Критическая 0-day уязвимость в Spring Framework, применяемом во многих Java-проектах
В модуле Spring Core, поставляемом в составе фреймворка Spring Framework, выявлена критическая 0-day уязвимость, позволяющая неаутентифицированному удалённому атакующему выполнить свой код на сервере. Пока не ясно, насколько катастрофичными могут быть последствия выявленной проблемы. Уязвимости присвоено кодовое имя Spring4Shell, а CVE-идентификатор пока не назначен.
В Spring Framework проблема остаётся неисправленной и в сети уже доступно несколько рабочих прототипов эксплоитов. Проблему усугубляет то, что многие корпоративные Java-приложения на базе Spring Framework выполняются с правами root и уязвимость позволяет полностью скомпрометировать систему.
По некоторым оценкам модуль Spring Core используется в 74% Java-приложений. Опасность уязвимости снижает то, что атаке подвержены только приложения, использующие при подключении обработчиков запросов аннотацию "@ RequestMapping" и применяющие привязку параметров web-форм в формате "name=value" (POJO, Plain Old Java Object), вместо JSON/XML. Какие именно Java-приложения и фреймворки подвержены проблеме ещё не ясно.
Эксплуатация уязвимости возможна только при использовании Java/JDK 9 или более новой версии. Уязвимость блокирует добавление в чёрный список полей "class", "module" и "classLoader" или использование явного белого списка разрешённых полей. Проблема вызвана возможностью обхода защиты от уязвимости CVE-2010-1622, исправленной в Spring Framework ещё в 2010 году и связанной с выполнением обработчика classLoader при разборе параметров запроса.
В модуле Spring Core, поставляемом в составе фреймворка Spring Framework, выявлена критическая 0-day уязвимость, позволяющая неаутентифицированному удалённому атакующему выполнить свой код на сервере. Пока не ясно, насколько катастрофичными могут быть последствия выявленной проблемы. Уязвимости присвоено кодовое имя Spring4Shell, а CVE-идентификатор пока не назначен.
В Spring Framework проблема остаётся неисправленной и в сети уже доступно несколько рабочих прототипов эксплоитов. Проблему усугубляет то, что многие корпоративные Java-приложения на базе Spring Framework выполняются с правами root и уязвимость позволяет полностью скомпрометировать систему.
По некоторым оценкам модуль Spring Core используется в 74% Java-приложений. Опасность уязвимости снижает то, что атаке подвержены только приложения, использующие при подключении обработчиков запросов аннотацию "@ RequestMapping" и применяющие привязку параметров web-форм в формате "name=value" (POJO, Plain Old Java Object), вместо JSON/XML. Какие именно Java-приложения и фреймворки подвержены проблеме ещё не ясно.
Эксплуатация уязвимости возможна только при использовании Java/JDK 9 или более новой версии. Уязвимость блокирует добавление в чёрный список полей "class", "module" и "classLoader" или использование явного белого списка разрешённых полей. Проблема вызвана возможностью обхода защиты от уязвимости CVE-2010-1622, исправленной в Spring Framework ещё в 2010 году и связанной с выполнением обработчика classLoader при разборе параметров запроса.
👍2🤯1
Все еще каждый день какие-то компании уходят из РФ или что-то ограничивают. Парни из Tietoevry недавно завели канал, где рассказывают, как и чем заменить софт и сервисы, которые ушли. А ещё о том, как организовать работу, если часть твоих сотрудников уехала из страны.
Ребята стараются помочь бизнесу и ИТ-специалистам адаптироваться к новой реальности. В таких ситуациях классно получить готовое решение от тех, кто в этом разбирается. В канал также привлекаются профильные эксперты для участия в обсуждениях.
Любой желающий может задать свой вопрос через бота @tietoevryhelperbot и получить ответ.
Вот ссылка: https://news.1rj.ru/str/helprussianbusiness
Ребята стараются помочь бизнесу и ИТ-специалистам адаптироваться к новой реальности. В таких ситуациях классно получить готовое решение от тех, кто в этом разбирается. В канал также привлекаются профильные эксперты для участия в обсуждениях.
