Социальные сети Рунета
Пятница, 29 марта 2024

HTB CrossFit. Раскручиваем сложную XSS, чтобы захватить хост Для подписчиковВ этой статье на примере «безумной» по уровню сложности машины CrossFit с площадки Hack The Box я покажу, как искать XSS на недоступных страницах сайта, сканировать домены через XSS, проводить разведку на машине с Linux, удаленно исполнять код, используя FTP, ...

Разработчики повторно исправили опасную RCE-уязвимость в vBulletin В сентябре 2019 года анонимный ИБ-исследователь обнаружил опасную уязвимость нулевого дня в форумном движке vBulletin. Баг позволял выполнить любую PHP-команду на удаленном сервере. Как оказалось, исправления для этой проблемы были неэффективны, и новые PoC-эксплоиты уже дос...

Отравленные документы. Как использовать самые опасные баги в Microsoft Office за последнее время Для подписчиковНепропатченный Office — по-прежнему бич корпоративной безопасности и путь на компьютер пользователя: человек открывает документ и сам дает преступнику (или пентестеру) рут на своем компьютере. В этой статье мы разберем несколько далеко не новых, но в свое врем...

Свежая 0-day уязвимость Zyxel влияет и на брандмауэры компании Критическая проблема нулевого дня, набравшая 10 баллов из 10 возможных по шкале оценки уязвимостей CVSS, оказалась опасна не только для NAS компании Zyxel.

Бинарная совместимость Reaktive: как мы её обеспечиваем Привет! Меня зовут Юрий Влад, я Android-разработчик в компании Badoo и принимаю участие в создании библиотеки Reaktive — Reactive Extensions на чистом Kotlin. Любая библиотека должна по возможности соблюдать бинарную совместимость. Если разные версии библиотеки в зависимостя...

Определены модели процессоров Intel с опасной уязвимостью Intel опубликовала список моделей процессоров, в которых была найдена опасная уязвимость, открывающая злоумышленникам доступ к кэш-памяти.

АНБ обнаружило опасную криптографическую уязвимость в Windows Агентство национальной безопасности США (АНБ) обнаружило криптографический баг, опасный для многих версий Windows. Уязвимость связана с Windows CryptoAPI.

[Из песочницы] Получение meterpreter сессии внутри NAT сети, с помощью Chrome и Pivot машины Вводная Всем привет, в этой статье я хочу поделиться своим опытом в эксплуатации уязвимости Chrome FileReader UAF, проведении техники pivoting, ну и написать свою первую статью конечно. Так как я являюсь начинающим Pentest инженером, то потратил на освоение и понимание этой...

ГК Angara помогла виджету JivoSite снизить риск атак Эксперты отдела анализа защищенности группы компаний Angara помогли распространенному виджету обратной связи с клиентом Jivosite устранить опасную уязвимость в своем ПО, позволяющую выполнить атаку Self DOM-based XSS.

NVIDIA исправила опасную уязвимость в GeForce Experience Windows-версия приложения NVIDIA GeForce Experience получила исправление для бага, с помощью которого локальный атакующий мог спровоцировать отказ в обслуживании, а также повысить свои привилегии в системе.

[Перевод] Введение в ELF-файлы в Linux: понимание и анализ Есть в мире вещи, которые мы принимаем как нечто само собой разумеющееся, хотя они являются истинными шедеврами. Одними из таких вещей являются утилиты Linux, такие, как ls и ps. Хотя они обычно воспринимаются как простые, это оказывается далеко не так, если мы заглянем внут...

Как подчинить конфиг. Учимся эксплуатировать новую уязвимость в PHP-FPM и Nginx Для подписчиковНедавно мои коллеги обнаружили опасную уязвимость в связке из Nginx и PHP-FPM, которая нередко встречается на веб-серверах. Созданный ими эксплоит позволяет изменить настройки PHP путем внедрения переменных окружения, а цепочка таких настроек приведет к удален...

Солнечный удар. Разбираем две опасные уязвимости в Apache Solr Для подписчиковНедавно исследователи нашли две крупные уязвимости в опенсорсной платформе полнотекстового поиска Apache Solr. Первый баг связан с некорректной обработкой шаблонов Velocity, второй кроется в модуле импорта баз данных. Эксплуатация любого из них приводит к удал...

В Windows найдена и уже исправлена чрезвычайно опасная уязвимость В операционной системе Windows была обнаружена критическая уязвимость, о нахождении которой сообщило АНБ США.Уязвимость была найдена в операционных системах Windows 10 и Windows Server 2016. О ее находке уже сообщили компании Microsoft, которая выпустила соответствующую запл...

AMD не считает найденные уязвимости опасными для пользователей Компания прокомментировала ситуацию с недавними вирусами.

В продуктах Citrix нашли опасную уязвимость Она может быть использовать для взлома корпоративных сетей.

Security Week 51: уязвимости в iOS и процессорах Intel 10 декабря компания Apple выпустила большой набор патчей для macOS, iOS (включая iPadOS) и watchOS. Пожалуй, наиболее опасным из закрытых багов была уязвимость в FaceTime, затрагивающая все мобильные устройства Apple начиная с iPhone 6s и iPad Air 2. Как и в случае с обнаруж...

Cross-Site WebSocket Hijacking. Разбираемся, как работает атака на WebSocket Для подписчиковВ этой статье мы разберем протокол WebSocket и подробно остановимся на уязвимости CSWSH — насколько она распространена в открытом интернете. Для тех, кто дочитает до конца, я приготовил бонус в виде утилиты cswsh-scanner, с помощью которой ты можешь проверить ...

В Windows-клиенте Zoom обнаружили 0-day уязвимость Специалисты компании Acros Security предупредили об опасном баге в приложении для видеоконференций Zoom. Уязвимость представляет угрозу для Windows 7, Windows Server 2008 R2, а также более ранних версий ОС.

