Специалисты по безопасности Мин Чжэн и Сиалонг Бай обнаружили в ядре версии iOS 12.1.2 уязвимость, позволяющую взломать iPhone нового поколения, выпущенные в минувшем году. Специалисты опубликовали в Twitter доказательства POP-атаки на iPhone Xs и Xs Max под управлением iOS 12.1.2, с помощью которой им удалось обойти PAC-систему и получить доступ с правами суперпользователя на смартфонах.
Продемонстрирован метод взлома iPhone XS

Исследователи компании Malwarebytes предупредили о появлении обновленной версии набора эксплоитов Fallout, куда был добавлен эксплоит для уязвимости нулевого дня в Adobe Flash Player.
В набор эксплоитов Fallout была добавлена уязвимость нулевого дня в Flash Player

Некто под псевдонимом ExploitDOT предлагает на подпольной торговой площадке Dread данные (включая удостоверения личности и водительские права) клиентов ведущих криптовалютных бирж Bittrex, Poloniex, Bitfinex и Binance, предоставленных пользователями в рамках процедуры идентификации клиентов KYC.
В даркнете выставлены на продажу данные клиентов крупнейших криптобирж

В работе online-серверов новой игры ATLAS возникли некоторые «технические неполадки», после того как злоумышленники сначала взломали учетную запись администратора, а затем проэксплуатировали уязвимость в самой игре и в течение нескольких часов заваливали игроков сообщениями «Subscribe to PewDiePie» («Подписывайтесь на PewDiePie).
Первый месяц после запуска стал для новой игры ATLAS настоящим кошмаром

Национальная комиссия по делам информационных технологий и правам человека (Commission nationale de l'informatique et des libertés, CNIL) Франции оштрафовала компанию Google на €50 млн за нарушение правил Общего регламента по защите данных касательно прозрачности при получении согласия на обработку и использование персональной информации пользователей. Согласно сообщению ведомства, это первый случай, когда CNIL применяет максимальный штраф, предусмотренный законом ЕС о защите персональных данных.
Google оштрафована на €50 млн за нарушение норм GDPR

XebiaLabs представила платформу XebiaLabs DevOps для автоматизации и отслеживания выпуска релизов по сквозной CI/CD-цепочке, от кода до релиза. Обладая информацией о проблемах безопасности и соответствия, команды могут принять меры для устранения рисков сбоев, уязвимостей и нарушений управления IT на ранних этапах цикла поставки программного обеспечения.
Новые ИБ-решения недели: 22 января 2019 года

Malwarebytes, наконец-то, удалось решить проблему с «зависанием» компьютеров под управлением Windows 7. Как оказалось, проблема была связана с многопроцессорной синхронизацией, и Malwarebytes тестировала исправление еще на прошлой неделе.
Malwarebytes решила проблему с «зависанием» Windows 7

Наиболее популярные бесплатные VPN-приложения в Google Play Store содержат проблемы, которые могут угрожать безопасности пользователей. Согласно результатам исследования, проведенного специалистом Metric Labs Симоном Мильяно (Simon Migliano), каждое пятое приложение является потенциальным источником вредоносного ПО, а в четверти проанализированных программ содержатся уязвимости, связанные с утечками DNS-запросов пользователей.


Самые популярные VPN-приложения для Android ставят под угрозу безопасность пользователей

В Китае появилось приложение, позволяющее узнавать, не находится ли поблизости человек, задолжавший деньги. Как сообщает китайская государственная газета China Daily, приложение под названием «Карта злостных неплательщиков» уже доступно жителям провинции Хэбэй.
Китайцы создали приложение для обнаружения должников

Удостоверяющий центр (УЦ) Let's Encrypt заявил о прекращении поддержки протокола TLS-SNI-01 спустя год после того, как злоумышленники запросили сертификаты Let's Encrypt для не принадлежащих им доменов.
Let's Encrypt прекратит поддержку TLS-SNI-01