Любой желающий может задать свой вопрос через бота @tietoevryhelperbot и получить ответ.
Вот ссылка: https://news.1rj.ru/str/helprussianbusiness
👍4
Sophos исправила уязвимость в своих межсетевых экранах
В межсетевых экранах Sophos была найдена критическая уязвимость, получившая одну из самых максимальных оценок – 9,8 из 10. Уязвимость была найдена в продукте Sophos Firewall, версиях 18.5 MR3 (18.5.3) и старше.
Уязвимость CVE-2022-1040 содержится в пользовательском портале и в областях web-администрирования межсетевого экрана Sophos и позволяет удаленно выполнить произвольный код.
Компания заявила, что всем, у кого на межсетевых экранах включена функция «Разрешить автоматическую установку исправлений», никаких действий производить не нужно. А вот на старых версиях или с истекшим сроком службы может понадобиться активация вручную.
В межсетевых экранах Sophos была найдена критическая уязвимость, получившая одну из самых максимальных оценок – 9,8 из 10. Уязвимость была найдена в продукте Sophos Firewall, версиях 18.5 MR3 (18.5.3) и старше.
Уязвимость CVE-2022-1040 содержится в пользовательском портале и в областях web-администрирования межсетевого экрана Sophos и позволяет удаленно выполнить произвольный код.
Компания заявила, что всем, у кого на межсетевых экранах включена функция «Разрешить автоматическую установку исправлений», никаких действий производить не нужно. А вот на старых версиях или с истекшим сроком службы может понадобиться активация вручную.
Apple выпустила экстренные патчи для 0-day уязвимостей в iOS, iPadOS и macOS
Apple сообщает, что обе уязвимости уже могли активно использовать хакеры.
CVE-2022-22675 представляет собой уязвимость out-of-bounds записи и была обнаружена в коде медиа-декодера AppleAVD. Баг позволяет приложениям выполнять произвольный код с привилегиями ядра.
Вторая проблема CVE-2022-22674 так же связана с out-of-bounds записью, только в Intel Graphics Driver, что в итоге позволяет приложениям считывать память ядра. В этом случае у компании тоже есть доказательства активной эксплуатации уязвимости злоумышленниками.
Уязвимости представляли опасность для следующих устройств:
— компьютеры Mac под управлением macOS Monterey;
— iPhone 6s и новее;
— iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, — iPad mini 4 и новее и iPod touch (7-го поколения).
Это уже четвертое и пятое исправления для 0-day уязвимостей, которое компания Apple в этом году.
Apple сообщает, что обе уязвимости уже могли активно использовать хакеры.
CVE-2022-22675 представляет собой уязвимость out-of-bounds записи и была обнаружена в коде медиа-декодера AppleAVD. Баг позволяет приложениям выполнять произвольный код с привилегиями ядра.
Вторая проблема CVE-2022-22674 так же связана с out-of-bounds записью, только в Intel Graphics Driver, что в итоге позволяет приложениям считывать память ядра. В этом случае у компании тоже есть доказательства активной эксплуатации уязвимости злоумышленниками.
Уязвимости представляли опасность для следующих устройств:
— компьютеры Mac под управлением macOS Monterey;
— iPhone 6s и новее;
— iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, — iPad mini 4 и новее и iPod touch (7-го поколения).
Это уже четвертое и пятое исправления для 0-day уязвимостей, которое компания Apple в этом году.
👍4
Критический баг в GitLab позволяет захватывать чужие аккаунты
Устранена критическая уязвимость, позволявшая удаленно получать доступ к учетным записям пользователей с помощью жестко заданных паролей. CVE-2022-1162 затрагивала и GitLab Community Edition (CE), и Enterprise Edition (EE).
«Для учетных записей, зарегистрированных с использованием OmniAuth, в GitLab CE/EE версий 14.7 до 14.7.7, 14.8 до 14.8.5 и 14.9 до 14.9.2, был установлен жестко закодированный пароль, в теории позволяющий злоумышленникам захватывать учетные записи», — объясняет команда GitLab.
