Android-разработчик Тилль Коттман (Till Kottmann) обнаружил уязвимость в операционной системе OxygenOS, построенной на базе ОС Android 9 Pie. Эксплуатация уязвимости позволяет установленным приложениям перезагружать смартфон без ведома пользователя. Проблема затрагивает все смартфоны OnePlus, работающие на базе OxygenOS 9 — OnePlus 5/5T и OnePlus 6/6T.
В прошивке OxygenOS обнаружена уязвимость
В прошивке OxygenOS обнаружена уязвимость
SecurityLab.ru
В прошивке OxygenOS обнаружена уязвимость
Эксплуатация уязвимости позволяет установленным приложениям перезагружать устройство без ведома пользователя.
В ветке PHP 7 выявлена опасная уязвимость (CVE-2019-11043), предоставляющая злоумышленникам возможность выполнять команды на сервере, используя специально сформированный URL.
Уязвимость в PHP7 подвергает сайты риску удаленного взлома
Уязвимость в PHP7 подвергает сайты риску удаленного взлома
SecurityLab.ru
Уязвимость в PHP7 подвергает сайты риску удаленного взлома
Проблема распространяется только на NGINX-серверы с включенным PHP-FPM.
В субботу, 26 октября, правительство КНР приняло первый в истории страны закон о шифровании данных. Закон предполагает разделение криптографических стандартов на типы и предоставление компетентным органам власти контроля над ними.
Правительство КНР приняло первый в истории страны закон о шифровании
Правительство КНР приняло первый в истории страны закон о шифровании
SecurityLab.ru
Правительство КНР приняло первый в истории страны закон о шифровании
Целью закона является предотвращение утечек данных, которые могут причинить вред госструктурам, компаниям и частным лицам.
Данные почти 7,5 млн пользователей пакета межплатформенных приложений Adobe Creative Cloud оказались в общем доступе. Записи хранились в базе данных Elasticsearch, которая была оставлена подключенной к Сети без пароля.
В Сети оказались личные данные 7,5 млн пользователей Adobe Creative Cloud
В Сети оказались личные данные 7,5 млн пользователей Adobe Creative Cloud
SecurityLab.ru
В Сети оказались личные данные 7,5 млн пользователей Adobe Creative Cloud
Причиной инцидента стала неправильная конфигурация одной из «прототипных сред».
Похоже, Apple решила во что бы то ни стало заставить пользователей устаревших версий iOS установить последние обновления, даже если они сами этого не хотят. Компания разослала владельцам iPhone 5 уведомления о том, что до 3 ноября нынешнего года на их устройствах должна быть установлена версия iOS 10.3.4, в противном случае они больше не смогут пользоваться браузером, почтой, магазином App Store и хранилищем iCloud.
Владельцы iPhone 5 могут остаться без почты, iCloud и других сервисов
Владельцы iPhone 5 могут остаться без почты, iCloud и других сервисов
SecurityLab.ru
Владельцы iPhone 5 могут остаться без почты, iCloud и других сервисов
Владельцы старых iPhone должны до 3 ноября установить на свои устройства iOS 10.3.4.
Специалисты в области искусственного интеллекта из компании Facebook разработали систему для «деидентификации» пользователей в режиме реального времени. По результатам раннего тестирования, ИИ способен обойти современные системы распознавания лиц. Разработанный метод слегка искажает лицо человека таким образом, чтобы сбить с толку системы распознавания лиц, позволяя при этом другим пользователям узнать человека.
ИИ от Facebook позволяет обмануть системы распознавания лиц
ИИ от Facebook позволяет обмануть системы распознавания лиц
SecurityLab.ru
ИИ от Facebook позволяет обмануть системы распознавания лиц
Подход Facebook объединяет в себе состязательный автокодировщик и сеть классификаторов.
На прошедшей неделе одним из наиболее обсуждаемых в Рунете событий стало известие об отключении серверов стриминогового плеера Moonwalk, которым пользовались примерно 80% пиратских сайтов в России. Отключение серверов стало результатом усилий Нидерладского фонда защиты авторских прав (BREIN), Американской ассоциации кинокомпаний (MPAA) и Альянса креативности и развлечений (ACE), направленных на борьбу с пиратством.
