Apple исправляет две уязвимости нулевого дня, которые уже эксплуатируют злоумышленники

Компания Apple выпустила обновления безопасности для iOS, iPadOS, macOS, visionOS и своего веб-браузера Safari, где устраняет две активно эксплуатируемые уязвимости нулевого дня.

Первый недостаток отслеживается как CVE-2024-44308 и представляет собой ошибку в JavaScriptCore, которая может привести к выполнению произвольного кода при обработке вредоносного веб-контента.

Второй, CVE-2024-44309, связан с управлением файлами cookie в WebKit и может привести к атаке с использованием межсайтового скриптинга (XSS) при обработке вредоносного веб-контента.

Компания обе уязвимости, улучшив проверки и управление состоянием соответственно.

Apple не вдается в подробности и характере атак с использованием данных недостатков, однако упомянула, что уязвимости могли активно эксплуатироваться на системах Mac на базе Intel. Возможно, что с помощью этих недостатков могли быть организованы целевые атаки с использованием шпионского ПО.

Обновления доступны для следующих операционных систем: iOS 18.1.1 и iPadOS 18.1.1, iOS 17.7.2 и iPadOS 17.7, macOS Sequoia 15.1.1, visionOS 2.1.1 и Safari 18.1.1. Пользователям рекомендуется как можно скорее обновить свои устройства до безопасной версии.

Источник: https://support.apple.com/en-us/121753

#уязвимости

#MLSecOps
#Infosec_Standards
NIST SP 800-218A:
"Secure Software Development Practices for Generative AI and Dual-Use Foundation Models", July 2024.

Верим?

В сети гуляет интересный слайд. Кажется у нас появился метод выявления ботов ИИ )))

Я тебя найду и позвоню

Вышла очень важная статья на Хабре о торговле за копейки нашими данным.

Не об утечках! О легальных сервисах позволяющих за 1 звонок без снятия трубки раскрыть данные о ваших перемещениях, посещаемые сайты и метаданные ваших телефонных переговоров!

Очень прошу помочь с репостами, такой легальный пробив не должен существовать.

Как спрятать любые данные в PNG / Хабр
https://habr.com/ru/articles/861932/

https://www.fuzzmyapp.com/

Интересный ресурс...

Но этот, лучше

https://fuzzinglabs.com/security-trainings/

Главное есть про WebAssembly. Что это? Это Wasm. То, что должно быть мэйнстримом в скором времени (как обещает Google), а это - Бинарь. Который выполняется на уровне пользователя с помощью Браузера. А там где бинарь - там уязвимости (с).

Проверка файлов на вирусы / вредоносный код
https://www.virustotal.com/gui - анализа подозрительных файлов и ссылок (+60 антивирусных движков).
https://virustest.gov.ru - национальный Мультисканер.
https://virusdesk.kaspersky.ru - анализ файла в Лаборатории Касперского.
https://vms.drweb.ru/scan_file/ - проверить файл Dr.Web.
https://analyze.intezer.com - до 16MB анализирует файлы на вредоносы.
https://app.any.run - песочница для проверки на вредоносное ПО.
https://www.hybrid-analysis.com/?lang=ru - песочница от Crowdstrike.
https://malcat.fr/index.html - утилита для анализа вредоносного ПО.
https://antiscan.me - проверка на вирусы.
https://cuckoo.cert.ee - песочника для анализа файлов.
https://payload-wizard.vercel.app/ - анализ PayLoad c помощью GPT.

Источник: xpen

NIST обновил гайд по созданию надежных паролей

Национальный институт стандартов и технологий (NIST) в новых рекомендациях отбрасывает устаревшие практики по выбору паролей в пользу более эффективной защиты. Он выделяет шесть ключевых принципов, которыми должны руководствоваться пользователи.

1. Длина пароля превыше «сложности»
Очень часто длинные пароли оказываются весьма предсказуемыми и шаблонными. Пользователи, как правило, при смене начинают новый пароль с заглавной буквы (например, welcome456 становится Welcome456) или заканчивают цифрой или символом. Другая распространенная ошибка – поменять один символ (например, WelcomeToXYZCorp становится W3lcomeToXYZCorp). Визуально такой пароль кажется сложным, но с учетом того, как выглядел предшествующий, его легко взломать.

NIST рекомендует усилить длину пароля вместо его сложности, причем вместо случайной комбинации символов можно придумать длинную парольную фразу типа «llama-shoehorn-trumpet7», которую будет легко вспомнить самому пользователю, но сложно угадать злоумышленнику.

2. Надежность пароля возрастает вместе с его длиной. Тем, кто отдает приоритет максимальной безопасности, стоит установить кодовое слово размером до 64 символов.

3. Многофакторная аутентификация – обязательная мера защиты.

4. Необходимо избегать частой смены паролей. Не так давно NIST призывал отказаться этой меры, если нет доказательства взлома. Специалисты института уверены, что частая смена паролей часто приводит к ослаблению безопасности, поскольку пользователи прибегают к минимальным изменениям пароля.

5. Нельзя использовать уже взломанные пароли.

6. Подсказки для пароля и другие способы восстановления на основе знаний помогают не только самому пользователю, но и злоумышленнику. Как звали вашего первого питомца? Каким был ваш школьный талисман? Какова девичья фамилия вашей матери? Ответы на эти вопросы могут быть известны гораздо большему кругу лиц, чем кажется.

Источник: https://specopssoft.com/blog/nist-password-guidelines/

#пароли

ТГ

Интересное поведение Алисы. Противоречивый, но в тоже время очевидный вопрос: мужчина это женщина? Сначала модель начинает отвечать, о каком то фильме, а потом ответ резко прерывается и появляется следующее сообщение: