По интернетам летит вброс про то, что «айтишников не станут выпускать за границу».
Оффициальный ответ Минцифры: https://digital.gov.ru/ru/events/41466/
"Минцифры России не поддерживает любые законодательные ограничения, связанные с передвижением ИТ-кадров и их трудоустройством. Такие меры могут привести к увеличению оттока специалистов и деструктивно отразиться на отрасли в целом".
З.Ы. Как можно отличить айтишника от обычного человека на границе - загадка.
Оффициальный ответ Минцифры: https://digital.gov.ru/ru/events/41466/
"Минцифры России не поддерживает любые законодательные ограничения, связанные с передвижением ИТ-кадров и их трудоустройством. Такие меры могут привести к увеличению оттока специалистов и деструктивно отразиться на отрасли в целом".
З.Ы. Как можно отличить айтишника от обычного человека на границе - загадка.
Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации
Минцифры категорически против любых ограничений передвижения ИТ-специалистов
👍7👎1
⚡️Семь подростков арестованы за связь с хакерской группой Lapsus$
Полиция Великобритании арестовала семь человек в возрасте от 16 до 21 года за связи с Lapsus$ после серии взломов, нацеленных на крупные фирмы, включая Nvidia , Samsung , Ubisoft, Okta и Microsoft.
Сообщается, что 16-летнего парня из Оксфорда обвинили в том, что он является лидером банды киберпреступников Lapsus$. Под никами «Breachbase» или «White» подросток, также известный как Александр (Александр White? получается, Саша Белый 🔫), на сегодняшний день заработал эквивалент 14 миллионов долларов в битках.
Предполагается, что информацию о нём в сети разместил Doxbin - хакер из конкурирующей группировки. Он раскрыли его имя, адрес, фотографии в социальных сетях, а также опубликовал биографию хакерской карьеры Белого.
Саша Белый предпринял попытку договориться с конкурентом по опасному делу, отправив ему 25 000 долларов за удаление своего деанона и за остановку распространения информации о его настоящей личности. Хацкер Doxbin средства принял, но просьбу не выполнил.
СМИ сообщают о том, что разговаривали с отцом подростка, по-видимому, не знавшего об его причастности ко взломам:
«Я никогда не слышал об этом до недавнего времени. Сын очень хорошо разбирался в компьютерах и проводил в интернете много времени, я всегда думал, что он играет в игры», — поделился "внимательный к сыну" отец🥸
«Мы постараемся помешать ему пользоваться компьютерами» - добавил "добрый" батя.🥸
Как вы думаете, это конец Lapsus$?
Полиция Великобритании арестовала семь человек в возрасте от 16 до 21 года за связи с Lapsus$ после серии взломов, нацеленных на крупные фирмы, включая Nvidia , Samsung , Ubisoft, Okta и Microsoft.
Сообщается, что 16-летнего парня из Оксфорда обвинили в том, что он является лидером банды киберпреступников Lapsus$. Под никами «Breachbase» или «White» подросток, также известный как Александр (Александр White? получается, Саша Белый 🔫), на сегодняшний день заработал эквивалент 14 миллионов долларов в битках.
Предполагается, что информацию о нём в сети разместил Doxbin - хакер из конкурирующей группировки. Он раскрыли его имя, адрес, фотографии в социальных сетях, а также опубликовал биографию хакерской карьеры Белого.
Саша Белый предпринял попытку договориться с конкурентом по опасному делу, отправив ему 25 000 долларов за удаление своего деанона и за остановку распространения информации о его настоящей личности. Хацкер Doxbin средства принял, но просьбу не выполнил.
СМИ сообщают о том, что разговаривали с отцом подростка, по-видимому, не знавшего об его причастности ко взломам:
«Я никогда не слышал об этом до недавнего времени. Сын очень хорошо разбирался в компьютерах и проводил в интернете много времени, я всегда думал, что он играет в игры», — поделился "внимательный к сыну" отец🥸
«Мы постараемся помешать ему пользоваться компьютерами» - добавил "добрый" батя.🥸
Как вы думаете, это конец Lapsus$?