Разработчики сбросили пароли некоторых пользователей GitLab.com, стремясь смягчить последствия CVE-2022-1162. Сообщается, что пока никаких признаков компрометации и эксплуатации этого бага хакерам обнаружено не было.
На всякий случай компания создала скрипт, который позволит администраторам найти учетные записи пользователей, потенциально уязвимых перед CVE-2022-1162.
Устранена критическая уязвимость, позволявшая удаленно получать доступ к учетным записям пользователей с помощью жестко заданных паролей. CVE-2022-1162 затрагивала и GitLab Community Edition (CE), и Enterprise Edition (EE).
«Для учетных записей, зарегистрированных с использованием OmniAuth, в GitLab CE/EE версий 14.7 до 14.7.7, 14.8 до 14.8.5 и 14.9 до 14.9.2, был установлен жестко закодированный пароль, в теории позволяющий злоумышленникам захватывать учетные записи», — объясняет команда GitLab.
Разработчики сбросили пароли некоторых пользователей GitLab.com, стремясь смягчить последствия CVE-2022-1162. Сообщается, что пока никаких признаков компрометации и эксплуатации этого бага хакерам обнаружено не было.
На всякий случай компания создала скрипт, который позволит администраторам найти учетные записи пользователей, потенциально уязвимых перед CVE-2022-1162.
Энтузиаст выпустил браузерные версии эмуляторов Mac OS 7 и Mac OS 8
1 апреля разработчик Михай Парпарита открыл доступ к двум классическим веб-эмуляторам Mac OS 7 (System 7) и Mac OS 8. По словам энтузиаста, проекты загружаются мгновенно, заполнены полезными оригинальными программами, позволяют импортировать, экспортировать и сохранять данные.
Эмуляторы используют проект Парпарита с открытым исходным кодом под названием Infinite Mac. Пока что не все приложения запускаются и иногда встречаются ошибки, однако многие стандартные программы, игры и настройки системы работают, поэтому пользователи могут посмотреть, как выглядели операционные системы Apple в 90-х.
1 апреля разработчик Михай Парпарита открыл доступ к двум классическим веб-эмуляторам Mac OS 7 (System 7) и Mac OS 8. По словам энтузиаста, проекты загружаются мгновенно, заполнены полезными оригинальными программами, позволяют импортировать, экспортировать и сохранять данные.
Эмуляторы используют проект Парпарита с открытым исходным кодом под названием Infinite Mac. Пока что не все приложения запускаются и иногда встречаются ошибки, однако многие стандартные программы, игры и настройки системы работают, поэтому пользователи могут посмотреть, как выглядели операционные системы Apple в 90-х.
👍2🤔1
Китай с нуля создал видеокарты на замену AMD и Nvidia
Стартап Moore Threads из Китая всего за год с нуля создал видеокарты для для ПК и серверов. MTT S60 — GPU ориентированная на персональные компьютеры. Она обладает вычислительной мощностью до 6 Тфлопс и оснащена 8 ГБ видеопамяти. Для примера, карта Nvidia GeForce GTX 1070 на пике выдает 6,5 Тфлопс.
Видеокарта поддерживает различные платформы ЦП, включая Intel, AMD и готова к работе на Windows 10 и GNU/Linux. Также MTT S60 поддерживает множество графических интерфейсов API, таких как DirectX, Vulkan и OpenGL.
В качестве демонстрации мощности, разработчики запустили на MTT S60 игры League of Legends, Counter-Strike: Global Offensive и Dota 2 в максимальном качестве при разрешении 1080P под системами Windows 10 и GNU/Linux.
О сроках появления на массовом рынке пока не сообщается, но такие новости уже внушают оптимизм.
Стартап Moore Threads из Китая всего за год с нуля создал видеокарты для для ПК и серверов. MTT S60 — GPU ориентированная на персональные компьютеры. Она обладает вычислительной мощностью до 6 Тфлопс и оснащена 8 ГБ видеопамяти. Для примера, карта Nvidia GeForce GTX 1070 на пике выдает 6,5 Тфлопс.
