Регистратор доменов GoDaddy внедряет в сайты своих американских клиентов JavaScript-код, не наилучшим образом влияющий на производительность ресурсов.
GoDaddy внедряет в сайты своих клиентов JavaScript-код без их согласия

Все реализации протокола SCP (Secure Copy Protocol), выпущенные за последние 36 лет, содержат ряд уязвимостей, позволяющих вредоносному SCP-серверу внести несанкционированные изменения на целевой системе и скрыть вредоносные операции на терминале.
Все реализации SCP подвержены уязвимостям 36-летней давности

Независимый исследователь безопасности Паулос Йибело (Paulos Yibelo) обнаружил в популярной хостинговой платформе Bluehost множественные уязвимости, позволяющие злоумышленникам с легкостью завладеть чужой учетной записью. В частности, эксперт выявил уязвимости раскрытия информации и недостаток проверки подлинности паролей при смене учетных данных.
В хостинговой платформе Bluehost обнаружены опасные уязвимости

Польша может рассмотреть вопрос о запрете использования продуктов Huawei государственными органами, заявил курирующий вопросы кибербезопасности чиновник Кароль Оконьски (Karol Okonski). Сообщение последовало после ареста китайского представителя Huawei в Польше на прошлой неделе.


Польша задумалась о запрете на использование продуктов Huawei

В России появится единый реестр отечественного радиоэлектронного оборудования. Согласно поручению вице-премьера Максима Акимова, до 1 марта текущего года Минпромторг, Минэкономразвития, Минкомсвязи и ФАС должны предоставить проект нормативного правового акта о создании соответствующего реестра.
В РФ появится единый реестр отечественного радиоэлектронного оборудования

Специалисты команды ZDI опубликовали подробности об уязвимости в ОС Windows, которая при определенных условиях предоставляет возможность удаленного выполнения кода в контексте текущего пользователя.


Microsoft отказалась исправлять опасную уязвимость в Windows

Организаторы конференции по безопасности Pwn2Own CanSecWest, которая состоится в марте нынешнего года в Ванкувере (Канада), позволят исследователям в области безопасности взломать автомобиль Tesla Model 3.
Исследователи смогут заработать $250 тыс. за взлом Tesla Model 3

Решение FireEye Email Security получило новые функции защиты от угроз. В дополнение к уже существующим возможностям защиты средство FireEye Email Security – Server Edition 8.2 включает ряд новых функций для борьбы с угрозами и улучшения производительности. FireEye Email Security обеспечивает принципиально новый уровень предотвращения комбинированных атак благодаря использованию платформы FireEye NX для помещения в карантин сообщений электронной почты, содержащих вредоносные URL-aдpeca, и трассировки веб-атак для выявления исходных сообщений, инициировавших атаку целевого фишинга.


Новые ИБ-решения недели: 15 января 2019 года

Исследователи компании Tenable обнаружили в карточной системе контроля доступа к зданиям PremiSys от IDenticard четыре уязвимости, позволяющие злоумышленникам ее взломать. Tenable и US-CERT уведомили IDenticard о проблеме, однако производитель проигнорировал все сообщения и не выпустил обновления безопасности. В связи с этим исследователи решили в открытом доступе опубликовать подробности об уязвимостях.
Уязвимости в системе управления доступом к зданиям PremiSys позволяют отключить функции контроля

Устройства «Интернета вещей» (IoT) меняют саму концепцию получения прибыли от их продажи. Если раньше производители электроники зарабатывали на наценке, то теперь они готовы продавать свою продукцию по себестоимости или даже еще дешевле. Это связано с тем, что производители получают прибыль не с продажи устройства, а с данных пользователей, которые они могут собрать с его помощью, а затем продать.
Чем «умнее» телевизор, тем он дешевле или Как производители зарабатывают на продаже данных