👍5😱5
В Honda нашли баг, который позволяет злоумышленнику разблокировать и запустить машину
Исследователи обнаружили уязвимость типа «атака воспроизведения», затрагивающую некоторые модели автомобилей Honda и Acura. Она позволяет находящемуся поблизости хакеру разблокировать авто и даже запустить его двигатель.
Злоумышленник перехватывает радиочастотные сигналы, отправленные с брелока в автомобиль, и повторно отправляет эти сигналы, чтобы получить контроль над системой удаленного доступа без ключа.
Уязвимость сохраняется в старых моделях. Она отслеживается под идентификатором CVE-2022-27254. Затронуты модели Honda Civic 2016–2020 годов (LX, EX, EX-L, Touring, Si, Type R).
В репозитории GitHub исследователи разместили тесты уязвимости. В одном из них прописана команда «закрыть», посылаемая брелоком, которая состоит из следующих битов:
653-656, 667-668, 677-680, 683-684, 823-826, 837-838, 847-850, 853-854.
Исследователи перехватили эту команду и отправили ее, что, в свою очередь, привело к разблокировке автомобиля.
Honda не проверяла информацию, предоставленную исследователями, и не может подтвердить, действительно ли ее автомобили уязвимы для такого типа атак. Даже если машины окажутся уязвимыми, «в настоящее время Honda не планирует обновлять старые автомобили».
Исследователи обнаружили уязвимость типа «атака воспроизведения», затрагивающую некоторые модели автомобилей Honda и Acura. Она позволяет находящемуся поблизости хакеру разблокировать авто и даже запустить его двигатель.
Злоумышленник перехватывает радиочастотные сигналы, отправленные с брелока в автомобиль, и повторно отправляет эти сигналы, чтобы получить контроль над системой удаленного доступа без ключа.
Уязвимость сохраняется в старых моделях. Она отслеживается под идентификатором CVE-2022-27254. Затронуты модели Honda Civic 2016–2020 годов (LX, EX, EX-L, Touring, Si, Type R).
В репозитории GitHub исследователи разместили тесты уязвимости. В одном из них прописана команда «закрыть», посылаемая брелоком, которая состоит из следующих битов:
653-656, 667-668, 677-680, 683-684, 823-826, 837-838, 847-850, 853-854.
Исследователи перехватили эту команду и отправили ее, что, в свою очередь, привело к разблокировке автомобиля.
Honda не проверяла информацию, предоставленную исследователями, и не может подтвердить, действительно ли ее автомобили уязвимы для такого типа атак. Даже если машины окажутся уязвимыми, «в настоящее время Honda не планирует обновлять старые автомобили».
🤔5🤬2👍1😁1
Вредонос Vidar прячется в файлах справки Microsoft
Вредонос Vidar скрывается в файлах Microsoft Compiled HTML Help. Жертва получает электронное письмо с вредоносным вложением. Вложение request.doc представляет собой замаскированный файл ISO. Если жертва откроет файл request.doc, это приведет к открытию еще двух файлов, файла CHM и app.exe. Файл app.exe отвечает за запуск малвари Vidar.
Файлы CHM пользуются куда большим доверием среди пользователей. В этом HTML есть объект-кнопка, которая автоматически запускает повторное выполнение CHM pss10r.chm с помощью mshta. При повторном выполнении JavaScript, включенный в состав файла, автоматически выполнит app.exe, и атака перейдет к фазе загрузки Vidar. Окончательный лаунчер малвари так же скрыт в файле справки.
«Злоумышленники стремятся разделить свои атаки на несколько уровней, чтобы предотвратить обнаружение. Поскольку управление переходит от ISO к CHM, к HTML, к JavaScript и только затем к исполняемому файлу, многие средства защиты от вредоносных программ, спам-фильтры, почтовые шлюзы и так далее могут пропустить эту атаку из-за глубины вложений», — говорят исследователи.
Вредонос ворует данные с зараженной машины. После запуска он собирает системные данные и самую разную информацию из браузеров и других приложений. Данные сохраняются в C:\ProgramData\<случайное значение> и впоследствии архивируются в C:\ProgramData\<random>\<GUID машины>.zip перед отправкой на сервер, находящийся под контролем злоумышленников.
