Разработчики выпустили срочное обновление почтового сервера Exim 4.92.3, которое исправляет критическую уязвимость (CVE-2019-16928). Ее эксплуатация позволяет злоумышленнику удаленно выполнить код на сервере с помощью специально сформированной строки в команде EHLO.


Срочное обновление Exim исправляет критическую уязвимость

Команда из шести ученых из Мюнстерского университета и Рурского университета в Бохуме (Германия) разработала новую атаку, в рамках которой можно похищать данные из зашифрованных PDF-файлов, иногда без участия пользователя. Новая атака под названием PDFex представлена ​​в двух вариантах и ​​была успешно протестирована на 27 настольных и web-версиях программ для просмотра PDF, включая Adobe Acrobat, Foxit Reader, Evince, Nitro, а также встроенные расширения для просмотра PDF в браузерах Google Chrome и Mozilla Firefox.


Ученые научились извлекать данные из зашифрованных PDF-файлов

Некоторые владельцы iPhone, недавно обновившие свои устройства до iOS 13, столкнулись с невозможностью авторизации в некоторых приложениях, в том числе в банковских сервисах и менеджерах паролей. Как сообщает 9to5Mac, причиной проблемы является ошибка в iOS 13, затрагивающая старые версии iPhone с датчиками Touch ID. Из-за ошибки окно авторизации не появляется, и пользователь ничего не может с этим поделать.


Ошибка в iOS 13 блокирует возможность биометрической аутентификации

Бывший сотрудник Yahoo! признался во взломе чужих учетных записей. Рейес Даниэль Руис (Reyes Daniel Ruiz), занимавший в компании должность программного инженера, незаконно получил доступ к 6 тыс. учетных записей в поисках эротических видео и фотографий. Как сообщает BBC, в поисках порнографии Руис взламывал пароли пользователей и проникал во внутренние системы Yahoo!.


Экс-сотрудник Yahoo! взламывал чужие аккаунты в поисках эротики

Команда специалистов компании OPPO ZIWU Cyber Security Lab, Китайского университета Гонконга и Сингапурского университета управления обнаружили множественные уязвимости в компонентах VoIP операционной системы Android. Проблемы с безопасностью были выявлены в ходе первого в своем роде исследования (до недавнего времени проводились тестирования только VoIP-оборудования, серверов и мобильных приложений, но не VoIP-компонентов Android).


В VoIP-компонентах Android обнаружены опасные уязвимости

В Windows предусмотрен встроенный инструмент для шифрования под названием BitLocker, однако он по умолчанию доверяет сторонним SSD-накопителям, в которых реализовано собственное шифрование на аппаратном уровне. Тем не менее, с последним обновлением Windows 10 операционная система перестанет доверять сторонним SSD-накопителям и будет воспринимать их как не использующих шифрование.


Microsoft перестанет доверять SSD-накопителям с функцией шифрования

Компания Google интегрировала функцию «Проверка паролей» (Password Checkup) с учетными записями Google. Отныне новый инструмент будет предупреждать пользователя, если у его сохраненных паролей есть проблемы с безопасностью (например, если они слишком короткие или были скомпрометированы в результате утечек).


В «Диспетчере паролей» Google появилась функция проверки безопасности паролей

Компания Intel представила новый тип компьютерной памяти, разработанный специально для защиты от атак по сторонним каналам, базирующихся на спекулятивном выполнении (Meltdown, Spectre, L1TF, SGXSpectre, SWAPGSAttack, Zombieload, MDS и пр.).
Intel представила новый тип памяти для защиты от атак наподобие Meltdown

На черном рынке в Сети выставлены на продажу данные, предположительно принадлежащие клиентам Сбербанка.
Сбербанк расследует возможную утечку данных своих клиентов

Исследователь безопасности под псевдонимом Awakened обнаружил в популярном мессенджере WhatsApp уязвимость, позволяющую злоумышленникам получать доступ к файлам и сообщениям жертвы с помощью вредоносного GIF-изображения.
Уязвимость в WhatsApp позволяет получить доступ к устройству с помощью «гифки»

Группа исследователей из Калифорнийского университета в Санта-Барбаре под руководством профессора Ясамин Мостофи (Yasamin Mostofi) впервые смогла с помощью Wi-Fi-сигнала и видеозаписи идентифицировать человека, находящегося за стеной.


