Google обновила иконку Chrome
Логотип браузера стал проще и ярче, там убраны тени и стал больше внутренний синий круг. Чтобы избежать цветовой вибрации при сочетании оттенков зеленого и красного дизайнеры добавили в логотип небольшой градиент.
Также дизайнеры адаптировали вид нового логотипа под разные операционные системы. Так, в Windows 10 и Windows 11 иконке сделали более плавный вид, а для Chrome OS в логотипе используются более яркие цвета без градиентов, чтобы соответствовать внешнему виду остальных системных значков. Для macOS логотип Chrome сделан в псевдо трехмерном виде, чтобы соответствовать другим иконкам Apple.
Скоро новые иконки Google Chrome появятся на всех устройствах пользователей.
Логотип браузера стал проще и ярче, там убраны тени и стал больше внутренний синий круг. Чтобы избежать цветовой вибрации при сочетании оттенков зеленого и красного дизайнеры добавили в логотип небольшой градиент.
Также дизайнеры адаптировали вид нового логотипа под разные операционные системы. Так, в Windows 10 и Windows 11 иконке сделали более плавный вид, а для Chrome OS в логотипе используются более яркие цвета без градиентов, чтобы соответствовать внешнему виду остальных системных значков. Для macOS логотип Chrome сделан в псевдо трехмерном виде, чтобы соответствовать другим иконкам Apple.
Скоро новые иконки Google Chrome появятся на всех устройствах пользователей.
👍4🤔4💩4
В США одобрен законопроект, обязывающий Apple разрешить загрузку сторонних iOS-приложений
Юридический комитет Сената США одобрил законопроект, обязывающий технологические компании разрешить загрузку приложений из сторонних магазинов и источников в интернете. Сильнее новые правила скажутся на Apple, поскольку Google позволяет устанавливать программы не из Play Store. Новый закон позволит разработчикам избежать комиссии Apple, которая достигает 30%.
Apple раскритиковала закон, заявив, что он сделает экосистему iPhone похожей на Android. Компания также призвала Сенат отклонить документ, поскольку он поставит под угрозу безопасность и конфиденциальность пользователей.
Юридический комитет Сената США одобрил законопроект, обязывающий технологические компании разрешить загрузку приложений из сторонних магазинов и источников в интернете. Сильнее новые правила скажутся на Apple, поскольку Google позволяет устанавливать программы не из Play Store. Новый закон позволит разработчикам избежать комиссии Apple, которая достигает 30%.
Apple раскритиковала закон, заявив, что он сделает экосистему iPhone похожей на Android. Компания также призвала Сенат отклонить документ, поскольку он поставит под угрозу безопасность и конфиденциальность пользователей.
👍8👏3
Защитная дистанция в метавселенной Meta составит 120 см
Meta вводит личные границы по умолчанию между аватарами в метавселенных Horizon Worlds и Horizon Venues для защиты пользователей от виртуальных домогательств. Функция будет включена все время, а отключить её пока нельзя.
Разработчики еще дорабатывают новую функцию и изучают разные варианты, когда, например, она будет мешать пользователям. Так, «личная граница» может быть уменьшена на короткое время, если аватара зажали в углу другие пользователи. Тогда аватар сможет выйти из такой блокировки, а не оставаться в безвыходном положении.
Meta пообещала, что в будущем добавит возможность настраивать размер личных границ для каждого пользователя.
Ранее в рамках бета-тестирования метавселенной Horizon Worlds пользовательница пожаловалась на приставание со стороны других пользователей — они трогали руками части тела ее аватара без разрешения и после просьб так не делать. После этого разработчики сделали так, что при попытке прикоснуться к чужому аватару руки трогающего аватара-нарушителя начинали исчезать на время, пока происходит цифровое домогательство.
Meta вводит личные границы по умолчанию между аватарами в метавселенных Horizon Worlds и Horizon Venues для защиты пользователей от виртуальных домогательств. Функция будет включена все время, а отключить её пока нельзя.
Разработчики еще дорабатывают новую функцию и изучают разные варианты, когда, например, она будет мешать пользователям. Так, «личная граница» может быть уменьшена на короткое время, если аватара зажали в углу другие пользователи. Тогда аватар сможет выйти из такой блокировки, а не оставаться в безвыходном положении.