Вредонос Vidar скрывается в файлах Microsoft Compiled HTML Help. Жертва получает электронное письмо с вредоносным вложением. Вложение request.doc представляет собой замаскированный файл ISO. Если жертва откроет файл request.doc, это приведет к открытию еще двух файлов, файла CHM и app.exe. Файл app.exe отвечает за запуск малвари Vidar.
Файлы CHM пользуются куда большим доверием среди пользователей. В этом HTML есть объект-кнопка, которая автоматически запускает повторное выполнение CHM pss10r.chm с помощью mshta. При повторном выполнении JavaScript, включенный в состав файла, автоматически выполнит app.exe, и атака перейдет к фазе загрузки Vidar. Окончательный лаунчер малвари так же скрыт в файле справки.
«Злоумышленники стремятся разделить свои атаки на несколько уровней, чтобы предотвратить обнаружение. Поскольку управление переходит от ISO к CHM, к HTML, к JavaScript и только затем к исполняемому файлу, многие средства защиты от вредоносных программ, спам-фильтры, почтовые шлюзы и так далее могут пропустить эту атаку из-за глубины вложений», — говорят исследователи.
Вредонос ворует данные с зараженной машины. После запуска он собирает системные данные и самую разную информацию из браузеров и других приложений. Данные сохраняются в C:\ProgramData\<случайное значение> и впоследствии архивируются в C:\ProgramData\<random>\<GUID машины>.zip перед отправкой на сервер, находящийся под контролем злоумышленников.
👍6
Главные новости недели
🧠 Семь подростков арестованы за связь с хакерской группой Lapsus$
🎉 Telegram впервые стал самым популярным мессенджером в России
🪟 Атака "браузер в браузере" позволяет подделывать окна в Chrome
📎 230 тыс. уязвимых маршрутизаторов MikroTik контролируются ботнетом
🐞 Баги в Dell BIOS затрагивают множество устройств серий Alienware, Inspiron, Vostro, XPS
🧠 Семь подростков арестованы за связь с хакерской группой Lapsus$
🎉 Telegram впервые стал самым популярным мессенджером в России
🪟 Атака "браузер в браузере" позволяет подделывать окна в Chrome
📎 230 тыс. уязвимых маршрутизаторов MikroTik контролируются ботнетом
🐞 Баги в Dell BIOS затрагивают множество устройств серий Alienware, Inspiron, Vostro, XPS
👍3
Илон Маск задумался о создании новой соцсети
Основатель SpaceX и Tesla Илон Маск подтвердил, что он задумался о создании собственной социально сети.
Один из пользователей задал Маску вопрос, рассмотрел бы он возможность создания новой социальной сети, которая бы имела «алгоритм с открытым исходным кодом, где свободе слова и ее соблюдению будет уделяться первоочередное внимание, где пропаганда минимальна». На что Илон Маск ответил так: «Я серьезно думаю над этим».
Также он прямо спросил у подписчиков, хотят ли они получить новую платформу.
Основатель SpaceX и Tesla Илон Маск подтвердил, что он задумался о создании собственной социально сети.
Один из пользователей задал Маску вопрос, рассмотрел бы он возможность создания новой социальной сети, которая бы имела «алгоритм с открытым исходным кодом, где свободе слова и ее соблюдению будет уделяться первоочередное внимание, где пропаганда минимальна». На что Илон Маск ответил так: «Я серьезно думаю над этим».
Также он прямо спросил у подписчиков, хотят ли они получить новую платформу.
👍9👎4🔥1
Экстренный патч для Chromе исправляет 0-day уязвимость, находящуюся под атаками
Разработчики Google выпустили Chrome 99.0.4844.84 для Windows, Mac и Linux. В новой версии браузера устранили уязвимость CVE-2022-1096, которую уже активно применяли в своих атаках хакеры.
Технических подробной о проблеме пока мало. Известно, что проблема обнаружена анонимным исследователем и представляет собой уязвимость типа type confusion в JavaScript-движке V8.
Разработчики Google выпустили Chrome 99.0.4844.84 для Windows, Mac и Linux. В новой версии браузера устранили уязвимость CVE-2022-1096, которую уже активно применяли в своих атаках хакеры.
Технических подробной о проблеме пока мало. Известно, что проблема обнаружена анонимным исследователем и представляет собой уязвимость типа type confusion в JavaScript-движке V8.