Обзор инцидентов безопасности за период с 21 по 27 октября 2019 года
Обзор инцидентов безопасности за период с 21 по 27 октября 2019 года
SecurityLab.ru
Обзор инцидентов безопасности за период с 21 по 27 октября 2019 года
Коротко о главных событиях минувшей недели.
Компания Moxa предупредила пользователей о более чем десяти опасных и критических уязвимостях в промышленных Ethernet-коммутаторах IKS и EDS. Их эксплуатация позволяет похитить конфиденциальную информацию, удаленно выполнить код, внести произвольные изменения в конфигурации, обойти аутентификацию, перезагрузить устройство, вызвать сбой в работе или полностью скомпрометировать его.
В промышленных коммутаторах Moxa обнаружены критические уязвимости
В промышленных коммутаторах Moxa обнаружены критические уязвимости
SecurityLab.ru
В промышленных коммутаторах Moxa обнаружены критические уязвимости
Эксплуатация самых опасных уязвимостей позволяет удаленно выполнить код и перехватить контроль над устройством.
Поддержка Windows 10 (версия 1803) закончится менее чем через месяц, и, согласно некоторым сообщениям, Microsoft снова обратилась к не совсем честным тактикам, для того чтобы заставить пользователей обновиться до самой свежей версии ОС.
Microsoft снова взялась насильно навязывать обновления
Microsoft снова взялась насильно навязывать обновления
SecurityLab.ru
Microsoft снова взялась насильно навязывать обновления
Пользователи жалуются на автоматическое обновление их систем до Windows 10 (версия 1903).
Итальянская банковская и финансовая организация UniCredit сообщила об утечке персональных данных около 3 млн клиентов. Вся информация, включая имена, номера телефонов, адреса электронной почты, хранилась в одном файле, созданном в 2015 году.
Банк UniCredit сообщил об утечке персональных данных 3 млн клиентов
Банк UniCredit сообщил об утечке персональных данных 3 млн клиентов
SecurityLab.ru
Банк UniCredit сообщил об утечке персональных данных 3 млн клиентов
Все данные хранились в одном файле, созданном в 2015 году.
Несмотря на сотни тысяч долларов, потраченные на оборудование производства Hacking Team, подразделение армии США, занимающееся контрразведкой, никогда его не использовало.
Армия США тратит сотни тысяч на инструменты для взлома и не пользуется ими
Армия США тратит сотни тысяч на инструменты для взлома и не пользуется ими
SecurityLab.ru
Армия США тратит сотни тысяч на инструменты для взлома и не пользуется ими
Армия США приобрела у дочерней компании Hacking Team систему для удаленного контроля, но так ее и не использовала.
Промышленное оборудование окажется в центре внимания в рамках следующего конкурса Pwn2Own. Впервые исследователям безопасности будет разрешено взламывать программное обеспечение и протоколы на Pwn2Own.
На Pwn2Own впервые разрешат взломать промышленное оборудование
На Pwn2Own впервые разрешат взломать промышленное оборудование
SecurityLab.ru
На Pwn2Own впервые разрешат взломать промышленное оборудование
Призовой фонд конкурса составит более $250 тыс.
Проблемное обновление для Windows 10 вывело из строя систему Австралийских пограничных войск. Согласно официальному сообщению, после установки обновлений безопасности 8 октября стало невозможно подключаться к комплексной системе учета грузов при одновременном использовании Internet Explorer.
Обновление для Windows 10 затруднило работу погранвойск
Обновление для Windows 10 затруднило работу погранвойск
SecurityLab.ru
Обновление для Windows 10 затруднило работу погранвойск
После установки патча стало невозможно подключаться к комплексной системе учета грузов при использовании Internet Explorer.
Исследователи из компании Applied Risk обнаружили две уязвимости в водоохлаждающих машинах Rittal Chiller SK 3232-Series. Их эксплуатация позволяет нарушить основные операции устройства, отключить охлаждение для другого оборудования и изменить заданное значение температуры.
В оборудовании Rittal Chiller обнаружены уязвимости
В оборудовании Rittal Chiller обнаружены уязвимости
SecurityLab.ru
В оборудовании Rittal Chiller обнаружены уязвимости
Их эксплуатация позволяет отключить охлаждение и изменить заданное значение температуры.
Перед летней Олимпиадой-2020 в Токио APT-группа Fancy Bear (она же APT28) снова взялась атаковать антидопинговые агентства и спортивные организации по всему миру.