Meta пообещала, что в будущем добавит возможность настраивать размер личных границ для каждого пользователя.
Ранее в рамках бета-тестирования метавселенной Horizon Worlds пользовательница пожаловалась на приставание со стороны других пользователей — они трогали руками части тела ее аватара без разрешения и после просьб так не делать. После этого разработчики сделали так, что при попытке прикоснуться к чужому аватару руки трогающего аватара-нарушителя начинали исчезать на время, пока происходит цифровое домогательство.
В Windows Terminal появился автоматический запуск профиля администратора
В Windows Terminal Preview 1.13 добавили автоматический запуск профилей от имени администратора. Если установлено значение false, то этот профиль будет открываться в текущем окне.
Помимо этого добавлен обновленный пользовательский интерфейс настроек и новый экспериментальный механизм рендеринга с улучшенной производительностью (хотя в настоящее время он потенциально нестабилен и лишен некоторых функций).
Начиная с версии 13, минимальная поддерживаемая версия Windows 10 для приложения Window Terminal будет изменена на Windows 10 20H1 (сборка 19041).
В Windows Terminal Preview 1.13 добавили автоматический запуск профилей от имени администратора. Если установлено значение false, то этот профиль будет открываться в текущем окне.
Помимо этого добавлен обновленный пользовательский интерфейс настроек и новый экспериментальный механизм рендеринга с улучшенной производительностью (хотя в настоящее время он потенциально нестабилен и лишен некоторых функций).
Начиная с версии 13, минимальная поддерживаемая версия Windows 10 для приложения Window Terminal будет изменена на Windows 10 20H1 (сборка 19041).
LockBit, BlackCat, Swissport, Oh My! Активность вымогательского ПО остается высокой.
Однако группы проводят ребрендинг и пересматривают свои профили и тактику в ответ на то, что правоохранительные органы и сообщество безопасности сосредоточились на пресечении атак ransomware.
Правоохранительные органы, руководители компаний и сообщество кибербезопасности в целом были нацелены на то, чтобы остановить дорогостоящие и разрушительные атаки программ-выкупов - и, похоже, это, по крайней мере в некоторой степени, работает. Тем не менее, недавние действия банд LockBit 2.0 и BlackCat, а также атака на наземную логистическую компанию аэропорта Swissport, произошедшая в эти выходные, показывают, что с этим злом еще далеко не покончено.
Однако группы проводят ребрендинг и пересматривают свои профили и тактику в ответ на то, что правоохранительные органы и сообщество безопасности сосредоточились на пресечении атак ransomware.
Правоохранительные органы, руководители компаний и сообщество кибербезопасности в целом были нацелены на то, чтобы остановить дорогостоящие и разрушительные атаки программ-выкупов - и, похоже, это, по крайней мере в некоторой степени, работает. Тем не менее, недавние действия банд LockBit 2.0 и BlackCat, а также атака на наземную логистическую компанию аэропорта Swissport, произошедшая в эти выходные, показывают, что с этим злом еще далеко не покончено.
Китай подозревается в кибершпионской атаке на News Corp.
Злоумышленники проникли в сеть медиагиганта с помощью BEC, а компания Microsoft решила остановить подобные атаки, заблокировав макросы VBA в 5 приложениях Windows. Включено: больше способов предотвратить BEC.
Китайские хакеры, ответственные за атаку на медиа-гиганта News Corp в прошлом месяце, вероятно, искали разведданные, чтобы служить интересам Китая в инциденте кибершпионажа, который показывает постоянную уязвимость корпоративных сетей к атакам на основе электронной почты, говорят специалисты по безопасности.
В понедельник стало известно, что инцидент, произошедший 20 января в медиа-гиганте Руперта Мердока, был связан с атакой на электронные почтовые ящики журналистов, в результате которой злоумышленники получили доступ к конфиденциальным данным.
Злоумышленники проникли в сеть медиагиганта с помощью BEC, а компания Microsoft решила остановить подобные атаки, заблокировав макросы VBA в 5 приложениях Windows. Включено: больше способов предотвратить BEC.