👍5
Как изменилась активность российских пользователей в соцсетях в марте
Аналитическое агентство Brand Analytics изучило активность российских пользователей и их перераспределение в соцсетях. Анализ охватывает период с 24 февраля по 24 марта 2022 года и около 4,5 млрд русскоязычных сообщений в соцсетях.
Аналитическое агентство Brand Analytics изучило активность российских пользователей и их перераспределение в соцсетях. Анализ охватывает период с 24 февраля по 24 марта 2022 года и около 4,5 млрд русскоязычных сообщений в соцсетях.
🤔5👍2😁1🤬1
Операторы связи ожидают сбоев в работе сервисов летом
Комиссия РСПП по связи и IT подсчитала, что «в текущих экономических условиях» резервов оборудования операторов связи хватит на полгода, а сбои в их работе могут начаться уже летом. Для поддержки компаний комиссия предлагает снизить плату за радиочастотный спектр на 50%, обнулить ставку по налогу на имущество и освободить от налогов доходы сотрудников отрасли.
В РСПП по связи и IT входят представители МТС, «МегаФона», «Вымпелкома», «ЭР-Телекома», GS Group, ОАО РЖД и др. Комиссия подготовила документ «О мерах по обеспечению развития отрасли связи и информационно-коммуникационных технологий в условиях внешнего санкционного давления» по итогам заседания комиссии 21 марта, теперь его планируется направить в правительство.
Авторы документа подчеркивают, что стоимость телеком-оборудования уже выросла на 40% из-за ухода западных вендоров и снижения курса рубля. Они ожидают, что дальнейший рост составит 80%.
В итоге резервов оборудования операторов связи для обеспечения работоспособности инфраструктуры хватит на четыре-шесть месяцев. Это значит, что риск аварий и нарушения стабильности работы сети возрастет уже с июля-августа.
Однако в Минцифры причин для сбоев в сетях не видят и говорят, что их работа зависит не только от господдержки.
Комиссия РСПП по связи и IT подсчитала, что «в текущих экономических условиях» резервов оборудования операторов связи хватит на полгода, а сбои в их работе могут начаться уже летом. Для поддержки компаний комиссия предлагает снизить плату за радиочастотный спектр на 50%, обнулить ставку по налогу на имущество и освободить от налогов доходы сотрудников отрасли.
В РСПП по связи и IT входят представители МТС, «МегаФона», «Вымпелкома», «ЭР-Телекома», GS Group, ОАО РЖД и др. Комиссия подготовила документ «О мерах по обеспечению развития отрасли связи и информационно-коммуникационных технологий в условиях внешнего санкционного давления» по итогам заседания комиссии 21 марта, теперь его планируется направить в правительство.
Авторы документа подчеркивают, что стоимость телеком-оборудования уже выросла на 40% из-за ухода западных вендоров и снижения курса рубля. Они ожидают, что дальнейший рост составит 80%.
В итоге резервов оборудования операторов связи для обеспечения работоспособности инфраструктуры хватит на четыре-шесть месяцев. Это значит, что риск аварий и нарушения стабильности работы сети возрастет уже с июля-августа.
Однако в Минцифры причин для сбоев в сетях не видят и говорят, что их работа зависит не только от господдержки.
😁4👍1
В России появится NashStore — аналог Google Play
Планируемая дата запуска - 9 мая. Об этом сообщает ТАСС.
Разработку ведет АНО "Цифровые платформы". В настоящее время с АНО "Цифровые платформы" по созданию магазина приложений сотрудничают более 700 компаний.
Из NashStore пользователи смогут скачивать, устанавливать, обновлять приложения и оплачивать подписки, в том числе и с помощью карт "Мир". Доступ будет открыт для граждан РФ и стан ЕАЭС.
Планируемая дата запуска - 9 мая. Об этом сообщает ТАСС.
Разработку ведет АНО "Цифровые платформы". В настоящее время с АНО "Цифровые платформы" по созданию магазина приложений сотрудничают более 700 компаний.
Из NashStore пользователи смогут скачивать, устанавливать, обновлять приложения и оплачивать подписки, в том числе и с помощью карт "Мир". Доступ будет открыт для граждан РФ и стан ЕАЭС.