Ученые научились с помощью Wi-Fi идентифицировать человека за стеной

Нидерландская полиция обезвредила так называемый «пуленепробиваемый» хостинг-сервис, который обеспечивал работу десятков IoT-ботнетов, использовавшихся для проведения сотен тысяч DDoS-атак по всему миру.
Нидерландская полиция обезвредила площадку, предоставляющую услуги хостинга десяткам IoT-ботнетов

Исследователи из университета им. Масарика в Брно (Чехия) опубликовали PoC-код и подробности о нескольких уязвимостях, получивших название Minerva, в различных реализациях алгоритма создания цифровой подписи ECDSA/EdDSA. Их эксплуатация позволяет злоумышленнику восстановить значение закрытого ключа на основе анализа утечек сведений об отдельных битах, всплывающих при применении методов анализа по сторонним каналам.
Обнаружен способ восстановить ключи ECDSA

31-летний житель Новосибирска, занимавший должность охранника в ЧОПе, «подрабатывал» продажей взломанных учетных записей пользователей Rockstar Games, Steam и Electronic Arts.


Новосибирец взламывал и продавал учетные записи геймеров

Компания Electronic Arts пообещала подарить пользователям бесплатный доступ к сервису Origin Access в течение месяца, если они включат двухфакторную аутентификацию (внутреннее название функции Login Verification).
EA пообещала бесплатный доступ к Origin Access за включение двухфакторной аутентификации

Департамент Киберполиции Национальной полиции Украины пресек деятельность крупного сервиса для регистрации «фейковых» учетных записей в соцсетях, мессенджерах, платежных системах и сервисах электронной почты, использовавшихся для массовой рассылки сообщений.
Украинская киберполиция закрыла крупный сервис для регистрации «фейковых» аккаунтов

Google временно нанимала сотрудников для сбора биометрических данных у разных людей на улице. В обмен на сканирование лица сотрудники предлагали сертификат на $5 в Starbucks. Об этом сообщает издание Daily News.
Подрядчики Google обманом собирали фото прохожих для улучшения системы распознания лиц Pixel 4

Компания Foxit Software выпустила патчи для 8 критических уязвимостей в программном обеспечении для просмотра PDF-файлов Foxit Reader для Windows. Эксплуатация уязвимостей позволяет злоумышленнику удаленно выполнять произвольный код на целевых системах. Проблемы затрагивают версии Foxit Reader 9.6.0.25114 и младше.
В ПО Foxit PDF Reader исправлено 8 критических уязвимостей

Начиная со следующего года, Google изменит свое отношение к сайтам, полностью не перешедшим на HTTPS и продолжающим загружать некоторые ресурсы страниц (например, видео, аудио, изображения и скрипты) по HTTP.
Google придумала, как заставить сайты перейти на HTTPS

Исследователи из фирмы Context Information Security выявили новую киберпреступную группировку, получившую название Avivore, которая за последние несколько месяцев, предположительно, осуществила несколько крупных кибератак на компанию Airbus. Злоумышленники пытались атаковать Airbus через сети французской консалтинговой компании Expleo, британского производителя двигателей Rolls Royce и двух неназванных поставщиков Airbus.
Недавние атаки на Airbus могут быть делом рук ранее неизвестной группировки Avivore

Специалисты команды Google Project Zero обнародовали информацию (а также PoC-код) об уязвимости в операционной системе Android, которая уже активно используется злоумышленниками в реальных атаках. Примечательно, что данная уязвимость была исправлена в версиях Android 3.18, 4.14, 4.4 и 4.9 в декабре 2017 года, однако вновь появилась в более поздних релизах ОС.


0Day-уязвимость в Android ставит под угрозу смартфоны Pixel, Samsung, Huawei и Xiaomi