Китайские хакеры, ответственные за атаку на медиа-гиганта News Corp в прошлом месяце, вероятно, искали разведданные, чтобы служить интересам Китая в инциденте кибершпионажа, который показывает постоянную уязвимость корпоративных сетей к атакам на основе электронной почты, говорят специалисты по безопасности.
В понедельник стало известно, что инцидент, произошедший 20 января в медиа-гиганте Руперта Мердока, был связан с атакой на электронные почтовые ящики журналистов, в результате которой злоумышленники получили доступ к конфиденциальным данным.
CISA предписывает федеральным агентствам исправить активно эксплуатируемую ошибку Windows.
18 февраля - крайний срок для исправления ошибки, которая затрагивает все непропатченные версии Windows 10 и для эксплуатации которой не требуется вмешательства пользователя.
CISA накладывает на федеральные агентства "винт с пальцем", чтобы заставить их исправить активно эксплуатируемую уязвимость Windows.
В пятницу Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) объявило, что добавило уязвимость - отслеживаемую как CVE-2022-21882 и имеющую рейтинг критичности CVSS 7.0 - в свой каталог известных эксплуатируемых уязвимостей.
Это означает, что у федеральных гражданских органов исполнительной власти (FCEB) есть время до 18 февраля 2022 года для устранения уязвимости, которая затрагивает все непропатченные версии Windows 10.
18 февраля - крайний срок для исправления ошибки, которая затрагивает все непропатченные версии Windows 10 и для эксплуатации которой не требуется вмешательства пользователя.
CISA накладывает на федеральные агентства "винт с пальцем", чтобы заставить их исправить активно эксплуатируемую уязвимость Windows.
В пятницу Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) объявило, что добавило уязвимость - отслеживаемую как CVE-2022-21882 и имеющую рейтинг критичности CVSS 7.0 - в свой каталог известных эксплуатируемых уязвимостей.
Это означает, что у федеральных гражданских органов исполнительной власти (FCEB) есть время до 18 февраля 2022 года для устранения уязвимости, которая затрагивает все непропатченные версии Windows 10.
Вредоносная программа Medusa присоединяется к сети распространения Android от Flubot.
Два мощных трояна со шпионскими и RAT-возможностями распространяются в рамках параллельных кампаний с использованием общей инфраструктуры.
Flubot, шпионская программа для Android, которая вирусным образом распространяется с прошлого года, присоединила свою инфраструктуру к другой мобильной угрозе, известной как Medusa.
По данным компании ThreatFabric, Medusa распространяется через ту же инфраструктуру SMS-фишинга, что и Flubot, что приводит к большим объемам кампаний, проводимых параллельно.
Вредоносная программа Flubot (она же Cabassous) распространяется через SMS-сообщения, в которых жертвам предлагается установить приложение "пропущенная доставка посылки" или поддельную версию Flash Player. Если жертва поддается на уловку, устанавливается вредоносная программа, которая добавляет зараженное устройство в ботнет.
Два мощных трояна со шпионскими и RAT-возможностями распространяются в рамках параллельных кампаний с использованием общей инфраструктуры.
Flubot, шпионская программа для Android, которая вирусным образом распространяется с прошлого года, присоединила свою инфраструктуру к другой мобильной угрозе, известной как Medusa.
По данным компании ThreatFabric, Medusa распространяется через ту же инфраструктуру SMS-фишинга, что и Flubot, что приводит к большим объемам кампаний, проводимых параллельно.
Вредоносная программа Flubot (она же Cabassous) распространяется через SMS-сообщения, в которых жертвам предлагается установить приложение "пропущенная доставка посылки" или поддельную версию Flash Player. Если жертва поддается на уловку, устанавливается вредоносная программа, которая добавляет зараженное устройство в ботнет.
👏3👍1
QuaDream, вторая израильская шпионская фирма, использует ошибку в iPhone.
Теперь исправленный недостаток, который привел к использованию ForcedEntry в iPhone, был использован как NSO Group, так и другим, недавно подробно описанным поставщиком систем наблюдения.
ForcedEntry - эксплойт нулевого дня iMessage с нулевым кликом, который обходил новую на тот момент функцию безопасности BlastDoor от Apple год назад - был разобран не только NSO Group с ее шпионским ПО Pegasus, но и недавно обнаруженным более мелким производителем инструментов для взлома смартфонов под названием QuaDream.
