Вышел Kali Linux для четвертой малинки:
https://www.kali.org/news/raspberry-pi-4-and-kali/

Zoom выпустили патч для своего зеродея о котором на днях была публикация здесь в канале, описание здесь:
https://blog.zoom.us/wordpress/2019/07/08/response-to-video-on-concern/

Злоумышленник, имеющий доступ к системе, в которой работает инструмент Intel Processor Diagnostic Tool может воспользоваться уязвимостью, чтобы повысить привилегии или вызвать отказ в обслуживании (DoS) или допустить раскрытие информации:

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00268.html

Похожее рядом, но уже для Intel SSD:
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00267.html

Гугл пишет голосовое аудио пользователей, данные утекли в сеть, но этого больше не повторится:

https://www.blog.google/products/assistant/more-information-about-our-processes-safeguard-speech-data/

Еще один ресурс, который содержит базы данных утекших паролей / учетных записей / номеров телефонов + еще пару пунктов, в общем позволяет прочекать оные:
https://weleakinfo.com/

UP по словам организаторов ресурса у них даже есть данные 33млн пользователей ЖЖ

Новая соц. сеть от гугла на стадии тестирования. После "подставы" с Google+ как-то сомнительно юзать новые социальные эксперименты от "корпорации добра", но если кому интересно, то вот линка - https://shoelace.nyc/

Мда уж… Не зря им впаяли штраф в 5 миллиардов:
https://www.anti-malware.ru/news/2019-07-15-1447/30159

Исследование Symantec выявило уязвимость Media File Jacking, затрагивающую WhatsApp и Telegram для Android

https://www.symantec.com/blogs/expert-perspectives/symantec-mobile-threat-defense-attackers-can-manipulate-your-whatsapp-and-telegram-media

MiTM app iOS:
https://blog.trendmicro.com/trendlabs-security-intelligence/ios-url-scheme-susceptible-to-hijacking/

Уязвимость позволяющая скомпрометировать устройства Lenovo NAS, описание и заплатка здесь:

https://support.lenovo.com/de/en/solutions/len-24224

Microsoft заявляет, что устройства Windows 10 версии 1803 перестанут поддерживаться к концу года т.е. ставь июльское обновление и точка, так что-ли получается?))

https://docs.microsoft.com/en-us/windows/release-information/status-windows-10-1903

Просто огонь, статья от моего друга про то что такое MiTM и не только:

https://thatskriptkid.github.io/

Слушать и подменять трафик хорошая возможность для потенциальных манипуляций с трафиком пользователей, типичная реализация схемы MiTM. В КЗ активно внедряют единый сертификат с целью защиты от хакеров, что не мешает митмить трафф, такой сценарий может быть реализован в любой стране. Народ в растерянности. Кто в растерянности, не суетитесь, как оказывается не совсем должны устанавливать, но есть таковая возможность:
1. https://forbes.kz/process/technologies/obyazanyi_dlya_kazahstantsyi_ustanavlivat_sertifikat_bezopasnosti_na_smartfonyi/
2. https://tengrinews.kz/kazakhstan_news/mojete-ustanavlivat-vitse-ministr-sertifikate-bezopasnosti-374265/
3. Про обязательства об установке https://tengrinews.kz/internet/spetsialnyiy-sertifikat-poprosili-ustanovit-smartfonyi-374216

Просто положу это сюда:
1. https://bugzilla.mozilla.org/show_bug.cgi?id=1567114

2. https://vulners.com/thn/THN:9C451869D6D82B209A22C2E5F247FEE0

Малварь, которая выдаёт себя как расширение Gnome, которая может и делает скриншоты, собирает аудио с микрофона, ворует локальные файлы...

В статье описано как работает, устанавливается, как искать данную малварь:

https://www.intezer.com/blog-evilgnome-rare-malware-spying-on-linux-desktop-users/

ProFTPd найдены уязвимости, которые могут поставить сервер под угрозу:
https://tbspace.de/cve201912815proftpd.html

Еще больше слежки от Яндекса, теперь в копилку “знаний” поступил патент на отслеживание доходов юзеров:
https://iz.ru/899845/anna-ivushkina/schitaiut-vashi-denezhki-iandeks-nashel-sposob-sledit-za-dokhodami-iuzerov

Бэкдор БиллГейтс превращает Elasticsearch сервера в зомби которые используются для DDoS атак. Цепочка заражения, какие CVE используются, все здесь:
https://blog.trendmicro.com/trendlabs-security-intelligence/multistage-attack-delivers-billgates-setag-backdoor-can-turn-elasticsearch-databases-into-ddos-botnet-zombies/

Завтра должна выйти заплатка для Exim, которая закрывает уязвимость позволяющую удаленно выполнять код с правами root.

Ждем:
https://lists.exim.org/lurker/message/20190722.100246.84e0d382.en.html

P.S. Деталей по CVE не много, ссылка ниже:
https://www.securityfocus.com/bid/109338

Критикал. В VLC обнаружена уязвимость, некоторые издания рекомендуют удалить этот плеер, так как непонятен статус заплатки. Это уже не в первый раз - в VLC находят такого рода баги.

Если кратко

Злоумышленник может запускать код, создавать DDoS сервисы, раскрывать информацию, манипулировать файлами:

https://www.cert-bund.de/advisoryshort/CB-K19-0634

up
Разработчики говорят не уязвим - https://twitter.com/videolan/status/1153963312981389312
За ссылку спасибо @vbrodskyi

Ожидаемо, но все же неожиданно:
http://www.opennet.ru/opennews/art.shtml?num=51165