Видеокарта поддерживает различные платформы ЦП, включая Intel, AMD и готова к работе на Windows 10 и GNU/Linux. Также MTT S60 поддерживает множество графических интерфейсов API, таких как DirectX, Vulkan и OpenGL.
В качестве демонстрации мощности, разработчики запустили на MTT S60 игры League of Legends, Counter-Strike: Global Offensive и Dota 2 в максимальном качестве при разрешении 1080P под системами Windows 10 и GNU/Linux.
О сроках появления на массовом рынке пока не сообщается, но такие новости уже внушают оптимизм.
👍23😱3🔥2🤮2
Главные новости недели
🔫 Экстренный патч для Chromе исправляет 0-day уязвимость, находящуюся под атаками
🎲 Хакер атаковал блокчейн, используемый в основе NFT-игры Axie Infinity, и украл криптовалюту на $625 млн
💯 Google выпустила Chrome 100
🎯 Критическая 0-day уязвимость в Spring Framework, применяемом во многих Java-проектах
🦊 Критический баг в GitLab позволяет захватывать чужие аккаунты
🔫 Экстренный патч для Chromе исправляет 0-day уязвимость, находящуюся под атаками
🎲 Хакер атаковал блокчейн, используемый в основе NFT-игры Axie Infinity, и украл криптовалюту на $625 млн
💯 Google выпустила Chrome 100
🎯 Критическая 0-day уязвимость в Spring Framework, применяемом во многих Java-проектах
🦊 Критический баг в GitLab позволяет захватывать чужие аккаунты
👍5🤯1
Системы Nvidia DGX уязвимы к атакам по сторонним и скрытым каналам
Уязвимости связаны с микроархитектурными ошибками и могут повлиять и на локальные, и на удаленные системы. Специалисты реконструировали иерархию кеша, показав, как атака на один графический процессор может затронуть кеш уровня 2 подключенного графического процессора (ускорители связаны вместе с проприетарным NVLink от Nvidia) и вызвать конфликт на подключенном графическом процессоре.
Атаки проводятся полностью на уровне пользователя без какого-либо специального доступа. Модель атаки бросает вызов предположениям о предыдущих атаках на основе графических процессоров и значительно расширяет понимание экспертов о модели угроз для серверов с несколькими графическими процессорами.
Меры по предотвращению эксплуатации уязвимостей включают статическое или динамическое разделение общих ресурсов.
Уязвимости связаны с микроархитектурными ошибками и могут повлиять и на локальные, и на удаленные системы. Специалисты реконструировали иерархию кеша, показав, как атака на один графический процессор может затронуть кеш уровня 2 подключенного графического процессора (ускорители связаны вместе с проприетарным NVLink от Nvidia) и вызвать конфликт на подключенном графическом процессоре.
Атаки проводятся полностью на уровне пользователя без какого-либо специального доступа. Модель атаки бросает вызов предположениям о предыдущих атаках на основе графических процессоров и значительно расширяет понимание экспертов о модели угроз для серверов с несколькими графическими процессорами.
Меры по предотвращению эксплуатации уязвимостей включают статическое или динамическое разделение общих ресурсов.
👍3
В открытом доступе обнаружен сервер с содержимым СМС-сообщений от сервисов и банков
В сети уже несколько дней доступен сервер Elasticsearch. Суммарный размер индексов около 4,5 Тб. Среди отправителей СМС найдены Google, Тинькофф, Аэрофлот, Юла, Microsoft и т.п. Сервер рабочий, один из индексов (send_record_202204) обновляется - туда добавляются новые SMS.
Сервер находится на площадке Amazon в США. Скорее всего речь идет о каком-то сервисе, предоставляющем различным компаниям услуги СМС-рассылок.
Номера телефонов получателей скрыты звездочками, но содержимое сообщений, включая одноразовые коды для двухфакторной аутентификации и восстановления паролей, хранится в неизменном виде.