На прошлой неделе агентство Reuters опубликовало подробную информацию о QuaDream. Издание опиралось на данные пяти источников, знакомых с этим вопросом, а также на две брошюры по продуктам QuaDream, датированные 2019 и 2020 годами, которые попали в руки репортеров.
Теперь исправленный недостаток, который привел к использованию ForcedEntry в iPhone, был использован как NSO Group, так и другим, недавно подробно описанным поставщиком систем наблюдения.
ForcedEntry - эксплойт нулевого дня iMessage с нулевым кликом, который обходил новую на тот момент функцию безопасности BlastDoor от Apple год назад - был разобран не только NSO Group с ее шпионским ПО Pegasus, но и недавно обнаруженным более мелким производителем инструментов для взлома смартфонов под названием QuaDream.
На прошлой неделе агентство Reuters опубликовало подробную информацию о QuaDream. Издание опиралось на данные пяти источников, знакомых с этим вопросом, а также на две брошюры по продуктам QuaDream, датированные 2019 и 2020 годами, которые попали в руки репортеров.
👍3
Да здравствует Log4Shell": CVE-2021-44228 еще не умер.
Джен Истерли, директор Агентства по кибербезопасности и инфраструктурной безопасности (CISA), заявила в публичном интервью, что ставший знаменитым дефект Log4j является "самой серьезной уязвимостью, которую она видела за свою карьеру". Не будет лишним сказать, что вся индустрия безопасности с этим согласна.
Декабрь 2021 года будет вспоминаться с оттенком травмы и ужаса для специалистов по реагированию на инциденты, системных администраторов и специалистов по безопасности. Вы все, вероятно, уже знаете - 9 декабря была обнаружена уязвимость удаленного выполнения кода в библиотеке программирования Log4j, которая практически повсеместно используется в Java-приложениях и программном обеспечении по всему интернету.
Кроме того, было очень сложно определить, какие приложения были уязвимы и с какой точки входа.
Джен Истерли, директор Агентства по кибербезопасности и инфраструктурной безопасности (CISA), заявила в публичном интервью, что ставший знаменитым дефект Log4j является "самой серьезной уязвимостью, которую она видела за свою карьеру". Не будет лишним сказать, что вся индустрия безопасности с этим согласна.
Декабрь 2021 года будет вспоминаться с оттенком травмы и ужаса для специалистов по реагированию на инциденты, системных администраторов и специалистов по безопасности. Вы все, вероятно, уже знаете - 9 декабря была обнаружена уязвимость удаленного выполнения кода в библиотеке программирования Log4j, которая практически повсеместно используется в Java-приложениях и программном обеспечении по всему интернету.
Кроме того, было очень сложно определить, какие приложения были уязвимы и с какой точки входа.
👍4
Рассчитаны параметры квантового компьютера для взлома ключей, используемых в Bitcoin
Группа исследователей рассчитала параметры квантового компьютера, необходимого для подбора закрытого ключа по 256-битному открытому ключу на базе эллиптических кривых (ECDSA), используемых в криптовалюте Bitcoin. Расчёт показал, что взлом Bitcoin при помощи квантовых компьютеров в ближайшие 10 лет не реалистичен.
На подбор 256-разрядного ключа ECDSA в течение часа потребуется 317 × 106 физических кубитов. Открытые ключи в Bitcoin можно атаковать только в течение 10-60 минут после инициирования транзакции, но даже если на взлом можно было бы потратить больше времени, порядок мощности квантового компьютера при увеличении времени остаётся на том же уровне. Самый мощный из ныне созданных квантовых компьютеров насчитывает 127 физических кубитов.
Группа исследователей рассчитала параметры квантового компьютера, необходимого для подбора закрытого ключа по 256-битному открытому ключу на базе эллиптических кривых (ECDSA), используемых в криптовалюте Bitcoin. Расчёт показал, что взлом Bitcoin при помощи квантовых компьютеров в ближайшие 10 лет не реалистичен.
На подбор 256-разрядного ключа ECDSA в течение часа потребуется 317 × 106 физических кубитов. Открытые ключи в Bitcoin можно атаковать только в течение 10-60 минут после инициирования транзакции, но даже если на взлом можно было бы потратить больше времени, порядок мощности квантового компьютера при увеличении времени остаётся на том же уровне. Самый мощный из ныне созданных квантовых компьютеров насчитывает 127 физических кубитов.
