Microsoft признала прослушку запросов к помощнику Cortana и разговоров через Skype Translator.
https://www.vice.com/en_us/article/qvgpkv/microsoft-updates-privacy-policy-admits-humans-listen-to-cortana-skype
https://www.vice.com/en_us/article/qvgpkv/microsoft-updates-privacy-policy-admits-humans-listen-to-cortana-skype
VICE
Microsoft Admits Humans Listen to Skype and Cortana in Privacy Policy Update
The change comes after Motherboard found that Microsoft hired contractors to listen to some Skype phone calls.
📌В Firefox исправили уязвимость обхода мастер-пароля.
Эксплуатация уязвимости (CVE-2019-11733) позволяет злоумышленнику копировать пароли в «сохраненных учетных данных» без ввода мастер-пароля.
После установки мастер-пароля необходимо ввести его, прежде чем к паролям можно будет получить доступ в диалоговом окне «сохраненные учетные данные». Но злоумышленник способен копировать локальные данные в буфер обмена с помощью пункта контекстного меню «копировать пароль» без предварительного ввода мастер-пароля.
Разработчики рекомендуют пользователям Firefox обновить браузер до версии 68.0.2 (https://www.mozilla.org/en-US/firefox/68.0.2/releasenotes/) в целях безопасности.
Эксплуатация уязвимости (CVE-2019-11733) позволяет злоумышленнику копировать пароли в «сохраненных учетных данных» без ввода мастер-пароля.
После установки мастер-пароля необходимо ввести его, прежде чем к паролям можно будет получить доступ в диалоговом окне «сохраненные учетные данные». Но злоумышленник способен копировать локальные данные в буфер обмена с помощью пункта контекстного меню «копировать пароль» без предварительного ввода мастер-пароля.
Разработчики рекомендуют пользователям Firefox обновить браузер до версии 68.0.2 (https://www.mozilla.org/en-US/firefox/68.0.2/releasenotes/) в целях безопасности.
Товарищ майор хочет добавить вас в друзья.
«Одноклассники» запустили функцию поиска и добавления друзей с помощью фотографии. Чтобы добавить нового друга в соцсети, можно снять его на камеру и соцсеть найдет его страницу сама. При этом профиль и имя друга можно будет увидеть только после подтверждения заявки с его стороны.
https://insideok.ru/blog/odnoklassniki-pervimi-iz-socsetey-zapustili-dobavlenie-druzey-po-fotografii
«Одноклассники» запустили функцию поиска и добавления друзей с помощью фотографии. Чтобы добавить нового друга в соцсети, можно снять его на камеру и соцсеть найдет его страницу сама. При этом профиль и имя друга можно будет увидеть только после подтверждения заявки с его стороны.
https://insideok.ru/blog/odnoklassniki-pervimi-iz-socsetey-zapustili-dobavlenie-druzey-po-fotografii
This media is not supported in your browser
VIEW IN TELEGRAM
Тут нужен священник.
This media is not supported in your browser
VIEW IN TELEGRAM
Потом ты тонешь, потому что не понимаешь что добрался до конца. А вообще, конечно круто.
В Webmin исправлена критическая уязвимость.
В Webmin, популярном решении для системного администрирования Unix-систем (таких как Linux, FreeBSD или OpenBSD) был обнаружен бэкдор. При этом проблемные сборки версий от 1.882 до 1.921 были доступны для загрузки через официальный сайт и Sourceforge более года. GitHub проблема не коснулась.
Впервые о проблеме стало известно 10 августа нынешнего года на конференции DEF CON. Исследователь безопасности Ёзкан Мустафа Аккуш (Özkan Mustafa Akkuş) рассказал о ней во время своего выступления, предварительно не уведомив разработчиков Webmin. Разработчикам стало известно о проблеме только 17 августа, когда они увидели обсуждение уязвимости в Сети. Идентификатор CVE (CVE-2019-15107) был присвоен ей 15 августа.
Уязвимость позволяет внедрять команды до прохождения аутентификации. Проблема связана с использованием qx// в одном из вызовов функции &unix_crypt (строка password_change.cgi:). Поскольку qx// равнозначен открывающим кавычкам в Perl, все данные в // будут запускаться в оболочке.
Уязвимость существует только при определенных настройках конфигурации ПО на Perl – если политики истечения срока действия пароля Webmin -> Webmin Configuration -> Authentication -> Password установлены на Prompt users with expired passwords to enter a new one («подсказывать пользователю с истекшим паролем ввести новый»). Эта опция не установлена по умолчанию, но в случае, если пользователь сам ее установил, возможно удаленное выполнение кода.
Итог: Бэкдор был обнаружен в версиях от 1.882 до 1.921, распространявшихся через официальный сайт и Sourceforge. 18 августа 2019 года разработчики Webmin представили версию 1.930, удаляющую бэкдор. Всем пользователем рекомендовано обновиться как можно скорее. Те, кто работает с версиями от 1.900 до 1.920, также могут открыть /etc/webmin/miniserv.conf, удалить строку passwd_mode= line, а затем запустить /etc/webmin/restart.
https://thehackernews.com/2019/08/webmin-vulnerability-hacking.html
В Webmin, популярном решении для системного администрирования Unix-систем (таких как Linux, FreeBSD или OpenBSD) был обнаружен бэкдор. При этом проблемные сборки версий от 1.882 до 1.921 были доступны для загрузки через официальный сайт и Sourceforge более года. GitHub проблема не коснулась.
Впервые о проблеме стало известно 10 августа нынешнего года на конференции DEF CON. Исследователь безопасности Ёзкан Мустафа Аккуш (Özkan Mustafa Akkuş) рассказал о ней во время своего выступления, предварительно не уведомив разработчиков Webmin. Разработчикам стало известно о проблеме только 17 августа, когда они увидели обсуждение уязвимости в Сети. Идентификатор CVE (CVE-2019-15107) был присвоен ей 15 августа.
Уязвимость позволяет внедрять команды до прохождения аутентификации. Проблема связана с использованием qx// в одном из вызовов функции &unix_crypt (строка password_change.cgi:). Поскольку qx// равнозначен открывающим кавычкам в Perl, все данные в // будут запускаться в оболочке.
Уязвимость существует только при определенных настройках конфигурации ПО на Perl – если политики истечения срока действия пароля Webmin -> Webmin Configuration -> Authentication -> Password установлены на Prompt users with expired passwords to enter a new one («подсказывать пользователю с истекшим паролем ввести новый»). Эта опция не установлена по умолчанию, но в случае, если пользователь сам ее установил, возможно удаленное выполнение кода.
Итог: Бэкдор был обнаружен в версиях от 1.882 до 1.921, распространявшихся через официальный сайт и Sourceforge. 18 августа 2019 года разработчики Webmin представили версию 1.930, удаляющую бэкдор. Всем пользователем рекомендовано обновиться как можно скорее. Те, кто работает с версиями от 1.900 до 1.920, также могут открыть /etc/webmin/miniserv.conf, удалить строку passwd_mode= line, а затем запустить /etc/webmin/restart.
https://thehackernews.com/2019/08/webmin-vulnerability-hacking.html