😁8🤔4👍2🤮1
Бесплатный вебинар Как сохранить жизнеспособность бизнеса и адаптировать ИТ-ландшафт под новую реальность
31 марта в 11:00 (мск) на вебинаре расскажем, как снизить риски остановки работы по критически важным бизнес-функциям и сделать миграцию на импортозамещающее ПО максимально управляемой.
📌 Управление рисками во время шторма. Готовиться – заранее, действовать – быстро
📌 Экстренный план сохранения непрерывности. Как продолжить работу ЗАВТРА в условиях потери доступа к привычным ИТ-системам
📌 План вынужденной стабилизации. Как ЗА МЕСЯЦ трансформировать ландшафт в сторону MSP (Minimal Survival Product) и что он должен в себя включать?
📌 Базовый план смены ландшафта. Как определить функциональный объем MVP (Most Valuable Product) и в какой РАЗУМНЫЙ срок осуществить переход?
Регистрация: https://clck.ru/eYTN9
31 марта в 11:00 (мск) на вебинаре расскажем, как снизить риски остановки работы по критически важным бизнес-функциям и сделать миграцию на импортозамещающее ПО максимально управляемой.
📌 Управление рисками во время шторма. Готовиться – заранее, действовать – быстро
📌 Экстренный план сохранения непрерывности. Как продолжить работу ЗАВТРА в условиях потери доступа к привычным ИТ-системам
📌 План вынужденной стабилизации. Как ЗА МЕСЯЦ трансформировать ландшафт в сторону MSP (Minimal Survival Product) и что он должен в себя включать?
📌 Базовый план смены ландшафта. Как определить функциональный объем MVP (Most Valuable Product) и в какой РАЗУМНЫЙ срок осуществить переход?
Регистрация: https://clck.ru/eYTN9
👍4🔥2
Безработные смогут бесплатно обучиться цифровым профессиям
Инвалиды и стоящие на учете в центре занятости безработные смогут бесплатно обучиться IT-специальностям, сообщает пресс-служба Минцифры РФ. Этим категориям граждан полагается полная компенсация стоимости обучения от государства.
Кроме того, студенты вузов и колледжей, бюджетники, родители с детьми до трех лет и незарегистрированные безработные получат частичную денежную компенсацию от 50 до 75%.
Также Минцифры планирует запустить программу обучения языкам программирования для старшеклассников. Она будет иметь гибридную модель - возможность заниматься очно и онлайн.
Инвалиды и стоящие на учете в центре занятости безработные смогут бесплатно обучиться IT-специальностям, сообщает пресс-служба Минцифры РФ. Этим категориям граждан полагается полная компенсация стоимости обучения от государства.
Кроме того, студенты вузов и колледжей, бюджетники, родители с детьми до трех лет и незарегистрированные безработные получат частичную денежную компенсацию от 50 до 75%.
Также Минцифры планирует запустить программу обучения языкам программирования для старшеклассников. Она будет иметь гибридную модель - возможность заниматься очно и онлайн.
🤮6👍3
Хакер атаковал блокчейн, используемый в основе NFT-игры Axie Infinity, и украл криптовалюту на $625 млн
Хакер атаковал сайдчейн Ronin, который используется в игре Axie Infinity, ещё 23 марта. Но владельцы системы узнали об этом только 29 марта, когда один из пользователей не смог вывести 5 тысяч единиц Ethereum.
Защита Ronin была основана на девяти валидаторах, но чтобы использовать сайдчейн, достаточно было активировать пять из девяти ключей. Злоумышленнику удалось получить доступ к четырём валидаторам, принадлежащим Sky Mavis — компании, которой принадлежит Ronin — а пятый он извлёк из сторонней базы данных с помощью удалённого вызова процедур (RPC).
После этого хакер смог вывести 173 тысячи единиц Ethereum, чья стоимость составляет около $600 млн, и 25,5 млн стейблкоинов USDC (1 единица этой криптовалюты стоит $1).
Большая часть похищенных средств, как утверждают в Sky Mavies, хранится в криптокошельке злоумышленника. Компания работает с правоохранительными органами, чтобы привлечь хакера к ответственности. Sky Mavies также на время отключила кроссчейн-мост Ronin и начала работу над заменой системы безопасности.