Для 0-day уязвимостей в Windows появились временные патчи Специалисты Acros Security подготовили неофициальные патчи для опасных багов, обнаруженных недавно в Adobe Type Manager Library (atmfd.dll).

Более чем на миллиарде смартфонов нашли опасную уязвимость Специалисты по информационной безопасности компании ESET нашли опасную уязвимость более чем на миллиарде смартфонов. Это касается и Android, и iPhone.

В Firefox исправлена уязвимость нулевого дня, находящаяся под атаками Эксперты китайской компании Qihoo 360 обнаружили в браузере Firefox опасный 0-day баг, который уже эксплуатировали хакеры.

Опасная уязвимость в популярной библиотеке Sequelize Привет, Хабр! Данная статья будет интересна тем, кто уже использует библиотеку Sequelize или же только собирается с ней работать. Под катом мы расскажем, чем встроенный функционал operatorAliases может быть вреден и как избежать утечки из собственной базы данных. Читать да...

HackTheBox. Прохождение Intanse. Flask, атака HLE, SQL инъекция, SNMP to RCE, Ret2Libc Продолжаю публикацию решений, отправленных на дорешивание машин с площадки HackTheBox. В данной статье получаем секрет Flask с помощью SQL инъекции, проводим криптоатаку удлинения сообщения, получаем RCE с помощью SNMP, и эксплуатируем уязвимость переполнения буфера в при...

В vBulletin устранили опасную уязвимость Разработчики vBulletin призывают всех обновить свои установки как можно быстрее. В форумном движке исправили критическую уязвимость.

Уязвимость Ghostcat опасна для всех версий Apache Tomcat, вышедших за 13 лет Новая проблема позволяет злоумышленникам читать файлы и устанавливать бэкдоры на уязвимых серверах.

Уязвимости SweynTooth угрожают множеству продуктов с поддержкой BLE Группа исследователей из Сингапура выявила ряд опасных проблем в SDK для Bluetooth Low Energy (BLE), которые разрабатываются производителями SoC.

Hack The Box — прохождение Smasher2. Flask, WAF и LPE через pwn драйвера Данной статьей я начну публикацию решений отправленных на дорешивание машин с площадки HackTheBox. Надеюсь, что это поможет хоть кому-то развиваться в области ИБ. В данной статье мы пореверсим библиотеку для python, обойдем WAF и проэксплуатируем уязвимость mmap. Подключе...

Kaspersky Lab: ASUS заразил миллионы ноутбуков опасными вирусами Атаке подверглись более 600 пользователей. Причина была в уязвимости программного обеспечения для обновления драйверов. Источник

Google работает над “инкрементальной” файловой системой Incremental File System позволит запускать приложения еще во время загрузки бинарных файлов и ресурсов.

Hack The Box — прохождение Postman. Redis и WebMin Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox. Надеюсь, что это поможет хоть кому-то развиваться в области ИБ. В данной статье нам придется проэксплуатировать уязвимости в Redis и WebMin, а также подобрать пароль к зашифрованному ключу...

Потоковая передача колоночных данных с помощью Apache Arrow Перевод статьи подготовлен специально для студентов курса «Data Engineer». За последние несколько недель мы с Nong Li добавили в Apache Arrow бинарный потоковый формат, дополнив уже существующий формат файлов random access/IPC. У нас есть реализации на Java и C++ и привяз...

«Лаборатория Касперского»: уязвимостью нулевого дня Windows уже успели воспользоваться злоумышленники «Лаборатория Касперского» обнаружила уязвимость нулевого дня в ОС Windows, которую злоумышленники уже успели использовать во вредоносной операции WizardOpium. Программа-эксплойт для этой уязвимости позволяла организаторам атак повышать ...

В процессорах Intel найдена новая критическая уязвимость Процессоры Intel содержат множество опасных дыр

Найден способ взлома компьютеров через комплектную программу драйверов NVIDIA Специалисты нашли уязвимость в программном обеспечении для видеокарт NVIDIA. Она позволяет злоумышленникам захватить контроль над компьютером.

Intel сообщила об опасной уязвимости в подсистеме защиты и администрирования процессоров Последние два года как прорвало! В процессорах и платформах Intel (не только у неё) выявляются всё новые и новые уязвимости. Аппаратные и программные находки для ускорения вычислений обернулись опасными «дырами», которые создают условия для кражи данных. Тем же самым грешат ...

Уязвимость в Laravel. Разбираем эксплоит, который дает удаленное выполнение кода в популярном PHP-фреймворке Для подписчиковВ библиотеке Ignition, поставляемой с Laravel, обнаружилась уязвимость, которая позволяет неавторизованным пользователям выполнять произвольный код. В этой статье мы посмотрим, где разработчики Ignition допустили ошибку, и разберем два метода ее эксплуатации.

Android: уязвимость в смартфонах на процессорах MediaTek и Android для iPhone Для подписчиковСегодня в выпуске: история нашумевшей уязвимости в смартфонах на базе процессоров MediaTek, подводные камни портирования Android на iPhone, история о том, почему функция скрытия root с помощью Magisk вскоре станет бесполезной. А также: инлайновые классы и прин...

Кот-призрак. Как эксплуатировать новую RCE-уязвимость в веб-сервере Apache Tomcat Для подписчиковСегодня я покажу уязвимость в Apache Tomcat, которая позволяет читать файлы на сервере и в некоторых случаях выполнять произвольный код на целевой системе. Проблема скрывается в особенностях реализации протокола AJP, по которому происходит взаимодействие с сер...

Продолжаем разбирать уязвимости промышленных коммутаторов: выполняем произвольный код без пароля В Positive Research 2019 мы разобрали протокол управления промышленными коммутаторами Moxa. В этот раз мы продолжим эту тему и подробно разберем уязвимость CVE-2018-10731 в коммутаторах Phoenix Contact моделей линейки FL SWITCH 3xxx, FL SWITCH 4xxx, FL SWITCH 48xx, выявленну...

ESET выпустила бесплатную утилиту для обнаружения критической уязвимости BlueKeep Международная антивирусная компания ESET выпустила бесплатную утилиту для проверки ОС Windows на наличие уязвимости BlueKeep (CVE-2019-0708), опасной как для домашних пользователей, так и для организаций. Эксплойт BlueKeep ...

Удаленное исполнение кода в SMB v3: CVE-2020-0796 Никогда такого не было, и вот опять. Microsoft распространила информацию о наличии RCE-уязвимости в протоколе SMB версий 3.1.1 и выше. Уязвимости подвержены системы с Windows 10 1903 и выше, включая серверные издания. По имеющейся на данный момент информации — уязвимости п...

Apple отрицает, что хакеры взламывали почту через уязвимости в iOS   Apple ответила на недавнюю публикацию компании ZecOps о найденных уязвимостях в стандартном почтовом клиенте iOS. Эксперты ZecOps утверждают, что начиная с iOS 6 в системе были уязвимости, которые позволяли злоумышленникам получить полный доступ к электронной по...

Дьявольски-красный пентест. Строим цепочки туннелей через докер-контейнеры на виртуалке с Hack The Box Для подписчиковЧто делать, когда тебе нужно захватить контроль над хостом, который находится в другой подсети? Верно — много запутанных туннелей! Сегодня мы рассмотрим техники туннелирования при пентесте — на примере хардкорной виртуалки Reddish (уровень сложности Insane — 8...

Исследуем бинарные форматы на примере байткода .class файла Если вас не пугает картинка выше, если вы знаете чем отличается big-endian от little-endian, если вам всегда было интересно как "устроены" бинарные файлы, значит эта статья для ВАС! Читать дальше →

Расширенные возможности MessagePack MessagePack — бинарный формат сериализации данных, позиционируемый авторами как более эффективная альтернатива JSON. Благодаря своей компактности и скорости, его часто выбирают в качестве формата обмена данными в системах, где важна производительность. Простота реализации та...

Windows UAC не перестаёт удивлять, или Как обнаружить инсайдера Всем привет! Уверен, что вы наслышаны о недочетах технологии Windows UAC, однако относительно недавно появились подробности любопытной уязвимости, эксплуатация которой дает возможность непривилегированному пользователю максимально повысить привилегии. В Jet CSIRT мы не ост...

Не Useless Crap. Качаем скилл бинарной эксплуатации на сложной задаче с CTF Для подписчиковPWN — одна из наиболее самодостаточных категорий тасков на CTF-соревнованиях. Такие задания быстро готовят к анализу кода в боевых условиях, а райтапы по ним описывают каждую деталь. Мы рассмотрим таск Useless Crap с апрельского TG:HACK 2020. Задание очень инт...

В Drupal закрыли опасную уязвимость Разработчики Drupal анонсировали выпуск обновлений 7.69, 8.7.11 и 8.8.1, содержащих патчи для нескольких уязвимостей. Самая серьезная из них присутствует в сторонней библиотеке Archive_Tar — CMS-система использует ее для архивирования файлов, содержимое которых требует интер...

Nvidia исправляет критическую уязвимость в ПО GeForce Experience Nvidia выпустила патч безопасности для программного обеспечения GeForce Experience с целью исправления опасной уязвимости. Данное приложение предназначено для автоматического обновления графических драйверов и оптимизации работы видеокарты в играх за счет применения рекоменд...

Уязвимость в OpenSMTPD допускает удаленное выполнение кода с root-правами В почтовом сервере OpenSMTPD исправлена критическая уязвимость CVE-2020-7247. Эксплуатация бага позволяет выполнять на сервере shell-команды с правами root.

CacheOut – новая уязвимость в процессорах Intel, позволяющая воровать данные из кэш-памяти Уже можно сбиться со счёта, перечисляя все уязвимости, обнаруженные в процессорах Intel за последние 2 года. И вот появилась информация об очередной уязвимости, получившей название CacheOut. Уязвимость CacheOut связана со спекулятивным выполнением команд и приводит к утечке ...

HackTheBox. Прохождение Obscurity. OS Command Injection и Race Condition Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox. В данной статье эксплуатируем уязвимость в программном коде python, а также выполняем атаку Race Condition. Подключение к лаборатории осуществляется через VPN. Рекомендуется не подключа...

CacheOut — в процессорах Intel обнаружена очередная уязвимость В процессорах Intel обнаружена очередная уязвимость, связанная со спекулятивным выполнением команд и работой кэш-памяти. Она получила название CacheOut, поскольку позволяет получить доступ к данным, хранящимся в кэш-памяти процессора. В классификаторе уязвимостей CVE он...

Security Week 03: принципы ответственного багрепорта Седьмого января команда Google Project Zero, специализирующаяся на поиске уязвимостей в ПО, сообщила об изменениях в правилах раскрытия информации об обнаруженных багах (новость, пост в блоге). В 2020 году Project Zero будет раскрывать информацию об уязвимостях через 90 дней...

Security Week 04: криптопроблемы в Windows 10 Главной новостью прошлой недели стала уязвимость в криптобиблиотеке Windows, связанная с некорректной проверкой цифровых сертификатов. Проблема была закрыта кумулятивным патчем, вышедшим во вторник, 14 января. По данным Microsoft, реальных атак до раскрытия информации замече...

Домофоны, СКУД… И снова здравствуйте Доброго времени суток, дорогие читатели. Однажды, я уже писал здесь об уязвимости в контроллерах СКУД от IronLogic. Подробнее - здесь. Там уязвимость заключалась (и заключается, так как инженер IronLogic считает, что "Уязвимость некритична, исправлять не будем.") в программн...

В Windows 10 обнаружен баг, из-за которого повредить файловую систему можно всего одной короткой командой По сообщениям сетевых источников, в Windows 10 обнаружилась серьёзная уязвимость нулевого дня, эксплуатация которой позволяет повредить файловую систему NTFS с помощью однострочной команды. Проблема затрагивает Windows 10 1803 и более поздние версии программной платформы, вк...

Хит-парад убогих уязвимостей Microsoft Уж кого нельзя обвинить в скупости на разного рода ошибки и уязвимости, так это корпорацию Microsoft. За примером далеко ходить не надо — достаточно посмотреть на Windows 10, просто утопающую в багах. Упрекать разработчиков не стоит: они «старательно» выпускают патчи, испр...

Превышая скорость: риски и уязвимости в сфере интеллектуальных транспортных систем Современные транспортные системы — это не просто комфортный способ добраться из точки А в точку Б. Они помогают избежать пробок, повысить уровень безопасности движения и снизить негативное влияние на экологическую обстановку городов. Да и сам транспорт превратился из «сред...

Пришествие бинарных нейронных сетей на основе случайных нейронов и логических функций На сегодня среди множества алгоритмов машинного обучения широкое применение получили нейронные сети (НС). Основное преимущество НС перед другими методами машинного обучения состоит в том, что они могут выявить достаточно глубокие, часто неочевидные закономерности в данных. К...

Microsoft выпускает первую сборку Windows 10 21H1 Сегодня Microsoft выпускает первую сборку обновления Windows 10 21H1 для инсайдеров в канале Dev (Fast Ring) программы Windows Insider. Windows 10 Build 20150 относится к ветви RS_PRERELEASE, и это первая сборка из ветви разработки Iron. Ранее Microsoft подтвердила, что «Iro...

Критический RCE-баг во встроенном сервере GoAhead Исследователи из Cisco Talos обнаружили две новые уязвимости в веб-сервере GoAhead компании EmbedThis. Недостатки позволяют не прошедшему аутентификацию злоумышленнику выполнить на устройстве сторонний код или добиться состояния отказа в обслуживании. Проблема может затронут...

Wapiti — тестирование сайта на уязвимости своими силами В прошлой статье мы рассказали о бесплатном инструменте для защиты сайтов и API от хакерских атак, а в этой решили сделать обзор популярного сканера уязвимостей Wapiti. Сканирование сайта на уязвимости — необходимая мера, которая, вкупе с анализом исходного кода, позволяет ...

Microsoft исправила 99 уязвимостей в своих продуктах, включая 0-day в Internet Explorer Февральский «вторник обновлений» стал крупнейшим для Microsoft за долгое время. Устранено почти 100 различных багов, включая уязвимость в Internet Explorer, которая уже находилась под атаками.

Уязвимость в Wi-Fi чипах Broadcom ставит под угрозу миллиарды гаджетов Обнаруженная уязвимость похожа на найденную в 2017 году KRACK, которая позволяла совершить перехват и расшифровку конфиденциальной информации.

Уязвимости в TikTok позволяли захватить чужой аккаунт за один клик Разработчики TikTok устранили две уязвимости, которые позволяли захватывать учетные записи пользователей, зарегистрированных через сторонние приложения.

Большинство веб-приложений опасны из-за рассеянности создателей Согласно данным Positive Technologies, 16% приложений содержат уязвимости, позволяющие получить полный контроль над системой, а в 8% случаев - атаковать внутреннюю сеть компании. Получив полный доступ к веб-серверу, хакеры могут размещать на атакуемом сайте собственный конте...

Разработчики Intel залатали Plundervolt и еще 15 уязвимостей Компания Intel выпустила 11 рекомендаций по безопасности, относящихся к 16 уязвимостям в ее продуктах. Вендор пропатчил семь ошибок с высоким уровнем опасности, а также ряд менее серьезных недостатков. Эксплуатация багов могла привести к отказу в обслуживании, несанкциониров...

Open Source проекты изобилуют уязвимостями Исследование, которое провели специалисты платформы WhiteSource, показало, что количество найденных уязвимостей в приложениях с открытым исходным кодом увеличилось в прошлом году на 50 %.

Microsoft сообщает о новой уязвимости Компания Microsoft сообщила о новой уязвимости, допускающей удалённое исполнение кода. Эта уязвимость в Windows сейчас используется в ограниченном числе целевых атак.

Apple платит за уязвимости в своих устройствах от $25 000 до $1 млн Большинство технологических гигантов объявляет вознаграждение за поиск уязвимостей в своих продуктах, и Apple никогда не была исключением в этом вопросе. ***

На Android обнаружена опасная зараза от знаменитых хакеров В официальном магазине Google Play Store обнаружено новое шпионское ПО, которое угрожает всем пользователям Android. По словам исследователей из Trend Micro, в Google Play Store скрывается вредоносное программное обеспечение, способное шпионить вами. Вредоносная програм...

0-day Dropbox открывает максимальный доступ к Windows Независимые исследователи обнаружили в Windows-клиенте Dropbox опасную уязвимость нулевого дня. Ошибка, для которой еще не вышел патч, позволяет злоумышленнику получить максимальные привилегии на машине и открывает доступ к командной строке. Угроза содержится в компоненте, к...

Google выпустила сразу два обновления Android Компания Google выпустила сразу два обновления операционных системы Android, ориентированных на исправление серьёзных уязвимостей в системе безопасности.  Обновление 2020-07-01 включает исправление семь «дыр» в безопасности, 2020-07-05 — семнадца...