В сети уже несколько дней доступен сервер Elasticsearch. Суммарный размер индексов около 4,5 Тб. Среди отправителей СМС найдены Google, Тинькофф, Аэрофлот, Юла, Microsoft и т.п. Сервер рабочий, один из индексов (send_record_202204) обновляется - туда добавляются новые SMS.
Сервер находится на площадке Amazon в США. Скорее всего речь идет о каком-то сервисе, предоставляющем различным компаниям услуги СМС-рассылок.
Номера телефонов получателей скрыты звездочками, но содержимое сообщений, включая одноразовые коды для двухфакторной аутентификации и восстановления паролей, хранится в неизменном виде.
👍1
Энтузиаст представил настольный ретро-календарь SystemSix на Raspberry Pi
Инженер Джон Калхун, проработавший в Apple 26 лет, представил самодельный гаджет, который выполнен в дизайне Apple Macintosh и построен на базе одноплатного компьютера Raspberry Pi 3.
На E-ink дисплей устройства (5,83 дюйма) выводится прогноз погоды, фазы Луны, события онлайн-календаря и периодически заполняющаяся корзина, напоминающая выкинуть мусор.
Для подключения экрана к Raspberry Pi 3 автор взял за основу проект eInkCalendar. Калхун признался, что он не очень хороший программист, поэтому долго не мог разобраться в коде eInkCalendar и наугад редактировал строчки кода до нужного результата.
Далее автор принялся модифицировать исходный код проекта eInkCalendar. Скрипт отрисовки нового содержимого экрана запускается ежечасно. Система собирает новые данные о погоде, генерирует новый виджет и обновляет состояние дисплея.
Код проекта доступен на GitHub.
Инженер Джон Калхун, проработавший в Apple 26 лет, представил самодельный гаджет, который выполнен в дизайне Apple Macintosh и построен на базе одноплатного компьютера Raspberry Pi 3.
На E-ink дисплей устройства (5,83 дюйма) выводится прогноз погоды, фазы Луны, события онлайн-календаря и периодически заполняющаяся корзина, напоминающая выкинуть мусор.
Для подключения экрана к Raspberry Pi 3 автор взял за основу проект eInkCalendar. Калхун признался, что он не очень хороший программист, поэтому долго не мог разобраться в коде eInkCalendar и наугад редактировал строчки кода до нужного результата.
Далее автор принялся модифицировать исходный код проекта eInkCalendar. Скрипт отрисовки нового содержимого экрана запускается ежечасно. Система собирает новые данные о погоде, генерирует новый виджет и обновляет состояние дисплея.
Код проекта доступен на GitHub.
👍11
Двум британским подросткам 16 и 17 лет были предъявлены обвинения в пособничестве вымогательской хак-группе Lapsus$
«Обоим подросткам предъявлены обвинения: по трем пунктам несанкционированного доступа к компьютеру с намерением нарушить достоверность данных; по одному пункту мошенничества путем предоставления ложных сведений и по одному пункту несанкционированного доступа к компьютеру с целью нарушить доступ к данным. Также 16-летнему подростку предъявлено обвинение в том, что он заставил компьютер выполнять функцию для защиты несанкционированного доступа к программе».
Хотя правоохранители по-прежнему не раскрывают названия хак-группы, членами которой были эти подростки, BBC вновь пишет, что они были связаны с Lapsus$, а также сообщает, что обоих уже освободили под залог.
«Обоим подросткам предъявлены обвинения: по трем пунктам несанкционированного доступа к компьютеру с намерением нарушить достоверность данных; по одному пункту мошенничества путем предоставления ложных сведений и по одному пункту несанкционированного доступа к компьютеру с целью нарушить доступ к данным. Также 16-летнему подростку предъявлено обвинение в том, что он заставил компьютер выполнять функцию для защиты несанкционированного доступа к программе».
Хотя правоохранители по-прежнему не раскрывают названия хак-группы, членами которой были эти подростки, BBC вновь пишет, что они были связаны с Lapsus$, а также сообщает, что обоих уже освободили под залог.