Хакер атаковал сайдчейн Ronin, который используется в игре Axie Infinity, ещё 23 марта. Но владельцы системы узнали об этом только 29 марта, когда один из пользователей не смог вывести 5 тысяч единиц Ethereum.
Защита Ronin была основана на девяти валидаторах, но чтобы использовать сайдчейн, достаточно было активировать пять из девяти ключей. Злоумышленнику удалось получить доступ к четырём валидаторам, принадлежащим Sky Mavis — компании, которой принадлежит Ronin — а пятый он извлёк из сторонней базы данных с помощью удалённого вызова процедур (RPC).
После этого хакер смог вывести 173 тысячи единиц Ethereum, чья стоимость составляет около $600 млн, и 25,5 млн стейблкоинов USDC (1 единица этой криптовалюты стоит $1).
Большая часть похищенных средств, как утверждают в Sky Mavies, хранится в криптокошельке злоумышленника. Компания работает с правоохранительными органами, чтобы привлечь хакера к ответственности. Sky Mavies также на время отключила кроссчейн-мост Ronin и начала работу над заменой системы безопасности.
👍3
Google выпустила сотую версию браузера Chrome
Это первая версия браузера с трёхзначным номером. В Chrome 100 исправили 28 уязвимостей. 9 из них с высоким уровнем опасности. Также полностью перешли к новому дизайну иконки, добавили дополнительные функции для разработчиков и API для работы с несколькими мониторами. Теперь разработчики могут полноценно работать с несколькими дисплеями и адаптировать свои веб-приложения под такие сценарии работы.
Это первая версия браузера с трёхзначным номером. В Chrome 100 исправили 28 уязвимостей. 9 из них с высоким уровнем опасности. Также полностью перешли к новому дизайну иконки, добавили дополнительные функции для разработчиков и API для работы с несколькими мониторами. Теперь разработчики могут полноценно работать с несколькими дисплеями и адаптировать свои веб-приложения под такие сценарии работы.
👍9
Критическая 0-day уязвимость в Spring Framework, применяемом во многих Java-проектах
В модуле Spring Core, поставляемом в составе фреймворка Spring Framework, выявлена критическая 0-day уязвимость, позволяющая неаутентифицированному удалённому атакующему выполнить свой код на сервере. Пока не ясно, насколько катастрофичными могут быть последствия выявленной проблемы. Уязвимости присвоено кодовое имя Spring4Shell, а CVE-идентификатор пока не назначен.
В Spring Framework проблема остаётся неисправленной и в сети уже доступно несколько рабочих прототипов эксплоитов. Проблему усугубляет то, что многие корпоративные Java-приложения на базе Spring Framework выполняются с правами root и уязвимость позволяет полностью скомпрометировать систему.
По некоторым оценкам модуль Spring Core используется в 74% Java-приложений. Опасность уязвимости снижает то, что атаке подвержены только приложения, использующие при подключении обработчиков запросов аннотацию "@ RequestMapping" и применяющие привязку параметров web-форм в формате "name=value" (POJO, Plain Old Java Object), вместо JSON/XML. Какие именно Java-приложения и фреймворки подвержены проблеме ещё не ясно.
Эксплуатация уязвимости возможна только при использовании Java/JDK 9 или более новой версии. Уязвимость блокирует добавление в чёрный список полей "class", "module" и "classLoader" или использование явного белого списка разрешённых полей. Проблема вызвана возможностью обхода защиты от уязвимости CVE-2010-1622, исправленной в Spring Framework ещё в 2010 году и связанной с выполнением обработчика classLoader при разборе параметров запроса.
В модуле Spring Core, поставляемом в составе фреймворка Spring Framework, выявлена критическая 0-day уязвимость, позволяющая неаутентифицированному удалённому атакующему выполнить свой код на сервере. Пока не ясно, насколько катастрофичными могут быть последствия выявленной проблемы. Уязвимости присвоено кодовое имя Spring4Shell, а CVE-идентификатор пока не назначен.
В Spring Framework проблема остаётся неисправленной и в сети уже доступно несколько рабочих прототипов эксплоитов. Проблему усугубляет то, что многие корпоративные Java-приложения на базе Spring Framework выполняются с правами root и уязвимость позволяет полностью скомпрометировать систему.
