В TCP-стеках Linux и FreeBSD выявлен ряд уязвимостей, которые потенциально позволяют удаленно вызвать отказ в обслуживании или вызвать чрезмерное потребление ресурсов при обработке специально сформированных TCP-пакетов.
В TCP-стеках Linux и FreeBSD выявлены DoS-уязвимости
В TCP-стеках Linux и FreeBSD выявлены DoS-уязвимости
SecurityLab.ru
В TCP-стеках Linux и FreeBSD выявлены DoS-уязвимости
Уязвимости могут представлять угрозу для значительного числа устройств, в том числе серверов и гаджетов на базе Android.
Ряд моделей усилителей беспроводного сигнала производства компании TP-Link подвержены критической уязвимости, предоставляющей возможность перехватить контроль над устройством и управлять им с привилегиями легитимного пользователя.
Уязвимость в усилителях Wi-Fi сигнала TP-Link позволяет проникнуть в сеть
Уязвимость в усилителях Wi-Fi сигнала TP-Link позволяет проникнуть в сеть
SecurityLab.ru
Уязвимость в усилителях Wi-Fi сигнала TP-Link позволяет проникнуть в сеть
Злоумышленник может превратить атакуемое устройство в часть ботнета или использовать его для различной вредоносной деятельности.
Компания Cloudflare анонсировала запуск нового сервиса League of Entropy для генерирования потоков случайных чисел, которые правительственные и другие организации смогут использовать в своих приложениях.
Cloudflare запустила сервис для генерирования потоков случайных чисел
Cloudflare запустила сервис для генерирования потоков случайных чисел
SecurityLab.ru
Cloudflare запустила сервис для генерирования потоков случайных чисел
В основе сервиса лежит сеть из пяти серверов, использующих различные источники энтропии.
Инженеры Mozilla выпустили обновления браузера Firefox (Firefox 67.0.3 и Firefox ESR 60.7.1), исправляющие уязвимость удаленного выполнения кода (CVE-2019-11707), которая уже эксплуатируется в реальных атаках.
Внеплановое обновление Firefox 67.0.3 устраняет критическую 0Day-уязвимость
Внеплановое обновление Firefox 67.0.3 устраняет критическую 0Day-уязвимость
SecurityLab.ru
Внеплановое обновление Firefox 67.0.3 устраняет критическую 0Day-уязвимость
Баг уже эксплуатируется в реальных атаках.
Компания Google представила новое расширение для Chrome, позволяющее пользователям быстро сообщать команде Google Safe Browsing о подозрительных сайтах. Расширение Suspicious Site Reporter доступно бесплатно в официальном магазине Chrome Web Store.
Google представила новое расширение и функцию безопасности в Chrome
Google представила новое расширение и функцию безопасности в Chrome
SecurityLab.ru
Google представила новое расширение и функцию безопасности в Chrome
Расширение позволяет сообщать о подозрительных сайтах, а новая функция защищает от тайпсквоттинга.
На портале GitHub размещен бесплатный инструмент, призванный оказать помощь организациям в обеспечении безопасности сетей электроснабжения. Утилита под названием Structured Threat Intelligence Graph (STIG) разработана специалистами Национальной лаборатории Айдахо, входящей в структуру Министерства энергетики США.
Опубликован новый инструмент для защиты энергосетей от кибератак
Опубликован новый инструмент для защиты энергосетей от кибератак
SecurityLab.ru
Опубликован новый инструмент для защиты энергосетей от кибератак
Утилита помогает с легкостью визуализировать, обмениваться, создавать и редактировать информацию о киберугрозах.
Российские правообладатели предлагают ужесточить меры против сайтов, регулярно нарушающие авторские права. По их мнению, удалять из поисковой выдачи только ссылки на страницы с пиратским контентом недостаточно, а нужно удалять весь домен целиком. Инициатива была предложена в рамках работы над законопроектом, призванным заменить прошлогодний антипиратский меморандум.
Правообладатели предлагают удалять из поисковой выдачи пиратские сайты целиком
Правообладатели предлагают удалять из поисковой выдачи пиратские сайты целиком
SecurityLab.ru
Правообладатели предлагают удалять из поисковой выдачи пиратские сайты целиком
В рамках работы над антипиратским законопроектом правообладатели предложили ужесточить меры против пиратских сайтов.