APT-группа Fancy Bear начала подготовку к Олимпиаде в Токио
APT-группа Fancy Bear начала подготовку к Олимпиаде в Токио
SecurityLab.ru
APT-группа Fancy Bear начала подготовку к Олимпиаде в Токио
В прошлом месяце группировка начала волну атак на спортивные и антидопинговые организации.
Компания Google сообщила в официальном блоге о прекращении поддержки Adobe Flash в своей поисковой системе к концу 2019 года. Google будет игнорировать Flash-контент на web-страницах, а также прекратит индексирование автономных SWF-файлов.
Google к концу 2019 года прекратит поддержку Adobe Flash
Google к концу 2019 года прекратит поддержку Adobe Flash
SecurityLab.ru
Google к концу 2019 года прекратит поддержку Adobe Flash
Поддержка Flash по умолчанию отключена в Chrome 76, Microsoft Edge и Firefox 69.
Центробанк России совместно с ФСБ и Федеральной службой по техническому и экспортному контролю (ФСТЭК) работает над стандартами оценки качества работы компаний, проверяющих надежность банковской инфраструктуры. Об этом «Известиям» сообщил заместитель главы департамента информационной безопасности ЦБ РФ Артем Сычев.
ЦБ РФ может обязать банки пользоваться услугами «белых хакеров»
ЦБ РФ может обязать банки пользоваться услугами «белых хакеров»
SecurityLab.ru
ЦБ РФ может обязать банки пользоваться услугами «белых хакеров»
Регулятор совместно с ФСБ и ФСТЭК разрабатывает стандарты оценки качества работы IT-аудиторов.
Правительство РФ поддержало проект закона об обязательной предустановке отечественного ПО на мобильные устройства, компьютеры и «умные» телевизоры, продающиеся на территории России. Согласно опубликованному в базе данных Госдумы отзыву, в случае принятия документ «будет способствовать продвижению российских программ на рынке информационных технологий».
Правительство РФ поддержало законопроект о предустановке отечественного ПО
Правительство РФ поддержало законопроект о предустановке отечественного ПО
SecurityLab.ru
Правительство РФ поддержало законопроект о предустановке отечественного ПО
По мнению правительства, законопроект поспособствует продвижению российского ПО на рынке информационных технологий.
Неизвестные киберпреступники осуществили на данный момент самую крупную в истории Грузии атаку, в ходе которой осуществили дефейс 15 тыс. web-сайтов, которые были в последствии отключены. По данным местных СМИ, вредоносная кампания затронула сайт действующего президента Грузии, а также интернет-ресурсы различных правительственных учреждений, банков, судов, местных газет и телевизионных станций.
Крупнейшая кибератака в истории Грузии затронула правительственные сайты
Крупнейшая кибератака в истории Грузии затронула правительственные сайты
SecurityLab.ru
Крупнейшая кибератака в истории Грузии затронула правительственные сайты
От кибератаки пострадало более 15 тыс. web-сайтов, размещенных в инфраструктуре грузинского web-хостинга Pro-Service.
На одном из крупнейших кардинговых форумов Joker's Stash выставлены на продажу данные более 1,3 млн платежных карт, преимущественно индийских пользователей. Как сообщают исследователи из компании Group-IB, карты продаются по $100 каждая, позволяя преступникам потенциально заработать более $130 млн.
Данные 1,3 млн платежных карт выставлены на продажу на Joker's Stash
Данные 1,3 млн платежных карт выставлены на продажу на Joker's Stash
SecurityLab.ru
Данные 1,3 млн платежных карт выставлены на продажу на Joker's Stash
Каждая карта продается на торговой площадке за $100.
На одном из крупнейших кардинговых форумов Joker's Stash выставлены на продажу данные более 1,3 млн платежных карт, преимущественно индийских пользователей. Как сообщают исследователи из компании Group-IB, карты продаются по $100 каждая, позволяя преступникам потенциально заработать более $130 млн.
Данные 1,3 млн платежных карт выставлены на продажу на Joker's Stash
Данные 1,3 млн платежных карт выставлены на продажу на Joker's Stash
SecurityLab.ru
Данные 1,3 млн платежных карт выставлены на продажу на Joker's Stash
Каждая карта продается на торговой площадке за $100.