👏6👍1😢1
Raspberry Pi тестирует установку ОС по сети
Раньше для установки ОС на одноплатник требовался другой компьютер. Разработчики Raspberry Pi Foundation выпустили бета версию нового загрузчика, который будет сам скачивать необходимый дистрибутив из сети по подключенному кабелю Ethernet.
Новая технология совместима с платами Raspberry Pi 4 и 400. После окончания бета теста все новые одноплатники будут выходить с новой версией загрузчика. Опробовать версию можно сейчас, для этого нужна чистая sd карта или usb накопитель и приложение Raspberry Pi Imager.
Раньше для установки ОС на одноплатник требовался другой компьютер. Разработчики Raspberry Pi Foundation выпустили бета версию нового загрузчика, который будет сам скачивать необходимый дистрибутив из сети по подключенному кабелю Ethernet.
Новая технология совместима с платами Raspberry Pi 4 и 400. После окончания бета теста все новые одноплатники будут выходить с новой версией загрузчика. Опробовать версию можно сейчас, для этого нужна чистая sd карта или usb накопитель и приложение Raspberry Pi Imager.
YouTube
Raspberry Pi Network Bootloader
NOTE: Raspberry Pi Network Install is still in beta, and requires some additional actions before following this video tutorial. Full information can be found on our website: https://www.raspberrypi.com/news/network-install-beta-test-your-help-required/
Subscribe…
Subscribe…
Apple исправила 0Day-уязвимость в iPhone, iPad и Mac
Проблема представляла собой уязвимость использования после освобождения (CVE-2022-22620), которая могла привести к сбоям в работе ОС и выполнению кода на скомпрометированных устройствах. Успешная эксплуатация позволяла злоумышленникам выполнить произвольный код на iPhone и iPad после обработки вредоносного web-контента.
Уязвимость затрагивает версии Phone 6s и новее, iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее, iPod touch (7-го поколения), а также компьютеры Mac под управлением macOS Monterey. Уязвимость устранена в версиях iOS 15.3.1, iPadOS 15.3.1 и macOS Monterey 12.2.1.
Проблема представляла собой уязвимость использования после освобождения (CVE-2022-22620), которая могла привести к сбоям в работе ОС и выполнению кода на скомпрометированных устройствах. Успешная эксплуатация позволяла злоумышленникам выполнить произвольный код на iPhone и iPad после обработки вредоносного web-контента.
Уязвимость затрагивает версии Phone 6s и новее, iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее, iPod touch (7-го поколения), а также компьютеры Mac под управлением macOS Monterey. Уязвимость устранена в версиях iOS 15.3.1, iPadOS 15.3.1 и macOS Monterey 12.2.1.
Forwarded from Linux / Линукс
Китайские учёные передали 1 ТБ данных на 1 км за 1 секунду с помощью вихревых миллиметровых волн
Вихревые волны, в отличие от всего, что было в радиосвязи прошлого века, добавили «новое измерение в беспроводную передачу». По мнению ученых, эта технология поможет Китаю стать лидером в мировой гонке технологий 6G.
Как работают вихревые волны?
Существующие мобильные устройства используют для связи электромагнитные волны, которые распространяются подобно ряби в пруду. Информация представлена в виде «верха и низа» этих волн, которые имеют два измерения. Вихревая электромагнитная волна является трехмерной и напоминает торнадо. В этот вихрь можно закодировать дополнительную информацию, что позволит значительно увеличить пропускную способность связи.
Главным камнем преткновения является тот факт, что размер вихревой волны увеличивается по мере увеличения расстояния, а слабеющий сигнал усложняет передачу данных на высокой скорости.
Команда китайских ученых построила уникальный передатчик, способный генерировать более сфокусированный вихревой пучок, благодаря чему волны вращаются в трех разных режимах и могут содержат больше информации. Они также разработали высокопроизводительный приемник, способный принимать и декодировать большой объем данных за долю секунды.
Вихревые волны, в отличие от всего, что было в радиосвязи прошлого века, добавили «новое измерение в беспроводную передачу». По мнению ученых, эта технология поможет Китаю стать лидером в мировой гонке технологий 6G.
