Вышли обновления, а самоё главное Security патчи для macOS Catalina:
https://support.apple.com/en-us/HT210722
https://support.apple.com/en-us/HT210722
Apple Support
About the security content of macOS Catalina 10.15.1, Security Update 2019-001, and Security Update 2019-006
This document describes the security content of macOS Catalina 10.15.1, Security Update 2019-001, and Security Update 2019-006.
Уязвимость Windows - TLS спуфинг. Затрагивает виндовозы начиная с Windows 7 и до 2019:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1318
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1318
Вышел пропатченный от последних 0-day уязвимостей хром, смотрим свои обновления, обновляемся при необходимости :)
https://chromereleases.googleblog.com/2019/10/stable-channel-update-for-desktop_31.html
Про 0-day:
https://securelist.com/chrome-0-day-exploit-cve-2019-13720-used-in-operation-wizardopium/94866/
https://chromereleases.googleblog.com/2019/10/stable-channel-update-for-desktop_31.html
Про 0-day:
https://securelist.com/chrome-0-day-exploit-cve-2019-13720-used-in-operation-wizardopium/94866/
Securelist
Chrome 0-day exploit CVE-2019-13720 used in Operation WizardOpium
Recently, we caught a new unknown exploit for Chrome browser. After reviewing of the PoC we provided, Google confirmed there was a zero-day vulnerability and assigned it CVE-2019-13720.
Похоже у NordVPN всё-таки вытекли кое-какие пользовательские креды, несмотря на уверения Норда, что это не так:
https://arstechnica.com/information-technology/2019/11/nordvpn-users-passwords-exposed-in-mass-credential-stuffing-attacks/
https://arstechnica.com/information-technology/2019/11/nordvpn-users-passwords-exposed-in-mass-credential-stuffing-attacks/
Ars Technica
NordVPN users’ passwords exposed in mass credential-stuffing attacks
Many of the dumps have been pulled off public webpages, but at least one remains.
Ждем телеметрию в OpenJDK. MS присоединись к данному проекту:
https://mail.openjdk.java.net/pipermail/discuss/2019-October/005173.html
https://mail.openjdk.java.net/pipermail/discuss/2019-October/005173.html
Пока многие обсуждают кибервойска и готовятся к их внедрению, в США в двух регионах они уже дислоцируются, на подходе еще один регион в виде Индианы.
- Кибер-полигон
- “Солдаты” полдня заняты на граждаской работе
- Планируют сдачу солдат в аренду бизнесу
- Обучить солдат в кибер-академии
Все серьезно похоже…
https://www.sanluisobispo.com/news/business/technology/article236964223.html
- Кибер-полигон
- “Солдаты” полдня заняты на граждаской работе
- Планируют сдачу солдат в аренду бизнесу
- Обучить солдат в кибер-академии
Все серьезно похоже…
https://www.sanluisobispo.com/news/business/technology/article236964223.html
Такими темпами для регионов доступ начнут закрывать...
https://habr.com/ru/company/flant/blog/474436
За ссылку спасибо @rustc
https://habr.com/ru/company/flant/blog/474436
За ссылку спасибо @rustc
Хабр
Компания GitLab из-за политики прекращает набор инженеров из России и Китая
2 недели назад в публичном трекере компании GitLab, стоящей за популярным одноимённым Open Source-решением для разработчиков и DevOps-инженеров, появился issue под названием « WIP: блокировка...
PoC RCE в rConfig:
https://shells.systems/rconfig-v3-9-2-authenticated-and-unauthenticated-rce-cve-2019-16663-and-cve-2019-16662/
Что такое rConfig - кратко, позволяет делать снимки конфигураций сетевых устройств / позволяет массово разворачивать настройки. Open Source.
https://www.rconfig.com/
https://shells.systems/rconfig-v3-9-2-authenticated-and-unauthenticated-rce-cve-2019-16663-and-cve-2019-16662/
Что такое rConfig - кратко, позволяет делать снимки конфигураций сетевых устройств / позволяет массово разворачивать настройки. Open Source.
https://www.rconfig.com/
Shells.Systems
rConfig v3.9.2 authenticated and unauthenticated RCE (CVE-2019-16663) and (CVE-2019-16662) - Shells.Systems
Estimated Reading Time: 6 minutes Summary about rConfig rConfig is an open source network device configuration management utility for network engineers to take frequent configuration snapshots of their network devices. About the exploit I was able two detect…
Спрашивается, если даже под Windows его никто не использует (почти), то зачем оно нужно на других платформах?
https://www.opennet.ru/opennews/art.shtml?num=51816
https://www.opennet.ru/opennews/art.shtml?num=51816
opennet.ru
Браузер Microsoft Edge позиционируется кросс-платформенным и будет поддерживать Linux
В дополнение к ранее опубликованным неофициальным сведениям о портировании браузера Microsoft Edge для Linux, на конференции Ignite 2019 представители Microsoft в докладе о состоянии разработки браузера подтвердили (8:34 на видео) решение выпустить сборку…
Утечка подтверждена. Но оказывается это не 3.5к данных клиентов, а всего лишь 15-ти..
Кто-то явно, что-то не договаривает:)
https://www.vesti.ru/doc.html?id=3206621
Кто-то явно, что-то не договаривает:)
https://www.vesti.ru/doc.html?id=3206621
vesti.ru
Вести: новости России и мира сегодня, последние события дня, фото, видео
Последние новости дня на сайте Вести: интервью, репортажи, фото и видео. Свежие новости Москвы, регионов России и всего мира на сегодня – экономика, пенсии, авто, политика, наука, погода и другие. Будьте в курсе актуальных событий.
Баг в Firefox блокирует браузер (окна, вкладки), завершить работу браузера можно только убив процесс. В Linux системах эксплуатация бага не работает :)
https://bugzilla.mozilla.org/show_bug.cgi?id=1593795
https://bugzilla.mozilla.org/show_bug.cgi?id=1593795
bugzilla.mozilla.org
1593795 - browser locker
RESOLVED (nobody) in Firefox - Untriaged. Last updated 2020-02-11.
В Андрюше найдены уязвимости которые могут привести к удалённому выполнению произвольного кода... Ждем патчей. Детали в офф бюллетене безопасности. Почти у всех озвученных CVE высокий / критичный уровень опасности:
https://source.android.com/security/bulletin/2019-11-01.html
https://source.android.com/security/bulletin/2019-11-01.html
Инсайдер Trend Micro получил доступ к данным клиентов (имена, адреса, телефоны) с криминальным умыслом. Расследование длилось несколько месяцев. Тем временем преступники от имени Trend Micro связывались с клиентами для осуществления мошеннических активностей.
https://blog.trendmicro.com/trend-micro-discloses-insider-threat-impacting-some-of-its-consumer-customers/
https://blog.trendmicro.com/trend-micro-discloses-insider-threat-impacting-some-of-its-consumer-customers/
Trend Micro
Trend Micro Discloses Insider Threat
A security incident resulted in the unauthorized disclosure of personal data of an isolated number of customers of our consumer product. We immediately started investigating the situation and found it was the result of a malicious insider threat.
Не реклама. Скидочный бандл за 30 баксов с набором курсов по Azure для подготовки к экзаменам:
https://shop.computerworld.com/sales/complete-microsoft-azure-certification-prep-bundle-2019
https://shop.computerworld.com/sales/complete-microsoft-azure-certification-prep-bundle-2019