XSS уязвимость CKEditor, эксплуатация озможна, если Drupal настроен на использование WYSIWYG CKEditor. Злоумышленник, который может создавать или редактировать содержимое, может успешно ее использовать:
https://www.drupal.org/sa-core-2020-001
Детали в блоге компоненты:
https://ckeditor.com/blog/CKEditor-4.14-with-Paste-from-LibreOffice-released/#security-issues-fixed
https://www.drupal.org/sa-core-2020-001
Детали в блоге компоненты:
https://ckeditor.com/blog/CKEditor-4.14-with-Paste-from-LibreOffice-released/#security-issues-fixed
Drupal.org
Drupal core - Moderately critical - Third-party library - SA-CORE-2020-001
The Drupal project uses the third-party library CKEditor, which has released a security improvement that is needed to protect some Drupal configurations. Vulnerabilities are possible if Drupal is configured to use the WYSIWYG CKEditor for your site's users.…
Жизненный цикл Windows, информация по разным релизам, какой, сколько живёт, интервалы обновлений и поддержки...
Основная идея следующая - в рамках модели Semi-Annual Channel, обновления компонентов Windows 10 выпускаются дважды в год в марте и сентябре. Обновления накопительные: каждое следующее обновление основано на предыдущих обновлениях. Для сохранения поддержки Майкрософт, предоставляемой с помощью исправлений, необходимо всегда устанавливать последнюю версию (обновление компонентов), прежде чем наступит окончание обслуживания текущей версии:
https://support.microsoft.com/en-us/help/13853/windows-lifecycle-fact-sheet
Основная идея следующая - в рамках модели Semi-Annual Channel, обновления компонентов Windows 10 выпускаются дважды в год в марте и сентябре. Обновления накопительные: каждое следующее обновление основано на предыдущих обновлениях. Для сохранения поддержки Майкрософт, предоставляемой с помощью исправлений, необходимо всегда устанавливать последнюю версию (обновление компонентов), прежде чем наступит окончание обслуживания текущей версии:
https://support.microsoft.com/en-us/help/13853/windows-lifecycle-fact-sheet
Docs
Lifecycle FAQ - Windows
Answers to frequently asked questions about the lifecycle policy for Windows products.
Удалённое выполнение кода в Windows Graphics Device Interface (GDI). Успех эксплуатации гарантирует захват системы, что позволит манипулировать данными, управлять / устанавливать софт, создавать пользователей...
Сценариев эксплуатации два:
- через web
- через файл-шары
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0881
Сценариев эксплуатации два:
- через web
- через файл-шары
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0881
З@ебал этот коронавирус
Anonymous Poll
55%
да
6%
нет
6%
шта?
9%
я “лечусь” дома
23%
да ну вас в топку с этим вирусом
Windows Defender пропускает файлы во время сканирования, даже если не настроены исключения. Проблема существует с середины марта.
Напомню, что Defender скоро будет для Linux, Android и iOS, крайне рекомендую задуматься перед использованием этого ПО...
https://borncity.com/win/2020/03/21/windows-10-defender-skips-elements-during-scan/
Напомню, что Defender скоро будет для Linux, Android и iOS, крайне рекомендую задуматься перед использованием этого ПО...
https://borncity.com/win/2020/03/21/windows-10-defender-skips-elements-during-scan/
Chromium объявил паузу в расписании своих релизов ну и новый Осел (Edge) тоже.
Обновления выпускаться будут, релизов пока не будет.
Информация о постановке на паузу Chromium релиза (ну всего based on тоже получается)
https://blog.chromium.org/2020/03/upcoming-chrome-releases.html
Новость из MS блога:
https://blogs.windows.com/msedgedev/2020/03/20/update-stable-channel-releases/
Обновления выпускаться будут, релизов пока не будет.
Информация о постановке на паузу Chromium релиза (ну всего based on тоже получается)
https://blog.chromium.org/2020/03/upcoming-chrome-releases.html
Новость из MS блога:
https://blogs.windows.com/msedgedev/2020/03/20/update-stable-channel-releases/
Chromium Blog
Upcoming Chrome releases
Cross-posted from the Chrome Releases Blog Due to adjusted work schedules at this time, we are pausing upcoming Chrome and Chrome OS relea...
Удаленка, митинги, у кого что, у некоторых ZOOM... Какие данные он собирает помимо вашей активности в нем (активности во время митинга, свернули окно зума, изменили фокус и тп) - идентификаторы устройства, IP адреса, регистрационные данные, должность, работодателя, телефон, почта.