«Лаборатория Касперского» обнаружила уязвимость нулевого дня для Windows «Лаборатория Касперского» обнаружила уязвимость нулевого дня в ОС Windows, которую злоумышленники уже успели использовать во вредоносной операции WizardOpium. Программа-эксплойт для этой уязвимости позволяла организаторам атак повышать ...

Android: уязвимость StrandHogg и обход ограничений на доступ к камере и микрофону Для подписчиковСегодня в выпуске: подробности уязвимости StrandHogg, которая позволяет подменить любое приложение в любой версии Android; обход защиты на доступ к камере, микрофону и местоположению; обход защиты на снятие скриншотов; хорошие и плохие приемы программирования ...

Новая уязвимость в процессорах Intel в разы снижает их производительность В процессорах Intel выявили очередную серьезную уязвимость. Эксперты рассказали о проблеме под названием Load Value Injection (LVI), которая является отчасти наследником уязвимости Meltdown обнаруженной несколько лет назад. Подробнее об этом читайте на THG.ru.

Беспроводные камеры опасными делают не хакеры, а законодатели Беспроводные IP-камеры удобны, но очень опасны при использовании в качестве средств наблюдения за жильем и общественными пространствами. Объясняется это тем, что камеры, предназначенные для повышения безопасности, сами ...

Microsoft работает над исправлением уязвимости в Internet Explorer В веб-браузере Internet Explorer была обнаружена уязвимость (CVE-2020-0674), которая связана с обработкой объектов в оперативной памяти скриптовым движком. Злоумышленники могут эксплуатировать уязвимость для удалённого запуска вредоносного кода на компьютере жертвы. Для это...

Ахиллесова пята процессоров Intel. Найдена самая опасная и неустранимая уязвимость Ну что же, спустя более чем два года история с постоянно обнаруживающимися уязвимости в процессорах Intel достигла своего апогея. Специалисты российской компании Positive Technologies обнаружили новую уязвимость, которая гораздо опаснее всех предыдущих вместе взятых. Уя...

В веб-сервере GoAhead устранена критическая уязвимость Исследователи Cisco Talos обнаружили две уязвимости в веб-сервере GoAhead, в том числе критическую проблему, которую можно использовать для удаленного выполнения кода.

TWS-наушники Xiaomi Mi Air 2S c беспроводной зарядкой Китайская компания Xiaomi представила новые беспроводные наушники с названием Mi Air 2S. Наушники получили такой же внешний вид как и прошедшая версия Mi Air 2, но с другими характеристиками. Новой серии наушников обновили чипсет и добавили новую технологию бинарной переда...

Новая уязвимость Snoop угрожает процессорам Intel Еще одна уязвимость обнаружена в процессорах Intel. Атака получила название Snoop, и защититься от нее помогают патчи для уязвимости Foreshadow (L1TF).

Прошлогодняя уязвимость в Cisco ASA все еще популярна среди злоумышленников Специалисты Cisco Talos предупредили, что участились DoS-атаки с использованием прошлогодней уязвимости в Cisco Adaptive Security (ASA) и Firepower.

Microsoft исправила уязвимость в Windows, которую обнаружило АНБ Компания Microsoft исправила серьёзную проблему в различных версиях Windows, которую обнаружило Агентство национальной безопасности США (АНБ). Уязвимость связана с обработкой сертификатов и криптографии в Windows 10 и позволяет злоумышленникам подделывать цифровую подпись, ...

Обзор IT-Weekly (27.01 - 02.02.2020) Check Point обнаружил уязвимости Microsoft Azure. Первый недостаток безопасности был обнаружен в Azure Stack. Уязвимость Azure Stack позволяла хакеру получить скриншоты и конфиденциальную информацию о машинах, работающих на Azure...

Специалисты продемонстрировали эксплоит для RCE-уязвимости SMBGhost Эксперт из Ricerca Security разработал и продемонстрировал RCE-эксплоит для уязвимости CVE-2020-0796, также известной как SMBGhost.

[Перевод] Алгоритм сортировки quadsort Вступление Эта статья описывает стабильный нерекурсивный адаптивный алгоритм сортировки слиянием под названием quadsort. Четверной обмен В основе quadsort лежит четверной обмен. Традиционно большинство алгоритмов сортировки разработаны на основе бинарного обмена, где две пе...

[Из песочницы] Бинарные часы «Cyber Watch» Часы на газоразрядных лампах в стиле «Стимпанк» заполонили рынок и сердца людей. Киберпанкам нужен герой, который спасет мир. И им стану я. Мой инструмент – бинарные часы «Cyber Watch». Читать дальше →

Справочник security-архитектора: обзор подходов к реализации аутентификации и авторизации в микросервисных системах Контейнеризация, CI/CD, оркестрация, микросервисы и agile-процессы – это облако тегов, которое теперь находится в словаре security-инженеров. Микросервисная модель и сопутствующие технологии привели к многообразию подходов в реализации архитектуры безопасности современных ре...

[Из песочницы] WAL-G: бэкапы и восстановление СУБД PostgreSQL Уже давно известно, что делать бэкапы в SQL-дампы (используя pg_dump или pg_dumpall) – не самая хорошая идея. Для резервного копирования СУБД PostgreSQL лучше использовать команду pg_basebackup, которая делает бинарную копию WAL-журналов. Но когда вы начнёте изучать весь про...

Обнаружен способ взлома WhatsApp с помощью GIF-файла Команда Check Point Research сообщила об обнаружении серьезной уязвимости в мессенджере WhatsApp.Известно, что новая дыра безопасности требовала «сложных шагов и обширного взаимодействия с пользователем», а ее создатели получили максимальный доступ к пользователь...

