На портале отправки счёт-фактур Google обнаружена уязвимость, позволяющая получить доступ к счетам-фактурам и другой конфиденциальной информации.
Отличный рассказ от первого лица:
https://appio.dev/vulns/googleplex-com-blind-xss/
Отличный рассказ от первого лица:
https://appio.dev/vulns/googleplex-com-blind-xss/
Web Security Blog
XSSing Google Employees — Blind XSS on googleplex.com - Web Security Blog
A write-up about how it was possible to execute a blind XSS on behalf of a Google Employee and get access to Google's invoices.
Обновления безопасности Mozilla, выпущенные буквально на днях устраняют уязвимости почтовых клиентов Thunderbird, которые могут быть использованы для выполнения произвольного кода, кражи данных пользователей, банально к краху приложения. Под каждые платформы свой набор уязвимостей:
https://www.mozilla.org/en-US/security/advisories/mfsa2019-17/
https://www.mozilla.org/en-US/security/advisories/mfsa2019-15/
Кто не обновился - обновляемся.
https://www.mozilla.org/en-US/security/advisories/mfsa2019-17/
https://www.mozilla.org/en-US/security/advisories/mfsa2019-15/
Кто не обновился - обновляемся.
Mozilla
Security vulnerabilities fixed in Thunderbird 60.7.1
Уязвимости в ядре Linux делают возможным удаленные DoS-атаки
По этому поводу Red Hat опубликовал описание проблем:
https://access.redhat.com/security/vulnerabilities/tcpsack
Netflix:
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md
AWS:
https://aws.amazon.com/security/security-bulletins/AWS-2019-005/
Аналогичные нотации были выпущены для Ubuntu:
https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SACKPanic
Debian:
https://security-tracker.debian.org/tracker/CVE-2019-11477
Arch:
https://security.archlinux.org/AVG-983
По этому поводу Red Hat опубликовал описание проблем:
https://access.redhat.com/security/vulnerabilities/tcpsack
Netflix:
https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md
AWS:
https://aws.amazon.com/security/security-bulletins/AWS-2019-005/
Аналогичные нотации были выпущены для Ubuntu:
https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SACKPanic
Debian:
https://security-tracker.debian.org/tracker/CVE-2019-11477
Arch:
https://security.archlinux.org/AVG-983
Red Hat Customer Portal
TCP SACK PANIC - Kernel vulnerabilities - CVE-2019-11477, CVE-2019-11478 & CVE-2019-11479 | Red Hat Customer Portal
Access Red Hat’s knowledge, guidance, and support through your subnoscription.
Cloudflare объявила о выпуске бесплатного API, предназначенного для того, чтобы центры сертификации могли выпускать сертификаты, гарантируя, что злоумышленники не смогут завершить процесс контрольной проверки домена с помощью атак BGP / атак DNS спуфинга
https://blog.cloudflare.com/secure-certificate-issuance/
https://blog.cloudflare.com/secure-certificate-issuance/
The Cloudflare Blog
Securing Certificate Issuance using Multipath Domain Control Validation
PKI grants servers the ability to securely serve websites by issuing digital certificates, providing the foundation for encrypted and authentic communication.
Не успел выйти новый Firefox и тут же прилетел критикал зеро-дей:
https://www.mozilla.org/en-US/security/advisories/mfsa2019-18/
https://www.mozilla.org/en-US/security/advisories/mfsa2019-18/
Mozilla
Security vulnerabilities fixed in Firefox 67.0.3 and Firefox ESR 60.7.1
Малварь под Android, обходящая 2fa, большой такой ресерч оной:
https://www.welivesecurity.com/2019/06/17/malware-google-permissions-2fa-bypass/
https://www.welivesecurity.com/2019/06/17/malware-google-permissions-2fa-bypass/
WeLiveSecurity
Malware sidesteps Google permissions policy with new 2FA bypass technique
ESET analysis shows a new technique whereby malware creators hurdle two-factor authentication while circumventing Google’s SMS permissions restrictions.
Мой друг, автор множества полезных ботов включая всем известный @mailsearchbot (поиск паролей к искомым email'ам) ведет свой канал, не стесняемся, заходим, подписываемся:
https://news.1rj.ru/str/b4tr_channel
https://news.1rj.ru/str/b4tr_channel
Искусственный интеллект в образе коуч-тренера от Microsoft, будет помогать с репетицией выступления под презентацию из PowerPoint.
https://www.microsoft.com/en-us/microsoft-365/blog/2019/06/18/powerpoint-ai-upgrade-designer-major-milestone-1-billion-slides/
https://www.microsoft.com/en-us/microsoft-365/blog/2019/06/18/powerpoint-ai-upgrade-designer-major-milestone-1-billion-slides/
Microsoft 365 Blog
PowerPoint AI gets an upgrade and Designer surpasses a major milestone of 1 billion slides
We’re excited to announce a major milestone in PowerPoint Designer usage, new Designer capabilities, and that our AI effort is moving beyond Designer with our new Presenter Coach.