👍2
Выпуск Edge 100
Представлена общедоступная версия браузера Edge 100. В обновлении улучшили работу с PDF-файлами и исправили уязвимости. Сообщается, что Edge автоматически обновится до актуальной версии.
Теперь у Microsoft Edge трехзначный номер версии, и из-за этого могут случаться сбои на стороне аналитических сервисов и сторонних скриптов. Компания настоятельно рекомендует владельцам сайтов проверить работоспособность сервисов с трехзначным номером версии браузера. Помимо этого, у разработчиков есть возможность закрепить в настройках браузера номер версии на 99.
Представлена общедоступная версия браузера Edge 100. В обновлении улучшили работу с PDF-файлами и исправили уязвимости. Сообщается, что Edge автоматически обновится до актуальной версии.
Теперь у Microsoft Edge трехзначный номер версии, и из-за этого могут случаться сбои на стороне аналитических сервисов и сторонних скриптов. Компания настоятельно рекомендует владельцам сайтов проверить работоспособность сервисов с трехзначным номером версии браузера. Помимо этого, у разработчиков есть возможность закрепить в настройках браузера номер версии на 99.
👍6
Intel представила свой новый чип для майнинга
Компания объявила о новом чипе Intel Blockscale ASIC, разработанном специально для майнинга биткоинов и подобных криптовалют.
В пресс-релизе сказано, что чип сделан на криптоалгоритме SHA-256, обеспечивает производительность до 580 Гхеш/с, энергопотребление составляет от 4,8 до 22,8 Вт. Также в чипе есть встроенные возможности измерения температуры и напряжения. Энергетическая эффективность чипа оценивается в 26 джоулей на тхеш.
Поставки чипа Intel Blockscale ASIC начнутся в третьем квартале 2022 года. Причём Intel будет поставлять только чипы, а системы на их основе будут производить другие компании. Первыми чипы получат Argo Blockchain, Block, Hive Blockchain Technologies и GRIID Infrastructure.
Компания объявила о новом чипе Intel Blockscale ASIC, разработанном специально для майнинга биткоинов и подобных криптовалют.
В пресс-релизе сказано, что чип сделан на криптоалгоритме SHA-256, обеспечивает производительность до 580 Гхеш/с, энергопотребление составляет от 4,8 до 22,8 Вт. Также в чипе есть встроенные возможности измерения температуры и напряжения. Энергетическая эффективность чипа оценивается в 26 джоулей на тхеш.
Поставки чипа Intel Blockscale ASIC начнутся в третьем квартале 2022 года. Причём Intel будет поставлять только чипы, а системы на их основе будут производить другие компании. Первыми чипы получат Argo Blockchain, Block, Hive Blockchain Technologies и GRIID Infrastructure.
👍2🤮1
В PEAR исправлен 15-летний баг
В PEAR (PHP Extension and Application Repository) обнаружена уязвимость 15-летней давности. Она позволяла осуществлять атаки на цепочку поставок, включая получение доступа для публикации мошеннических пакетов и выполнение произвольного кода.
Ошибка появилась в коде в 2007 году и была связана с использованием криптографически небезопасной функции mt_rand() в функции сброса пароля, что помогало атакующему обнаружить действительный пароль и сбросить токен менее чем за 50 попыток.
Злоумышленник мог атаковать существующие учетные записи разработчиков или администраторов, чтобы захватить контроль над ними, а затем опубликовать новые и опасные версии пакетов, что привело бы к масштабной компрометации цепочки поставок.
Есть и вторая уязвимость, которая используется в сочетании с первой проблемой для получения начального доступа. Эти уязвимости существовали более десяти лет, и их было легко найти и использовать, что вызывает вопросы о недостаточном вкладе в безопасность со стороны компаний, полагающихся на эти решения.
В PEAR (PHP Extension and Application Repository) обнаружена уязвимость 15-летней давности. Она позволяла осуществлять атаки на цепочку поставок, включая получение доступа для публикации мошеннических пакетов и выполнение произвольного кода.