В ОС Windows обнаружена новая уязвимость нулевого дня Эксперты "Лаборатории Касперского" сообщили Microsoft об обнаруженной угрозе, и компания выпустила патч, который устраняет эту уязвимость.Найти брешь в Windows специалистам "Лаборатории Касперского" помогло исследование другой уязвимости нулевого дня. В н...

Microsoft выпустила срочное обновление Windows 10 Компания Microsoft выпустила срочное внеочередное обновление операционной системы Windows 10, которое устраняет уязвимости в системе безопасности.  Обновление вышло за две недели до стандартного «обновления по вторникам», которое выходит раз в ме...

[Перевод] Понимаем и ищем уязвимости типа Open Redirect Перевод статьи подготовлен в преддверии старта курса «Безопасность веб-приложений». Одной из наиболее распространенных и тем не менее игнорируемых веб-разработчиками уязвимостей является Open Redirect (также известная как «Непроверенные переадресации и пересылки»). Веб-са...

Дайджест интересных материалов для мобильного разработчика #291 (26 января-2 февраля) В этом выпуске нашего дайджеста — бинарная совместимость, разбор SwiftUI, ошибки пиксель-арта, традиционный уже ад инди-разработчика, Flutter с нуля до прода, бесплатные книги и SDK для роботов. Добро пожаловать!

Из-за уязвимостей в двух плагинах опасность угрожает миллиону сайтов на WordPress Критические уязвимости в WordPress-плагинах Elementor Pro и Ultimate Addons for Elementor могут использоваться для удаленного выполнения произвольного кода и полной компрометации уязвимых сайтов. Эксперты компании Wordfence предупредили, что баги уже находятся под атаками.

Google нашла множество дыр в браузере Safari Разработчики из Google заявили, что в системе безопасности веб-браузера Apple Safari было обнаружено множество дыр, которые позволяли хакерам отслеживать поведение пользователей в интернете. Интересно, что это можно сделать с помощью инструмента, который был разраб...

Разработчики ASUS и Acer исправили опасные ошибки в своем ПО Эксперты компании SafeBreach обнаружили способ выполнить сторонний код на компьютерах Acer и ASUS. Угроза связана с собственным предустанавливаемым ПО производителей. В случае Acer проблема содержится в приложении Acer Quick Access. Оно автоматизирует настройку часто использ...

ProxyLogon. Как работает уязвимость в Microsoft Exchange Server и как ее используют хакеры Для подписчиковКогда злоумышленники отыскивают в каком-нибудь софте уязвимости нулевого дня, начинается веселье. А если это происходит с очень популярным и широко распространенным ПО, веселье начинает приобретать оттенки драмы. Именно это и случилось с Microsoft Exchange Ser...

[Перевод] Частые ошибки в настройках Nginx, из-за которых веб-сервер становится уязвимым Nginx — это веб-сервер, на котором работает треть всех сайтов в мире. Но если забыть или проигнорировать некоторые ошибки в настройках, можно стать отличной мишенью для злоумышленников. Detectify Crowdsource подготовил список наиболее часто встречающихся ошибок, делающих сай...

Навоз оказался опасным для планеты Специалисты Фонда защиты окружающей среды призвали производителей продуктов питания уменьшить выбросы метана, выделяемые навозом. Как выяснилось, навоз опасен как для пищевой промышленности, так и для планеты.

Россиянам рассказали об опасных последствиях гриппа В сети появилось официальное сообщение от Роспотребнадзора, в котором ведомство объясняет, почему же осложнения гриппа могут быть крайне опасны для жизни человека.

Безопасность web-приложений. Рекомендации аудиторов Хотите узнать подробности об опасных уязвимостях в web-приложении, которое вы используете в своей бизнес-модели? 7 октября в 12:00 на бесплатном вебинаре «Безопасность web-приложений. Рекомендации аудиторов» мы разберемся в эт...

Приложение Samsung Hand Wash для смарт-часов напомнит, когда пора мыть руки Пандемия коронавируса помогла многим людям усвоить, что регулярное мытьё рук является одним из эффективных способов борьбы с распространением опасного заболевания. Если же вам требуются напоминания о том, что пора мыть руки, и у вас есть смарт-часы Samsung, то новое приложен...

Sony заплатит за найденные уязвимости в PS4 Довольно часто крупные производители электроники или каких-то сервисов делают упор на программу поиска уязвимостей со стороны пользователей. То есть, сейчас, к примеру, компания PlayStation запустила свою подобную программу. Суть очень проста — если вы смогли найти какую-то ...

Pegas 21 – истинная находка для гэмблеров На сегодняшний день в обществе сложилось стереотипное мнение об азартных играх. Их считают чем-то запретным и опасным – плутовским развлечением проказницы Фортуны.

Вышло внеочередное обновление SharePoint Корпорация Microsoft вне графика пропатчила SharePoint, закрыв уязвимость, позволяющую получить доступ на чтение к любому файлу на сервере. Данных об использовании новой проблемы в атаках на настоящий момент нет. «В SharePoint Server присутствует уязвимость раскрытия ин...

Исследователи выявили уязвимости в процессорах AMD, выпускаемых с 2011 года Ученые из Грацского технического университета (крупнейший технический вуз Австрии) отчитались о находке уязвимостей Collide+Probe и Load+Reload из семейства Take A Way, которым подвержены все процессоры AMD начиная с 2011 года, включая архитектуры Buldozer...

Сайт 9Game назван самым опасным каталогом приложений для Android Эксперты компании RiskIQ изучили различные каталоги приложений для Android и составили рейтинг наиболее опасных из них.

Mozilla удалила 200 потенциально опасных расширений для браузера Firefox Компания Mozilla продолжает активно бороться с потенциально опасными расширениями для браузера Firefox, которые создаются сторонними разработчиками и публикуются в официальном магазине.