Как работают вихревые волны?
Существующие мобильные устройства используют для связи электромагнитные волны, которые распространяются подобно ряби в пруду. Информация представлена в виде «верха и низа» этих волн, которые имеют два измерения. Вихревая электромагнитная волна является трехмерной и напоминает торнадо. В этот вихрь можно закодировать дополнительную информацию, что позволит значительно увеличить пропускную способность связи.
Главным камнем преткновения является тот факт, что размер вихревой волны увеличивается по мере увеличения расстояния, а слабеющий сигнал усложняет передачу данных на высокой скорости.
Команда китайских ученых построила уникальный передатчик, способный генерировать более сфокусированный вихревой пучок, благодаря чему волны вращаются в трех разных режимах и могут содержат больше информации. Они также разработали высокопроизводительный приемник, способный принимать и декодировать большой объем данных за долю секунды.
👍7🔥1
Подборка it-каналов:
@itmemas - IT-мемы 👾
@IT_obrazovach - книги и видосы по IT 🤓
@linux_gram - новости Linux 🐧
@pc_aliexpress - компьютерные комплектующие с Aliexpress 🉐
@montajniklvs - ебучий монтаж сетей 👹
@itmemas - IT-мемы 👾
@IT_obrazovach - книги и видосы по IT 🤓
@linux_gram - новости Linux 🐧
@pc_aliexpress - компьютерные комплектующие с Aliexpress 🉐
@montajniklvs - ебучий монтаж сетей 👹
В версии Android 13 для разработчиков появились новые функции конфиденциальности
Пользователи получат возможность обмениваться фотографиями и видео с приложениями без выдачи разрешений на просмотр всей мультимедийной библиотеки. Google намерена внедрить это на все устройства под управлением Android 11 и более поздних версий ОС.
Также приложения смогут находить и подключаться к Wi-Fi без необходимости разрешения на отслеживание геолокации.
Google планирует выпустить предварительные версии Android 13 для разработчиков в феврале. Первая бета-версия программной платформы для пользователей появится в апреле, а стабильная версия Android 13 — осенью.
Пользователи получат возможность обмениваться фотографиями и видео с приложениями без выдачи разрешений на просмотр всей мультимедийной библиотеки. Google намерена внедрить это на все устройства под управлением Android 11 и более поздних версий ОС.
Также приложения смогут находить и подключаться к Wi-Fi без необходимости разрешения на отслеживание геолокации.
Google планирует выпустить предварительные версии Android 13 для разработчиков в феврале. Первая бета-версия программной платформы для пользователей появится в апреле, а стабильная версия Android 13 — осенью.
Android Developers Blog
The first developer preview of Android 13
News and insights on the Android platform, developer tools, and events.
👍3
Intel представила высокопроизводительный чип для майнинга криптовалют
У нового чипа производительность на ватт в 1000 раз выше, чем у обычных графических процессоров для майнинга на основе алгоритма SHA-256. «Архитектура чипа реализована на крошечном кусочке кремния, поэтому его производство оказывает минимальное влияние на поставку текущих продуктов компании».
Компания расскажет о чипе более подробно 23 февраля на конференции ISSCC. У Intel есть большие планы по этому направлению и она собирается выйти на рынок блокчейна.
У нового чипа производительность на ватт в 1000 раз выше, чем у обычных графических процессоров для майнинга на основе алгоритма SHA-256. «Архитектура чипа реализована на крошечном кусочке кремния, поэтому его производство оказывает минимальное влияние на поставку текущих продуктов компании».
Компания расскажет о чипе более подробно 23 февраля на конференции ISSCC. У Intel есть большие планы по этому направлению и она собирается выйти на рынок блокчейна.
👍1
Apple исправляет активно эксплуатируемый нулевой день WebKit.
Проблема с памятью затрагивает множество устройств iPhone, iPad и macOS и позволяет злоумышленникам выполнять произвольный код после обработки вредоносного веб-контента.
Компания Apple исправила еще одну уязвимость нулевого дня, на этот раз в своем браузерном движке WebKit, которую уже активно используют угрозы для компрометации iPhone, iPad и устройств на базе macOS.
