шифрование с помощью встроенного чипа, отдельно от центрального процессора).
Уязвимости в популярных SSD позволяют получить доступ к зашифрованным данным

На портале GitHub опубликован инструмент под названием Kamerka, позволяющий определить местоположение уязвимых камер видеонаблюдения по всему миру.
Представлен инструмент для поиска незащищенных камер видеонаблюдения

Атаки по сторонним каналам представляют серьезную угрозу безопасности АСУ ТП, предупредил исследователь безопасности на конференции SecurityWeek ICS Cyber Security Conference, проходившей в Атланте (США) в прошлом месяце.
Устройства АСУ ТП уязвимы к атакам по сторонним каналам

Специалисты Калифорнийского университета в Риверсайде продемонстрировали новые методы атак по сторонним каналам на графические процессоры (GPU), позволяющие с легкостью отслеживать интернет-активность пользователей, похищать пароли и компрометировать облачные приложения.
Атаки на GPU подвергают риску конфиденциальность пользователей

В решении для зарядки электромобилей CirCarLife от испанской компании Circontrol исправлены две уязвимости, позволяющие удаленному атакующему похитить учетные данные в открытом виде с целью обхода аутентификации, а также получить доступ к конфиденциальным данным. Проблема затрагивает все версии CirCarLife до 4.3.1.
В Circontrol CirCarLife исправлены две опасные уязвимости

Сотрудники команды Cisco Talos зафиксировали ряд кампаний, направленных против пользователей популярного мессенджера Telegram и фотохостинга Instagram в Иране, в том числе с использованием BGP-перехвата трафика.
Злоумышленники перехватывают трафик Telegram в Иране

В инструкции от производителя машин для голосования, использующихся в десяти штатах, рекомендуется использовать простые, легко взламываемые пароли и повторно использовать одни и те же пароли при смене учетных данных.
Инструкции к машинам для голосования в США рекомендуют использовать слабые пароли

Исследователь в области кибербезопасности Сергей Зеленюк обнародовал подробную информацию об уязвимости в виртуальной машине Oracle VirtualBox, позволяющей выйти за пределы виртуализированной среды гостевой машины и повысить привилегии до уровня кольца защиты (Ring) 3 (почти все пользовательские программы). Проблема затрагивает VirtualBox 5.2.20 и более ранние версии.
Опубликованы подробности и эксплоит для уязвимости в VirtualBox

Компании Google и Facebook поддержали новые интернет-стандарты, предложенные одним из создателей Всемирной паутины Тимом Бернерсом-Ли (Tim Berners-Lee). Речь идет о так называемом «Сетевом контракте» (Contract for the Web), принципы которого предполагают предоставление всем людям свободного доступа к Сети, отказ от любых попыток ограничить или запретить пользование интернетом, уважение права пользователей на сохранность и конфиденциальность личной информации и пр.
Google и Facebook поддержали договор о свободном интернете

Организация Apache Foundation предупредила разработчиков о необходимости обновить используемые ими установки Struts 2 и использующие код проекты. Причина – критическая уязвимость в ключевом компоненте фреймворка.
В Struts 2 исправлена очередная критическая уязвимость

Специалист ИБ-компании Malwarebytes Джером Сегура (Jérôme Segura) рассказал об используемой блокировщиками браузеров новой технике обфускации. Новый метод был взят на вооружение мошенниками, выдающими себя за техподдержку, для блокировки браузеров жертв в обход обнаружения.
Блокировщики браузеров вооружились новой техникой обфускации

Специалист компании F-Secure Андреа Барисани (Andrea Barisani) выявил недоработку в дизайне открытого универсального загрузчика U-Boot (Universal bootloader), связанную с недостаточной проверкой доступной памяти. Проблема может быть проэксплуатирована для обхода процесса валидации и последующей загрузки и выполнения произвольного кода на системе.
Представлен метод обхода проверки доверенной загрузки U-Boot

Спецслужбы должны иметь ключи к шифрованным приложениям в интернете. Данную точку зрения выразил директор ФСБ России Александр Бортников на совещании руководителей спецслужб, органов безопасности и правоохранительных органов.
Глава ФСБ призвал создать систему хранения ключей шифрования мессенджеров

Выпущенное в прошлом месяце кумулятивное обновление KB4462933 для Windows 10 сборки 1803 препятствует работе инструментов разработчика в Microsoft Edge.
Октябрьское обновление для Windows 10 вызывает проблемы в работе компьютера

Международный финансовый гигант HSBC стал жертвой кибератаки с использованием украденных учетных данных (credential stuffing).
Финансовый гигант HSBC стал жертвой атаки

Воспользовавшись недоработкой в дизайне системы разрешений WordPress и уязвимостью в популярном плагине для электронной коммерции WooCommerce, злоумышленники могут полностью перехватить управление сайтами на WordPress, предупредил специалист компании RIPS Tech Саймон Скеннелл (Simon Scannell).
Уязвимости в WordPress и WooCommerce позволяют перехватить контроль над сайтом

Научитесь защищать данные в сети: Otus. Онлайн-образование открывает набор на профессиональный курс «Цифровая подпись в ИБ»: https://otus.pw/xY32/

Утечки данных случаются чуть ли не ежедневно. Поэтому специалисты по обеспечению информационной безопасности востребованы, как никогда.

Авторский курс создан на основании 16-летнего опыта и рассчитан на разработчиков ПО от junior до team lead, в том числе, планирующих использование и внедряющих технологии ЭП и элементы PKI. Выпускной проект можно будет использовать как портфолио при собеседовании с нашими партнёрами - ведущими работодателями.

Если ещё сомневаетесь, ваше ли это, приходите на открытый вебинар «Симметричное и асимметричное шифрование» 8 ноября в 20.00 Мск: https://otus.pw/xY32/

Один из популярнейших сайтов для анализа web-трафика использовался киберпреступниками для ограбления криптовалютной биржи. Как сообщают специалисты компании ESET, злоумышленники модифицировали используемый аналитической платформой StatCounter JavaScript-код таким образом, чтобы при внедрении его на страницу криптовалютной биржи Gate.io он мог выводить биткойны.
Киберворы ограбили криптовалютную биржу через счетчик StatCounter

Как только Apple выпускает новую версию iOS, специалисты из KeenLab тут же выпускают джейлбрейк. Они первыми представили джейлбрейк для iOS 12.0 в июне нынешнего года, а для iOS 11.3.1 – еще в апреле. Теперь же инженеры KeenLab нашли способ обхода ограничений в iOS 12.1, выпущенной только на прошлой неделе.
Для iOS 12.1 появился джейлбрейк

Уже некоторое время пользователи ОС Windows 10 сообщают о довольно странной ошибке, не позволяющей установить ассоциацию файлов (заданное соответствие между типом файла и тем, какой программой или образом он открывается). Система просто не разрешает выбирать определенные приложения в качестве установленных по умолчанию.
Пользователи Windows 10 пожаловались на хаотичную ошибку