Хотя разработчики фреймворка Cobalt Strike выпустили обновления в январе и мае нынешнего года (3.13 и 3.14 соответственно), десятки серверов все еще работают на устаревших выпусках платформы, причем некоторые из них используют пиратские, взломанные или незарегистрированные версии Cobalt Strike.
Киберпреступники используют устаревшие версии Cobalt Strike для маскировки
Киберпреступники используют устаревшие версии Cobalt Strike для маскировки
SecurityLab.ru
Киберпреступники используют устаревшие версии Cobalt Strike для маскировки
Злоумышленники предпочитают использовать устаревшие версии инструмента, если другие хакерские группировки еще не перешли на новые релизы Cobalt Strike.
По данным исследования, приложения для Android с критически опасными уязвимостями встречаются несколько чаще, чем программы для iOS (43% против 38%). Однако эта разница несущественна, считают эксперты, и общий уровень защищенности клиентских частей мобильных приложений для обеих платформ примерно одинаков.
Positive Technologies: небезопасное хранение данных – основной недостаток мобильных приложений
Positive Technologies: небезопасное хранение данных – основной недостаток мобильных приложений
SecurityLab.ru
Positive Technologies: небезопасное хранение данных – основной недостаток мобильных приложений
Эксперты протестировали мобильные приложения для iOS и Android и выяснили, что в большинстве приложений данные хранятся небезопасно, а хакеру редко требуется физический доступ к смартфону жертвы для их кражи.
Специалисты компании Trend Micro обнаружили новую кибершпионскую кампанию, в ходе которой порядка 660 Android-смартфонов в странах Среднего Востока были инфицированы вредоносным ПО. Большая часть похищенной информации является военной.
Новое шпионское ПО похищает военную информацию в странах Среднего Востока
Новое шпионское ПО похищает военную информацию в странах Среднего Востока
SecurityLab.ru
Новое шпионское ПО похищает военную информацию в странах Среднего Востока
В ходе операции Bouncing Golf порядка 660 Android-смартфонов были инфицированы вредоносным ПО.
Компания ESET обнаружила вредоносное ПО для Android, способное обходить механизм двухфакторной аутентификации без доступа к SMS-сообщениям.
Вредоносное ПО использует новый способ обхода двухфакторной аутентификации
Вредоносное ПО использует новый способ обхода двухфакторной аутентификации
SecurityLab.ru
Вредоносное ПО использует новый способ обхода двухфакторной аутентификации
Вредонос является первым, способным обходить ограничения для приложений по использованию SMS.
В консоли управления Windows (Microsoft Management Console, MMC), используемой системными администраторами для конфигурации и отслеживания работы системы, содержит ряд уязвимостей, воспользовавшись которыми злоумышленники смогут внедрить вредоносное ПО или перехватить контроль на атакуемой машиной.
Уязвимости в MMC позволяют перехватить контроль над системой
Уязвимости в MMC позволяют перехватить контроль над системой
SecurityLab.ru
Уязвимости в MMC позволяют перехватить контроль над системой
Атакующие могут проэксплуатировать проблемы с помощью механизма snap-in в MMC.
Центральный районный суд Челябинска вынес приговор местному жителю, который с помощью вредоносного ПО получал доступ к персональной информации граждан, сообщило агентство «Интерфакс-Урал».
Челябинец осужден за взлом личных кабинетов в платежных системах
Челябинец осужден за взлом личных кабинетов в платежных системах
SecurityLab.ru
Челябинец осужден за взлом личных кабинетов в платежных системах
Злоумышленник получил 10 месяцев ограничения свободы.
На этой неделе компания Oracle исправила уязвимость десериализации в WebLogic Server, позволяющую удаленно выполнить код и активно используемую в атаках. Проблема получила идентификатор CVE-2019-2729 и повторяет исправленную в апреле уязвимость CVE-2019-2725, используемую ранее для распространения вымогательского ПО Sodinokibi и майнеров криптовалют.