Темы Windows 10 оказались опасны Для пользователей операционной системы Windows была обнаружена новая опасность. Оказывается для кражи учётных данных можно использовать пользовательские темы.  Уязвимость была обнаружена специалистом по безопасности Джимми Бэйном (Jimmy Bayne). Лазейка кроется в н...

Учёные назвали самую опасную для здоровья диету Врачи и учёные составили антирейтинг диет, то есть определили самые неблагоприятные и опасные типы питания. В новом году этот список возглавила кетодиета.

В смартфонах Apple обнаружена новая уязвимость, позволяющая украсть любые данные Подробным описанием данной уязвимости поделился программист Томми Миск, который ее и обнаружил.По словам программиста, злоумышленник, воспользовавшийся данной дырой, может получить доступ к любым данным iPhone, включая пароли к банковским картам. Уязвимость обусловлена особе...

Security Week 15: настоящие и воображаемые уязвимости Zoom В четверг 2 апреля издание The Guardian поделилось впечатляющими цифрами о платформе для веб-конференций Zoom: рост посещаемости этого сервиса составил 535%. Определенно Zoom лучше конкурентов смог воспользоваться ситуацией, получив прирост если не в деньгах, то точно в попу...

Повышение привилегий в Windows клиенте EA Origin (CVE-2019-19247 и CVE-2019-19248) Приветствую всех, кто решил прочитать мою новую статью с разбором уязвимостей. В прошлый раз небольшим циклом из трех статей я рассказал об уязвимостях в Steam (1, 2 и 3). В данной статье я расскажу об уязвимостях похожего продукта — Origin, который тоже является лаунчером д...

[Перевод] Пентест Active Directory. Часть 1 Перевод статьи подготовлен специально для студентов курса «Пентест. Практика тестирования на проникновение». У меня было несколько клиентов, пришедших ко мне перед пентестом с уверенностью в том, что они были в хорошей форме, потому что их анализ уязвимостей не показал кр...

Security Week 07: уязвимость в Bluetooth-стеке Android В февральском наборе патчей для операционной системы Android закрыта уязвимость в Bluetooth-стеке (новость, бюллетень с обзором обновлений). Уязвимость затрагивает Android версий 8 и 9 (и, возможно, более ранние): на непропатченных смартфонах можно выполнить произвольный код...

HackTheBox. Прохождение Patents. XXE через файлы DOCX, LFI to RCE, GIT и ROP-chain Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox. В данной статье эксплуатируем XXE в сервисе преобразования DOCX документов в PDF, получаем RCE через LFI, копаемся в истории GIT и восстанавливаем файлы, составляем ROP цепочки с помощью...

Учёные определили сроки появления опасных солнечных супербурь Учёные определили, что солнечные бури, способны повредить электронное оборудование на Земле, происходят каждые 25 лет. А менее мощные, но всё ещё опасные бури случаются каждые три года.

Apple заплатит каждому до $1,5 млн за найденные уязвимости iOS   Ещё в 2016 году Apple запустила программу по поиску уязвимостей iOS. Тогда купертиновцы платили за самые серьёзные $200 тыс. Теперь компания обновила программу и готова заплатить за критические уязвимости до $1,5 млн. В это входит заранее утверждённая сумма в $1...

400 000 сайтов оказались под угрозой из-за плагинов Специализирующаяся на кибербезопасности компания Sucuri выявила уязвимости в плагинах InfiniteWP, WP Time Capsule и WP Database Reset, которые в общей сложности касаются как минимум 400 000 интернет-ресурсов по всему миру. Самой серьёзной является «дыра» в InfiniteWP Client ...

Краткие заметки embed-программиста: дублирование секции в памяти микроконтроллера Начальные условия Есть устройство на базе микроконтроллера (для примера будет взят stm32f405rgt6). При включении оно настраивает свою периферию на основе предпочтений пользователя или настроек по-умолчанию. Пользователь может менять настройки во время работы устройства (как ...

Adobe пропатчила Acrobat, Photoshop и Brackets Компания Adobe Systems в плановом порядке устранила 25 уязвимостей в Acrobat / Reader, Photoshop, текстовом редакторе Brackets и платформе ColdFusion. Семнадцать проблем безопасности грозят исполнением произвольного кода и признаны критическими. Данных об использовании каког...

Вакцина от гриппа помогла бороться с опасными опухолями Учёные из Института изучения рака в Руджерсе предложили использовать вакцину от гриппа в качестве дополнительной терапии против опухолей. Она уже помогла остановить рост новообразований у мышей.

Качественные товары из США Amazon является самым большим онлайн-ритейлеров в мире. Ежедневно отправляя по 3 миллиона различных заказов в 185 стран мира. Более 50% пользователей покупают товары на сумму со средним чеком 80-400 долларов. Онлайн-ритейлер полностью берет на себя ответственность за хранени...

Выявлена очередная уязвимость процессоров Intel Специалисты в области безопасности выявили очередную уязвимости в процессорах Intel. Мы уже устали считать все эти уязвимости, но в данном случае всё намного хуже. Дело в том, что эта уязвимость аппаратная, и её нельзя исправить.

Как получить по индексу элемент из бинарного дерева за приемлемое время? Привет, Хабр! Полгода назад я задумался, как можно было бы получить элемент из бинарного дерева за O(log(N)). Ответ пришёл довольно быстро — Lazy Propagation. Но реализовать это в коде я поленился. Сейчас надо сдавать дипломный проект в университете, поэтому я занимаюсь чем...

Hack The Box — прохождение Zetta. FXP, IPv6, rsync, Postgres и SQLi Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox. Надеюсь, что это поможет хоть кому-то развиваться в области ИБ. В данной статье узнаем IPv6 адрес сервера с помощью FXP, поработаем с rsync, а также запишем ssh-ключ используя SQL-инъекцию...