С одной стороны понятно, если зарегистрирован или подключен, то в том или ином виде эти данные так или иначе будут собираться, вишенкой является их пункт в политике конфиденциальности, они этими данными делятся с третьими лицами, вот так вот:
https://protonmail.com/blog/zoom-privacy-issues/
За ссылку спасибо @ldviolet
С одной стороны понятно, если зарегистрирован или подключен, то в том или ином виде эти данные так или иначе будут собираться, вишенкой является их пункт в политике конфиденциальности, они этими данными делятся с третьими лицами, вот так вот:
https://protonmail.com/blog/zoom-privacy-issues/
За ссылку спасибо @ldviolet
Proton
Using Zoom? Here are the privacy issues you need to be aware of | Proton
If you’re using Zoom while working from home, you should be aware of Zoom's privacy policies, including its “attention tracking” tool.
The Kubelet has been found to be vulnerable to a denial of service attack via the kubelet API:
- https://github.com/kubernetes/kubernetes/issues/89377
- https://github.com/kubernetes/kubernetes/issues/89378
За ссылки спасибо @ldviolet
- https://github.com/kubernetes/kubernetes/issues/89377
- https://github.com/kubernetes/kubernetes/issues/89378
За ссылки спасибо @ldviolet
GitHub
CVE-2020-8551: Kubelet DoS via API · Issue #89377 · kubernetes/kubernetes
CVSS Rating: CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L (Medium) The Kubelet has been found to be vulnerable to a denial of service attack via the kubelet API, including the unauthenticated HTTP ...
Две уязвимости удаленного выполнения кода в Microsoft Windows, где библиотека Windows Adobe Type Manager неправильно обрабатывает специально созданный шрифт-формат Adobe Type 1 PostScript
Злоумышленник может воспользоваться этой уязвимостью несколькими способами, например убедить пользователя открыть специально созданный документ или просмотреть его на панели предварительного просмотра Windows
"панели предварительного просмотра Windows" - Карл!
Подвержены почти все релизы Windows:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv200006#ID0EMGAC
За ссылку спасибо @ldviolet
Злоумышленник может воспользоваться этой уязвимостью несколькими способами, например убедить пользователя открыть специально созданный документ или просмотреть его на панели предварительного просмотра Windows
"панели предварительного просмотра Windows" - Карл!
Подвержены почти все релизы Windows:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv200006#ID0EMGAC
За ссылку спасибо @ldviolet
TeamViewer на какое-то время прекаращет проверку коммерческого использования, со слов The Register (ссылка ниже) после запроса на сброс ID, его якобы можно будет безлимитно использовать
Запрос на сброс ID здесь:
https://www.teamviewer.com/en/reset/
The Register:
https://www.theregister.co.uk/2020/03/23/freebie_teamviewer_to_stop_checking/
Запрос на сброс ID здесь:
https://www.teamviewer.com/en/reset/
The Register:
https://www.theregister.co.uk/2020/03/23/freebie_teamviewer_to_stop_checking/
TeamViewer
Reset Management - TeamViewer
In het geval dat er ten onrechte commercieel gebruik is gevonden op uw TeamViewer ID, helpen wij u met het heractiveringsproces.
Интересная уязвимость в плагине резервного копирования WordPress.
Любой пользователь CMS в не зависимости от привилегий, может добавить удалённое хранилище для резервных копий... Т.е весь сайтец можно попросту слить при следующем запуске задания на создание резервной копии
https://www.webarxsecurity.com/vulnerability-in-wpvivid-backup-plugin-can-lead-to-database-leak/
Любой пользователь CMS в не зависимости от привилегий, может добавить удалённое хранилище для резервных копий... Т.е весь сайтец можно попросту слить при следующем запуске задания на создание резервной копии
https://www.webarxsecurity.com/vulnerability-in-wpvivid-backup-plugin-can-lead-to-database-leak/
Исследование нескольких недавних эксплоитов - Cisco, Citrix, Zoho + прогноз эксплуатации найденных уязвимостей:
https://www.fireeye.com/blog/threat-research/2020/03/apt41-initiates-global-intrusion-campaign-using-multiple-exploits.html
https://www.fireeye.com/blog/threat-research/2020/03/apt41-initiates-global-intrusion-campaign-using-multiple-exploits.html
Google Cloud Blog
APT41 Initiates Intrusion Campaign Using Multiple Exploits | Google Cloud Blog
Mandiant has observed APT41 attempt to exploit vulnerabilities in Citrix NetScaler/ADC
MS пофиксил баг в Defender (который пропускал файлы при сканироании), НО осадок остался:
https://support.microsoft.com/en-us/help/4052623/update-for-windows-defender-antimalware-platform
https://support.microsoft.com/en-us/help/4052623/update-for-windows-defender-antimalware-platform
Docs
Microsoft Defender Antivirus security intelligence and product updates - Microsoft Defender for Endpoint
Manage how Microsoft Defender Antivirus receives protection and product updates.