Специалисты ИБ-компании Acros Security выпустили два неофициальных патча для уязвимостей в ОС Windows, которые инженеры Microsoft пока не исправили. Одна из проблем содержится в системе Windows Error Reporting (позволяет вредоносному ПО перезаписывать и подменять любые файлы на системе), а вторая связана с процессом обработки vCard (при определенных условиях предоставляет возможность удаленного выполнения кода в контексте текущего пользователя).
Для двух неисправленных уязвимостей в Windows доступны временные патчи

В IIoT-шлюзе и менеджере устройств ThingsPro Suite производства компании Moxa обнаружены проблемы с безопасностью.
В Moxa ThingsPro Suite обнаружены семь уязвимостей

В пакетном менеджере APT, используемом в Debian, Ubuntu и других дистрибутивах Linux, обнаружена уязвимость (CVE-2019-3462), позволяющая злоумышленнику подменить устанавливаемый пакет при наличии контроля над зеркалом репозитория или возможности проведения атаки «человек посередине». Уязвимость присутствует во всех версиях утилиты, начиная с 0.8.15.
В пакетном менеджере APT выявлена критическая уязвимость

55% всех программ, установленных на ПК на базе Windows, устарело и подвергает пользователей риску из-за неисправленных уязвимостей. К такому выводу пришли специалисты Avast на основании анализа данных, полученных от 163 млн компьютеров, на которых установлены решения компании.
Устаревшее ПО подвергает пользователей ПК риску

Смарт-камера Nest, использовавшаяся для видеонаблюдения за домом, вызвала панику у американской семьи, сообщив о запуске Северной Кореей межконтинентальных баллистических ракет, якобы направляющихся на Лос-Анджелес, Чикаго и Огайо. На эвакуацию отводилось всего несколько часов, и американцы уже решали, куда уезжать и искали наличные деньги, когда вдруг поняли, что об атаке слышали только они.
«Умная» камера испугала пользователей сообщением о ядерном ударе по США

Дочерняя компания Сбербанка BI.ZONE, которая специализируется на защите активов и репутации бизнеса в интернете, будет обучать специалистов по кибербезопасности. Вместе с технологическим сообществом Binary District компания проведет курсы по безопасности веб-приложений и расследованию кибератак. Два интенсива пройдут 16-17 февраля на площадке Digital October в Москве.


BI.ZONE будет учить кибербезопасности

Уязвимость в системах GoDaddy позволяла злоумышленникам «угонять» чужие домены. Именно это произошло в середине прошлого месяца, когда пользователей в США и Канаде накрыла волна спама. Злоумышленники массово рассылали уведомления о заложенных бомбах и угрожали взорвать их, если не получат $20 тыс., пишет Ars Technica.
Уязвимость в GoDaddy позволяла «угонять» чужие домены

Создатель блокировщиков нежелательного контента uBlock Origin и uMatrix Рэймонд Хилл (Raymond Hill) заявил о прекращении поддержки Chrome в случае, если браузер утвердит третью версию своего манифеста.
Блокировщики рекламы uBlock Origin и uMatrix могут стать недоступны для Chrome

Министерство внутренней безопасности США (МВБ) выпустило "чрезвычайную директиву", предписывающую федеральным гражданским агентствам обеспечить защиту логинов и паролей для учетных записей доменных имен.
МВБ США озаботилось защитой от перехвата DNS

Разработчик программного обеспечения IBM Linux Technology Center Стюарт Смит (Stewart Smith) обнаружил в платформе Baseboard Management Controller (BMC) опасную уязвимость. Смит назвал ее «pantsdown».
В OpenBMC исправлена опасная уязвимость

Компания Cisco исправила критическую уязвимость в компоненте vContainer решения Cisco SD-WAN, которая могла позволить атакующему удаленно вызвать сбой в работе системы и выполнить произвольный код с правами суперпользователя.
Cisco раскрыла информацию о критических уязвимостях в SD-WAN и WebEx