Ошибка появилась в коде в 2007 году и была связана с использованием криптографически небезопасной функции mt_rand() в функции сброса пароля, что помогало атакующему обнаружить действительный пароль и сбросить токен менее чем за 50 попыток.
Злоумышленник мог атаковать существующие учетные записи разработчиков или администраторов, чтобы захватить контроль над ними, а затем опубликовать новые и опасные версии пакетов, что привело бы к масштабной компрометации цепочки поставок.
Есть и вторая уязвимость, которая используется в сочетании с первой проблемой для получения начального доступа. Эти уязвимости существовали более десяти лет, и их было легко найти и использовать, что вызывает вопросы о недостаточном вкладе в безопасность со стороны компаний, полагающихся на эти решения.
👍1
Графические процессоры Android-смартфонов могут подслушивать учётные данные
Исследование ученых показало, что графический процессор в некоторых Android-смартфонах может использоваться для прослушивания учетных данных пользователя, когда пользователь вводит учетные данные с помощью экранной клавиатуры смартфона.
В ходе эксперимента исследователи смогли правильно определить, какие буквы или цифры были нажаты, в 80% случаях, основываясь только на данных, полученных из графического процессора.
Исследователи сосредоточились на видеочипе Qualcomm Adreno, но предполагается, что уязвимость также может быть использована и на других графических процессорах. Команда сообщила об обнаруженной бреши Google и Qualcomm. В Google отметили, что выпустят патч безопасности для Android уже в конце этого года.
Злоумышленник может создать безопасное приложение и внедрить в него вредоносный код, который будет работать в фоновом режиме. В результате атаки злонамеренное приложение может получить имена пользователей и пароли, вводимые в онлайн банкинге или на веб сайтах. Подобный код не может быть обнаружен стандартными средствами защиты магазином Google Play.
Исследование ученых показало, что графический процессор в некоторых Android-смартфонах может использоваться для прослушивания учетных данных пользователя, когда пользователь вводит учетные данные с помощью экранной клавиатуры смартфона.
В ходе эксперимента исследователи смогли правильно определить, какие буквы или цифры были нажаты, в 80% случаях, основываясь только на данных, полученных из графического процессора.
Исследователи сосредоточились на видеочипе Qualcomm Adreno, но предполагается, что уязвимость также может быть использована и на других графических процессорах. Команда сообщила об обнаруженной бреши Google и Qualcomm. В Google отметили, что выпустят патч безопасности для Android уже в конце этого года.
Злоумышленник может создать безопасное приложение и внедрить в него вредоносный код, который будет работать в фоновом режиме. В результате атаки злонамеренное приложение может получить имена пользователей и пароли, вводимые в онлайн банкинге или на веб сайтах. Подобный код не может быть обнаружен стандартными средствами защиты магазином Google Play.
👍8🔥1
GitHub будет автоматически блокировать коммиты с API-ключами и токенами аутентификации
GitHub представил функцию, направленную на проактивную защиту разработчиков от случайных утечек. Теперь GitHub Advanced Security будет автоматически блокировать утечки секретов, будь то API-ключи или токены аутентификации.
Дополнительная функция безопасности, носящая название push-защита, позволит организациям, использующим GitHub Enterprise Cloud с лицензией GitHub Advanced Security, включить дополнительное сканирования для своих репозиториев.
Таким образом, если GitHub Enterprise Cloud обнаружит некий секрет в коде перед его отправкой, git push блокируется, чтобы разработчик мог просмотреть и удалить секреты из кода, который пытался закоммитить. Также разработчики смогут помечать такие предупреждения как ложные, тестовые или оставлять их для последующего исправления.
GitHub отмечает, что на сегодняшний день в тысячах частных репозиториев уже были обнаружены более 700 000 секретов.
GitHub представил функцию, направленную на проактивную защиту разработчиков от случайных утечек. Теперь GitHub Advanced Security будет автоматически блокировать утечки секретов, будь то API-ключи или токены аутентификации.