Apple выпустили серию патчей безопасности для iOS, macOS (Catalina 10.15.4, Mojave, High Sierra), Safari, iTunes, iCloud, xCode
https://www.us-cert.gov/ncas/current-activity/2020/03/25/apple-releases-security-updates
https://www.us-cert.gov/ncas/current-activity/2020/03/25/apple-releases-security-updates
Фейковый апдейт браузера с ломаных WordPress сайтов
JavaScript, встроенный в код взломанных страниц, перенаправляет посетителей на фишинговый сайт, где им предлагается установить важное обновление для браузера Chrome. Загружаемый файл-это установщик вредоносных программ (кейлоггер, стилер, троян), все это дело позволяет злоумышленникам удаленно получать доступ / управлять компьютерами
https://news.drweb.com/show/?i=13746
JavaScript, встроенный в код взломанных страниц, перенаправляет посетителей на фишинговый сайт, где им предлагается установить важное обновление для браузера Chrome. Загружаемый файл-это установщик вредоносных программ (кейлоггер, стилер, троян), все это дело позволяет злоумышленникам удаленно получать доступ / управлять компьютерами
https://news.drweb.com/show/?i=13746
Dr.Web
Cybercriminals spread dangerous backdoor as Google Chrome update
Doctor Web virus analysts report that certain websites, from online news blogs to corporate pages created using WordPress CMS, have been compromised. The JavaScript noscript embedded in the hacked pages code redirects visitors to a phishing site where they…
Уязвимость обхода VPN в Apple iOS
Уязвимость iOS версии 13.4 - не позволяет шифровать весь VPN трафик
Как правило, при подключении к виртуальной частной сети (VPN) операционная система устройства закрывает все существующие подключения к Интернету, а затем повторно устанавливает их через VPN-туннель. Собственно в iOS указанной версии (и предыдущей) этого не происходит:
https://protonvpn.com/blog/apple-ios-vulnerability-disclosure/
Уязвимость iOS версии 13.4 - не позволяет шифровать весь VPN трафик
Как правило, при подключении к виртуальной частной сети (VPN) операционная система устройства закрывает все существующие подключения к Интернету, а затем повторно устанавливает их через VPN-туннель. Собственно в iOS указанной версии (и предыдущей) этого не происходит:
https://protonvpn.com/blog/apple-ios-vulnerability-disclosure/
Proton VPN
VPN bypass vulnerability in Apple iOS
We discovered a security vulnerability in Apple’s iOS that causes connections to remain unencrypted even after connecting to VPN.
Вышел фикс для дисков с "багом" в 40к часов:
https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=a00097382en_us
P.S. недавно обнаружилась проблема в SSD-накопителях HPE, приводящая к потере данных через 40000 часов
https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=a00097382en_us
P.S. недавно обнаружилась проблема в SSD-накопителях HPE, приводящая к потере данных через 40000 часов
https://www.eccouncil.org/free-cybersecurity-resources/ судя по сообщению есть бесплатные для всех материалы, судя по списку, материалы довольно достойные
За ссылку спасибо EI
За ссылку спасибо EI
Cybersecurity Exchange
Cybersecurity Exchange | Cybersecurity Courses, Training & Certification | EC-Council
Gain exclusive access to cybersecurity news, articles, press releases, research, surveys, expert insights and all other things related to information security.
Вообще в Linux 5.6 куча всего нового и полезного помимо WG, Multipath и Amazon Echo :)
https://www.phoronix.com/scan.php?page=article&item=linux-56-features&num=1
https://www.phoronix.com/scan.php?page=article&item=linux-56-features&num=1
Phoronix
Linux 5.6 Is The Most Exciting Kernel In Years With So Many New Features
The Linux 5.6 merge window is anticipated to be ending today followed by the Linux 5.6-rc1 test release.