Samba - Пользователь с доступом для чтения к серверу LDAP может аварийно завершить работу LDAP
https://www.samba.org/samba/security/CVE-2019-12436.html
https://www.samba.org/samba/security/CVE-2019-12436.html
В MongoDB 4.2 добавилась возможность шифрования на уровне поля:
Оригинальный пост:
https://www.mongodb.com/press/mongodb-42-adds-distributed-transactions-field-level-encryption-updated-kubernetes-operator-and-more-to-the-leading-modern-general-purpose-database
На русском:
https://www.securitylab.ru/news/499530.php
Оригинальный пост:
https://www.mongodb.com/press/mongodb-42-adds-distributed-transactions-field-level-encryption-updated-kubernetes-operator-and-more-to-the-leading-modern-general-purpose-database
На русском:
https://www.securitylab.ru/news/499530.php
MongoDB
MongoDB 4.2 Adds Distributed Transactions, Field Level Encryption, Updated Kubernetes Operator And More To The Leading, Modern…
В Outlook для Android обнаружена уязвимость
Цитата от Microsoft:
Атакующий, успешно проэксплуатировавший уязвимость, может осуществить XSS-атаку и запустить скрипт в контексте текущего пользователя
Детали на официальном сайте MS:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1105
Цитата от Microsoft:
Атакующий, успешно проэксплуатировавший уязвимость, может осуществить XSS-атаку и запустить скрипт в контексте текущего пользователя
Детали на официальном сайте MS:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1105
Windows Terminal получил возможность работы со вкладками в которых можно запускать разные типы консолей (cmd, wsl, powershell), консоли можно преднастраивать при помощи конфигурационных json файлов. Статус у проекта пока preview, терминал можно установить из ms store в Windows 10 версии 1903 и в сборке 18362.0 или выше.
Ссылка на загрузку присутствует в официальной репе проекта:
https://github.com/microsoft/terminal
Ссылка на загрузку присутствует в официальной репе проекта:
https://github.com/microsoft/terminal
GitHub
GitHub - microsoft/terminal: The new Windows Terminal and the original Windows console host, all in the same place!
The new Windows Terminal and the original Windows console host, all in the same place! - microsoft/terminal
На днях была опубликована cve на тему выхода из песочницы в Firefox, которая позволяет выполнить произвольный код на компьютере жертвы, уязвимости безопасности исправлены в Firefox 67.0.4 и Firefox ESR 60.7.2 а так-же всех Firefox based браузерах (по большому счету), например в Tor браузере:
https://www.mozilla.org/en-US/security/advisories/mfsa2019-19/
https://www.mozilla.org/en-US/security/advisories/mfsa2019-19/
Mozilla
Security vulnerabilities fixed in Firefox 67.0.4 and Firefox ESR 60.7.2
В Cloudflare произошел массовый сбой, что привело к недоступности web ресурсов использующих этот сервис.
Говорят проблема была в неправильных настройках на сетевом уровене...
https://www.cloudflarestatus.com/incidents/46z55mdhg0t5
Говорят проблема была в неправильных настройках на сетевом уровене...
https://www.cloudflarestatus.com/incidents/46z55mdhg0t5
Cloudflarestatus
Route Leak Impacting Cloudflare
Cloudflare's Status Page - Route Leak Impacting Cloudflare.
AWS запустил VPC Traffic Mirroring, если кратко:
- Обнаружение аномалий сети и безопасности
- Видимость и контроль сети
- Внедрение соответствия и контроля безопасности
- Зеркалирование трафика VPC
- Перехват сетевого трафика
Серьезно так подошли:
https://aws.amazon.com/blogs/aws/new-vpc-traffic-mirroring/
- Обнаружение аномалий сети и безопасности
- Видимость и контроль сети
- Внедрение соответствия и контроля безопасности
- Зеркалирование трафика VPC
- Перехват сетевого трафика
Серьезно так подошли:
https://aws.amazon.com/blogs/aws/new-vpc-traffic-mirroring/
Amazon
New – VPC Traffic Mirroring – Capture & Inspect Network Traffic | Amazon Web Services
Running a complex network is not an easy job. In addition to simply keeping it up and running, you need to keep an ever-watchful eye out for unusual traffic patterns or content that could signify a network intrusion, a compromised instance, or some other…
Cisco Critical CVE - Удаленное выполнение кода, загрузка файлов:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190626-dcnm-codex
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190626-dcnm-codex
Cisco
Cisco Security Advisory: Cisco Data Center Network Manager Arbitrary File Upload and Remote Code Execution Vulnerability
A vulnerability in the web-based management interface of Cisco Data Center Network Manager (DCNM) could allow an unauthenticated, remote attacker to upload arbitrary files on an affected device.
The vulnerability is due to incorrect permission settings in…
The vulnerability is due to incorrect permission settings in…
Попробовал, довольно шустро работает, а адресная строка снизу:
http://www.opennet.ru/opennews/art.shtml?num=50982
http://www.opennet.ru/opennews/art.shtml?num=50982
www.opennet.ru
Первый выпуск нового браузера Firefox Preview для Android
Компания Mozilla представила первый пробный выпуск браузера Firefox Preview, развиваемого под кодовым именем Fenix и нацеленного на начальное тестирование заинтересованными энтузиастами. Выпуск распространяется через каталог Google Play (для работы необходим…
Опять во всем виноваты хакеры. То они вмешиваются в выборы, то они внедряются в Яндекс и начинают следить за пользователями...
А что, порой очень удобно списывать свою некомпетентность и факапность на хакеров 😄
Хороший контент на английском:
https://www.reuters.com/article/us-usa-cyber-yandex-exclusive-idUSKCN1TS2SX
В русскоязычной СМИ, по скуднее описано, но тоже читабельно:
https://www.anti-malware.ru/news/2019-06-28-1447/30025
А что, порой очень удобно списывать свою некомпетентность и факапность на хакеров 😄
Хороший контент на английском:
https://www.reuters.com/article/us-usa-cyber-yandex-exclusive-idUSKCN1TS2SX
В русскоязычной СМИ, по скуднее описано, но тоже читабельно:
https://www.anti-malware.ru/news/2019-06-28-1447/30025
Reuters
Reuters | Breaking International News & Views
Find latest news from every corner of the globe at Reuters.com, your online source for breaking international news coverage.