Обновление безопасности, выпущенное компанией Microsoft 8 января и исправляющее уязвимость CVE-2019-0543 в Windows, вызывает проблемы с удаленным выполнением команд PowerShell при определенных условиях.
Обновление для Windows вызывает проблемы с удаленным выполнением команд PowerShell

Уязвимость в популярной системе бронирования авиабилетов Amadeus позволяет злоумышленникам редактировать данные пользователей. Выпущенное разработчиком обновление безопасности, призванное исправить проблему, оказалось неэффективным.
Уязвимость системе бронирования авиабилетов Amadeus ставит под угрозу пассажиров

Команда разработчиков Ethereum на неопределенное время отложила масштабный апгрейд Ethereum Constantinople, запланированный на 17 января, в связи с обнаружением уязвимости, которая могла бы позволить киберпреступникам похитить средства пользователей.
Разработчики Ethereum отложили хардфорк Constantinople из-за опасной уязвимости

Инженеры и специалисты по безопасности нефтехимического завода в Саудовской Аравии могли предотвратить повторную атаку вредоносного ПО Trisis (другое название Triton) в августе 2017 года, но не сделали этого. Об этом сообщается в докладе специалистов, занимавшихся расследованием инцидента. Доклад был представлен во вторник, 15 января, на конференции S4 Conference 2019, пишет Cyberscoop.
Второй атаки на нефтехимический завод в Саудовской Аравии можно было избежать

Северокорейским киберпреступникам удалось проникнуть в компьютерную сеть компании Redbanc, обслуживающей инфраструктуру банкоматов всех банков в Чили, благодаря наивному сотруднику фирмы и одному звонку в Skype.
Для доступа к сети банкоматов в Чили оказалось достаточно звонка в Skype

Система управления контентом WordPress начнет отображать на админпанели предупреждения об использовании устаревших версий PHP (версии PHP до 5.6.х). Нововведение появится в версии WordPress 5.1, запланированной к выпуску весной текущего года, пишет ZDNet.
WordPress предупредит об использовании устаревших версий PHP

В рамках презентации на конференции S4x19 команда специалистов из компании ForeScout раскрыла подробности об уязвимостях в протоколах и компонентах систем автоматизации «умных» зданий, предоставляющих широкие возможности для кибератак. В общей сложности исследователи обнаружили шесть проблем, в том числе XSS-уязвимости, уязвимости обхода каталога и обхода аутентификации, с помощью которых злоумышленник мог бы похитить конфиденциальную информацию, получить доступ и удалить критические файлы, а также производить другие вредоносные действия.
Уязвимости в системах «умного» дома подвергают риску больницы и школы

Новозеландская криптовалютная биржа Cryptopia отключила свой web-сайт и сервисы из-за возможного "инцидента кибербезопасности", который привел к "существенным потерям". Сайт Cryptopia на данный момент не работает.
Криптовалютная биржа Cryptopia приостановила работу из-за предполагаемого взлома

Исследователи безопасности компании Trend Micro проанализировали коммуникационные механизмы в подъемных кранах и других промышленных машинах и обнаружили серьезные уязвимости, позволяющие удаленно осуществлять кибератаки.
Подъемные краны и другая тяжелая техника уязвимы к кибератакам

Специалисты из Check Point выявили в популярной игре Fortnite уязвимости, одна из которых позволяет удаленному атакующему получить контроль над чужой учетной записью, лишь заставив жертву нажать на ссылку. С помощью уязвимостей злоумышленники могут осуществить SQL-инъекцию, межсайтовый скриптинг (XSS), обойти межсетевой экран web-приложения и захватить учетную запись через OAuth.
Уязвимость в Fortnite позволяет взламывать учетные записи

Тысячи сайтов электронной коммерции подверглись кибератакам с целью похищения данных банковских карт пользователей, сообщают исследователи из Trend Micro и RiskIQ. Атаки связаны с Magecart – общим названием для нескольких хакерских группировок, использующих различные методы для похищения данных с сайтов.
Киберпреступники атаковали тысячи сайтов электронной коммерции