Нулевой день, отслеживаемый как CVE-2022-22620, представляет собой проблему Use-After-Free, которая связана с некорректным использованием динамической памяти во время работы программы.
В случае с "нулевым днем" Apple, угрожающие субъекты могут выполнить произвольный код на затронутых устройствах после обработки ими злонамеренно созданного веб-контента, говорится в описании ошибки. Дефект также может привести к неожиданным сбоям в работе ОС.
Проблема с памятью затрагивает множество устройств iPhone, iPad и macOS и позволяет злоумышленникам выполнять произвольный код после обработки вредоносного веб-контента.
Компания Apple исправила еще одну уязвимость нулевого дня, на этот раз в своем браузерном движке WebKit, которую уже активно используют угрозы для компрометации iPhone, iPad и устройств на базе macOS.
Нулевой день, отслеживаемый как CVE-2022-22620, представляет собой проблему Use-After-Free, которая связана с некорректным использованием динамической памяти во время работы программы.
В случае с "нулевым днем" Apple, угрожающие субъекты могут выполнить произвольный код на затронутых устройствах после обработки ими злонамеренно созданного веб-контента, говорится в описании ошибки. Дефект также может привести к неожиданным сбоям в работе ОС.
Сайты на базе Magento накрыло волной веб-скиммеров
Аналитики Sansec обнаружили источник массовой компрометации более 500 e-commerce сайтов на платформе Magento 1. На эти сайты был внедрен веб-скриммер, а источником заражения стала известная уязвимость в плагине Quickview.
В рамках таких атак хакеры взламывают сайты и затем внедряют на их страницы вредоносный код, который записывает и похищает данные платежных карт, которые пользователи вводят во время оформления заказа.
В конце января поисковый робот обнаружил 374 заражения за один день. Домен, откуда злоумышленники загружали малварь (naturalfreshmall.com), сейчас находится в автономном режиме.
Атакующие использовали давно известную уязвимость в плагине Quickview для внедрения новых пользователей-администраторов на сайты на базе Magento, которые затем могли запускать код с наивысшими привилегиями.
Атака осуществлялась путем добавления правила проверки в таблицу customer_eav_attribute. Это вынуждало хост-приложение создать вредоносный объект, который затем использовался для создания простого бэкдора (api_1.php).
Хотя Adobe прекратила поддержку Magento 1 30 июня 2020 года, однако тысячи сайтов по-прежнему работают на устаревшем ПО.
Аналитики Sansec обнаружили источник массовой компрометации более 500 e-commerce сайтов на платформе Magento 1. На эти сайты был внедрен веб-скриммер, а источником заражения стала известная уязвимость в плагине Quickview.
В рамках таких атак хакеры взламывают сайты и затем внедряют на их страницы вредоносный код, который записывает и похищает данные платежных карт, которые пользователи вводят во время оформления заказа.
В конце января поисковый робот обнаружил 374 заражения за один день. Домен, откуда злоумышленники загружали малварь (naturalfreshmall.com), сейчас находится в автономном режиме.
Атакующие использовали давно известную уязвимость в плагине Quickview для внедрения новых пользователей-администраторов на сайты на базе Magento, которые затем могли запускать код с наивысшими привилегиями.
Атака осуществлялась путем добавления правила проверки в таблицу customer_eav_attribute. Это вынуждало хост-приложение создать вредоносный объект, который затем использовался для создания простого бэкдора (api_1.php).
Хотя Adobe прекратила поддержку Magento 1 30 июня 2020 года, однако тысячи сайтов по-прежнему работают на устаревшем ПО.
Главные новости недели
🕸 Вредоносная программа Medusa присоединяется к сети распространения Android от Flubot
💰 Рассчитаны параметры квантового компьютера для взлома ключей, используемых в Bitcoin
🚫 Израильская шпионская фирма использует ошибку в iPhone
🍏 Apple исправила 0Day-уязвимость в iPhone, iPad и Mac
🕸 Вредоносная программа Medusa присоединяется к сети распространения Android от Flubot
💰 Рассчитаны параметры квантового компьютера для взлома ключей, используемых в Bitcoin
🚫 Израильская шпионская фирма использует ошибку в iPhone
🍏 Apple исправила 0Day-уязвимость в iPhone, iPad и Mac