По некоторым оценкам модуль Spring Core используется в 74% Java-приложений. Опасность уязвимости снижает то, что атаке подвержены только приложения, использующие при подключении обработчиков запросов аннотацию "@ RequestMapping" и применяющие привязку параметров web-форм в формате "name=value" (POJO, Plain Old Java Object), вместо JSON/XML. Какие именно Java-приложения и фреймворки подвержены проблеме ещё не ясно.
Эксплуатация уязвимости возможна только при использовании Java/JDK 9 или более новой версии. Уязвимость блокирует добавление в чёрный список полей "class", "module" и "classLoader" или использование явного белого списка разрешённых полей. Проблема вызвана возможностью обхода защиты от уязвимости CVE-2010-1622, исправленной в Spring Framework ещё в 2010 году и связанной с выполнением обработчика classLoader при разборе параметров запроса.
👍2🤯1
Все еще каждый день какие-то компании уходят из РФ или что-то ограничивают. Парни из Tietoevry недавно завели канал, где рассказывают, как и чем заменить софт и сервисы, которые ушли. А ещё о том, как организовать работу, если часть твоих сотрудников уехала из страны.
Ребята стараются помочь бизнесу и ИТ-специалистам адаптироваться к новой реальности. В таких ситуациях классно получить готовое решение от тех, кто в этом разбирается. В канал также привлекаются профильные эксперты для участия в обсуждениях.
Любой желающий может задать свой вопрос через бота @tietoevryhelperbot и получить ответ.
Вот ссылка: https://news.1rj.ru/str/helprussianbusiness
Ребята стараются помочь бизнесу и ИТ-специалистам адаптироваться к новой реальности. В таких ситуациях классно получить готовое решение от тех, кто в этом разбирается. В канал также привлекаются профильные эксперты для участия в обсуждениях.
Любой желающий может задать свой вопрос через бота @tietoevryhelperbot и получить ответ.
Вот ссылка: https://news.1rj.ru/str/helprussianbusiness
👍4
Sophos исправила уязвимость в своих межсетевых экранах
В межсетевых экранах Sophos была найдена критическая уязвимость, получившая одну из самых максимальных оценок – 9,8 из 10. Уязвимость была найдена в продукте Sophos Firewall, версиях 18.5 MR3 (18.5.3) и старше.
Уязвимость CVE-2022-1040 содержится в пользовательском портале и в областях web-администрирования межсетевого экрана Sophos и позволяет удаленно выполнить произвольный код.
Компания заявила, что всем, у кого на межсетевых экранах включена функция «Разрешить автоматическую установку исправлений», никаких действий производить не нужно. А вот на старых версиях или с истекшим сроком службы может понадобиться активация вручную.
В межсетевых экранах Sophos была найдена критическая уязвимость, получившая одну из самых максимальных оценок – 9,8 из 10. Уязвимость была найдена в продукте Sophos Firewall, версиях 18.5 MR3 (18.5.3) и старше.
Уязвимость CVE-2022-1040 содержится в пользовательском портале и в областях web-администрирования межсетевого экрана Sophos и позволяет удаленно выполнить произвольный код.
Компания заявила, что всем, у кого на межсетевых экранах включена функция «Разрешить автоматическую установку исправлений», никаких действий производить не нужно. А вот на старых версиях или с истекшим сроком службы может понадобиться активация вручную.
Apple выпустила экстренные патчи для 0-day уязвимостей в iOS, iPadOS и macOS
Apple сообщает, что обе уязвимости уже могли активно использовать хакеры.
CVE-2022-22675 представляет собой уязвимость out-of-bounds записи и была обнаружена в коде медиа-декодера AppleAVD. Баг позволяет приложениям выполнять произвольный код с привилегиями ядра.
Вторая проблема CVE-2022-22674 так же связана с out-of-bounds записью, только в Intel Graphics Driver, что в итоге позволяет приложениям считывать память ядра. В этом случае у компании тоже есть доказательства активной эксплуатации уязвимости злоумышленниками.
Уязвимости представляли опасность для следующих устройств:
— компьютеры Mac под управлением macOS Monterey;
— iPhone 6s и новее;
— iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, — iPad mini 4 и новее и iPod touch (7-го поколения).