В Oracle WebLogic Server исправлена очередная уязвимость десериализации
В Oracle WebLogic Server исправлена очередная уязвимость десериализации
SecurityLab.ru
В Oracle WebLogic Server исправлена очередная уязвимость десериализации
Исправленная уязвимость CVE-2019-2725 снова вернулась в виде бага CVE-2019-2729.
Выпущенная на этой неделе версия MongoDB 4.2 получила новый механизм шифрования для надежной защиты информации на случай компрометации базы данных или сервера.
В MongoDB появился новый механизм шифрования
В MongoDB появился новый механизм шифрования
SecurityLab.ru
В MongoDB появился новый механизм шифрования
Шифрование FLE призвано защитить данные на случай компрометации сервера или БД.
Команда проекта Tor выпустила обновление под номером 8.5.2, исправляющее критическую уязвимость, затрагивающую браузер Firefox в составе Tor.
В браузере Tor исправлена критическая уязвимость
В браузере Tor исправлена критическая уязвимость
SecurityLab.ru
В браузере Tor исправлена критическая уязвимость
Речь идет об уязвимости удаленного выполнения кода в Firefox, которую уже эксплуатируют злоумышленники.
Вечером в среду, 19 июня, на портале проектов нормативно-правовых актов появился проект приказа «Об утверждении технических условий установки технических средств противодействия угрозам, а также требований к сетям связи при использовании технических средств противодействия угрозам». В документе прописываются технические условия для операторов связи по установке специального оборудования в рамках закона об устойчивом Рунете. Автором проекта является Роскомнадзор.
РКН представил требования к оборудованию для обеспечения автономной работы Рунета
РКН представил требования к оборудованию для обеспечения автономной работы Рунета
SecurityLab.ru
РКН представил требования к оборудованию для обеспечения автономной работы Рунета
В документе прописываются технические условия для операторов связи по установке оборудования в рамках закона об устойчивом Рунете.
Примерно 40% домов по всему миру в настоящее время имеют хотя бы одно устройство из категории «Интернет вещей», а в странах Северной Америки этот показатель в два раза выше (66%), что влечет за собой рост рисков кибербезопасности. К такому выводу пришли специалисты компании Avast и Стенфордского университета по итогам проведенного исследования.
Миллионы IoT-устройств уязвимы к атакам из-за устаревших протоколов
Миллионы IoT-устройств уязвимы к атакам из-за устаревших протоколов
SecurityLab.ru
Миллионы IoT-устройств уязвимы к атакам из-за устаревших протоколов
94% устройств из сферы «Интернета вещей» изготовлены менее чем 100 производителями.
Команда Check Point Research объявила о запуске проекта под названием CPR-Zero - online-репозитория, который будет включать информацию обо всех уязвимостях, обнаруженных специалистами Check Point, в том числе тех, что не были описаны в блоге компании.
Check Point запустила новую базу уязвимостей
Check Point запустила новую базу уязвимостей
SecurityLab.ru
Check Point запустила новую базу уязвимостей
Репозиторий будет включать информацию обо всех уязвимостях, обнаруженных специалистами Check Point.
Как сообщают специалисты компании Regulus Cyber, электромобили Tesla Model S и Model 3 уязвимы к GPS-спуфингу. В ходе тест-драйва функции Navigate on Autopilot исследователям удалось с помощью кибератаки заставить транспортное средство сбавить скорость и свернуть с дороги.
Tesla Model S и Model 3 уязвимы к GPS-спуфингу
Tesla Model S и Model 3 уязвимы к GPS-спуфингу
SecurityLab.ru
Tesla Model S и Model 3 уязвимы к GPS-спуфингу
Осуществить атаку можно через уязвимости в критической телематике, датчиках и функции навигации.
Microsoft предупредила о новом подходе, задействующем машинное обучение для автоматического обновления систем на базе Windows 10 1803 и более ранних версий до нового релиза Windows 10 1903.
Microsoft задействует машинное обучение для автоматического обновления Windows 10 1803
Microsoft задействует машинное обучение для автоматического обновления Windows 10 1803
SecurityLab.ru
Microsoft задействует машинное обучение для автоматического обновления Windows 10 1803
Компания автоматически обновит системы, работающие на April 2018 Update и более ранних версиях Windows 10.