Дополнительная функция безопасности, носящая название push-защита, позволит организациям, использующим GitHub Enterprise Cloud с лицензией GitHub Advanced Security, включить дополнительное сканирования для своих репозиториев.
Таким образом, если GitHub Enterprise Cloud обнаружит некий секрет в коде перед его отправкой, git push блокируется, чтобы разработчик мог просмотреть и удалить секреты из кода, который пытался закоммитить. Также разработчики смогут помечать такие предупреждения как ложные, тестовые или оставлять их для последующего исправления.
GitHub отмечает, что на сегодняшний день в тысячах частных репозиториев уже были обнаружены более 700 000 секретов.
👍7
В ОС Android исправлено 44 уязвимости
Наиболее важным является исправление уязвимости в Framework, эксплуатация которой позволяет повысить привилегии без какого-либо взаимодействия с пользователем. Никаких дополнительных привилегий на выполнение также не требуется.
Всего в апреле было устранено семь уязвимостей в компоненте Framework, все из которых были оценены как опасные и приводили к несанкционированному получению прав.
Более 30 уязвимостей было исправлено в System, компонентах ядра, компонентах MediaTek, компонентах Qualcomm и Qualcomm Closed. Девять уязвимостей, затрагивающих компоненты Qualcomm, оцениваются как «критические», а оставшиеся 21 — как «опасные».
Наиболее важным является исправление уязвимости в Framework, эксплуатация которой позволяет повысить привилегии без какого-либо взаимодействия с пользователем. Никаких дополнительных привилегий на выполнение также не требуется.
Всего в апреле было устранено семь уязвимостей в компоненте Framework, все из которых были оценены как опасные и приводили к несанкционированному получению прав.
Более 30 уязвимостей было исправлено в System, компонентах ядра, компонентах MediaTek, компонентах Qualcomm и Qualcomm Closed. Девять уязвимостей, затрагивающих компоненты Qualcomm, оцениваются как «критические», а оставшиеся 21 — как «опасные».
👍6
Российский суд впервые арестовал украденную криптовалюту
Санкт-Петербургский районный суд впервые арестовал украденную крипту. «Суд разрешил следователю наложение ареста на Ethereum, содержащийся на 24 кошельках обвиняемого в краже криптовалюты».
В 2017 году пострадавший купил 7 тысяч ЕТН. Злоумышленник взломал криптокошелёк потерпевшего и украл цифровые средства. После подачи заявления в суд следователи нашли подозреваемого. На момент обнаружения у него было только 4 тысячи ЕТН, что и было арестовано по решению суда. 1 ЕТН сейчас оценивается более чем в 3 тысячи долларов.
Санкт-Петербургский районный суд впервые арестовал украденную крипту. «Суд разрешил следователю наложение ареста на Ethereum, содержащийся на 24 кошельках обвиняемого в краже криптовалюты».
В 2017 году пострадавший купил 7 тысяч ЕТН. Злоумышленник взломал криптокошелёк потерпевшего и украл цифровые средства. После подачи заявления в суд следователи нашли подозреваемого. На момент обнаружения у него было только 4 тысячи ЕТН, что и было арестовано по решению суда. 1 ЕТН сейчас оценивается более чем в 3 тысячи долларов.
👍3
Сегодня Рунету исполнилось 28 лет
7 апреля 1994 года появился первый сайт российского сегмента интернета. Он работает и сейчас - это www.1-9-9-4.ru - каталог ссылок на русскоязычные и англоязычные страницы в интернете Russia on the Net.
Ежемесячная аудитория российского сегмента интернета по итогам 2021 года превысила 100 млн человек. Это более 80% населения страны.
7 апреля 1994 года появился первый сайт российского сегмента интернета. Он работает и сейчас - это www.1-9-9-4.ru - каталог ссылок на русскоязычные и англоязычные страницы в интернете Russia on the Net.
Ежемесячная аудитория российского сегмента интернета по итогам 2021 года превысила 100 млн человек. Это более 80% населения страны.
👏7