Это уже четвертое и пятое исправления для 0-day уязвимостей, которое компания Apple в этом году.
Apple сообщает, что обе уязвимости уже могли активно использовать хакеры.
CVE-2022-22675 представляет собой уязвимость out-of-bounds записи и была обнаружена в коде медиа-декодера AppleAVD. Баг позволяет приложениям выполнять произвольный код с привилегиями ядра.
Вторая проблема CVE-2022-22674 так же связана с out-of-bounds записью, только в Intel Graphics Driver, что в итоге позволяет приложениям считывать память ядра. В этом случае у компании тоже есть доказательства активной эксплуатации уязвимости злоумышленниками.
Уязвимости представляли опасность для следующих устройств:
— компьютеры Mac под управлением macOS Monterey;
— iPhone 6s и новее;
— iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, — iPad mini 4 и новее и iPod touch (7-го поколения).
Это уже четвертое и пятое исправления для 0-day уязвимостей, которое компания Apple в этом году.
👍4
Критический баг в GitLab позволяет захватывать чужие аккаунты
Устранена критическая уязвимость, позволявшая удаленно получать доступ к учетным записям пользователей с помощью жестко заданных паролей. CVE-2022-1162 затрагивала и GitLab Community Edition (CE), и Enterprise Edition (EE).
«Для учетных записей, зарегистрированных с использованием OmniAuth, в GitLab CE/EE версий 14.7 до 14.7.7, 14.8 до 14.8.5 и 14.9 до 14.9.2, был установлен жестко закодированный пароль, в теории позволяющий злоумышленникам захватывать учетные записи», — объясняет команда GitLab.
Разработчики сбросили пароли некоторых пользователей GitLab.com, стремясь смягчить последствия CVE-2022-1162. Сообщается, что пока никаких признаков компрометации и эксплуатации этого бага хакерам обнаружено не было.
На всякий случай компания создала скрипт, который позволит администраторам найти учетные записи пользователей, потенциально уязвимых перед CVE-2022-1162.
Устранена критическая уязвимость, позволявшая удаленно получать доступ к учетным записям пользователей с помощью жестко заданных паролей. CVE-2022-1162 затрагивала и GitLab Community Edition (CE), и Enterprise Edition (EE).
«Для учетных записей, зарегистрированных с использованием OmniAuth, в GitLab CE/EE версий 14.7 до 14.7.7, 14.8 до 14.8.5 и 14.9 до 14.9.2, был установлен жестко закодированный пароль, в теории позволяющий злоумышленникам захватывать учетные записи», — объясняет команда GitLab.
Разработчики сбросили пароли некоторых пользователей GitLab.com, стремясь смягчить последствия CVE-2022-1162. Сообщается, что пока никаких признаков компрометации и эксплуатации этого бага хакерам обнаружено не было.
На всякий случай компания создала скрипт, который позволит администраторам найти учетные записи пользователей, потенциально уязвимых перед CVE-2022-1162.
Энтузиаст выпустил браузерные версии эмуляторов Mac OS 7 и Mac OS 8
1 апреля разработчик Михай Парпарита открыл доступ к двум классическим веб-эмуляторам Mac OS 7 (System 7) и Mac OS 8. По словам энтузиаста, проекты загружаются мгновенно, заполнены полезными оригинальными программами, позволяют импортировать, экспортировать и сохранять данные.
Эмуляторы используют проект Парпарита с открытым исходным кодом под названием Infinite Mac. Пока что не все приложения запускаются и иногда встречаются ошибки, однако многие стандартные программы, игры и настройки системы работают, поэтому пользователи могут посмотреть, как выглядели операционные системы Apple в 90-х.
1 апреля разработчик Михай Парпарита открыл доступ к двум классическим веб-эмуляторам Mac OS 7 (System 7) и Mac OS 8. По словам энтузиаста, проекты загружаются мгновенно, заполнены полезными оригинальными программами, позволяют импортировать, экспортировать и сохранять данные.
Эмуляторы используют проект Парпарита с открытым исходным кодом под названием Infinite Mac. Пока что не все приложения запускаются и иногда встречаются ошибки, однако многие стандартные программы, игры и настройки системы работают, поэтому пользователи могут посмотреть, как выглядели операционные системы Apple в 90-х.
👍2🤔1