Только менять: в чипсетах Intel найдена неустранимая уязвимость Эксперты Positive Technologies годами исследуют подсистему Intel ME (CSME). И не зря! Они находят там много интересного. Сама подсистема Intel Management Engine преследует благую цель ― обеспечить удобное и удалённое обслуживание компьютеров. Но обратная сторона комфорта ― э...

Конфигурация программ на Go Всем привет! После пяти лет программирования на Go я обнаружил себя достаточно ярым приверженцем определенного подхода к конфигурации программ. В этой статье я попытаюсь раскрыть его основные идеи, а также поделюсь небольшой библиотекой, которая является реализацией этих ид...

Поиск уязвимостей в Samsung TrustZone, или AFL зафаззит все С течением времени появляется все больше новых защитных технологий, из-за которых хакерам приходится все туже затягивать пояса. Хотя это не совсем так. Защитные технологии также всегда вносят дополнительную поверхность атаки, и чтобы их обходить, надо только задействовать у...

[Перевод] Обнаружена новая вспышка H2Miner червей, которые эксплуатируют Redis RCE День назад один из серверов моего проекта был атакован подобным червем. В поисках ответа на вопрос «что же это было такое?» я нашел замечательную статью команды Alibaba Cloud Security. Поскольку я не нашел этот статьи на хабре, то решил перевести ее специально для вас <3 ...

Патент недели: как обеззаразить вентиляцию При непосредственном участии Федеральной службы по интеллектуальной собственности («Роспатента») мы решили ввести на сайте рубрику «Патент недели». Еженедельно в России патентуются десятки интересных изобретений и усовершенствований — почему бы не рассказывать о них в числе ...

Google нашла много уязвимостей в браузере Safari Специалисты компании Google исследовали браузер Apple Safari и обнаружили в его системе безопасности множество дыр.Найденные уязвимости позволяют злоумышленникам отслеживать поведение пользователей в интернете, причем даже с использованием инструмента, предназначенного для з...

Способы защиты RDP Использование управления удаленным рабочим столом – это возможность получить доступ к любому ПК или серверу в любой точке мира. Выполняется RDP-соединение при помощи технологии RDP (Remote Desktop Protocol). Данная функция поддерживается не только настольными компьютерами, н...

Крымские учёные рассказали об опасном для Земли астероиде Астрономы Крымской астрофизической обсерватории (КрАО) определили размер потенциально опасного для Земли астероида типа Аполлона (162082) 1998 HL1.

WhatsApp признался в ранее неназванных крупных ... Самый популярный мессенджер запустил специальный сайт, где будет сообщать обо всех багах и проблемах с анонимностью.     Сегодня WhatsApp сообщил о шести ранее нераскрытых уязвимостей, которые компания успела уже исправить. Сообщения об этих уязвимостях мессенджер...

Security Week 05: критические уязвимости медицинских устройств 23 января подразделение американского департамента внутренней безопасности, ответственное за киберугрозы, опубликовало информацию о шести серьезных уязвимостях в медицинских устройствах (новость, исходный документ). Проблемы были обнаружены в больничном оборудовании компании...

История одного патча Apple В этом году мы с a1exdandy выступали на конференциях VolgaCTF и KazHackStan с докладом про Patch Diffing программ написанных на Оbjective-С и то, как с его помощью можно искать и находить 0-day и 1-day уязвимости в продуктах компании Apple. Видео выступления можно посмотрет...

Что известно о новой уязвимости кабельных модемов Специалисты из датской компании, которая проводит консультации в сфере ИБ, обнаружили новую критическую уязвимость Cable Haunt (CVE-2019-19494). Она связана с чипами Broadcom, которые ставят в кабельные модемы — устройства для двусторонней передачи данных по коаксиальному ил...

Райтап In the Shadows Это райтап об одном из заданий, которое мы приготовили для отборочного этапа CTFZone, прошедшего в конце ноября. О процессе подготовки к квалификации можно прочитать здесь. Вы начинаете с двумя файлами: decrypt_flag.py и ntfs_volume.raw. Д...

Тревожные новости: коронавирус может передаваться бессимптомно Китайские исследователи зафиксировали в Ухане опасный случай бессимптомной передачи коронавируса COVID-19 от 20-летней девушки пятерым членам ее семьи: будучи носителем инфекции, она не проявляла никаких признаков опасного заболевания.

Hack The Box. Прохождение Registry. Docker, RCE в CMS Bolt и Restic Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox. Надеюсь, что это поможет хоть кому-то развиваться в области ИБ. В данной статье повозимся с docker regisrty, эксплуатируем RCE в CMS Bolt, а повышаем привилегии с помощью программы для рез...

Apple открыла доступ к своей программе Bug Bounty для всех исследователей Корпорация Apple официально открыла свою программу по поиску уязвимостей для всех исследователей безопасности. О том, что Apple Security Bounty станет общедоступной, компания объявила на конференции Black Hat в августе. Ранее в Apple действовала программа, попасть в которую ...

Майское накопительное обновление Windows 10 закрыло 55 критических уязвимостей Вчера Microsoft выпустила запланированное накопительное обновление для Windows 10 (KB5003173), которое устраняет 55 критических уязвимостей. На первый взгляд эта цифра может показаться довольно большой, однако это самое лёгкое обновление с 2020 года. Тем не менее, оно устран...

[Перевод] Структуры данных и алгоритмы, которыми я пользовался, работая в технологических компаниях Пользуетесь ли вы структурами данных и алгоритмами в повседневной работе? Я обратил внимание на то, что всё больше и больше людей считает алгоритмы чем-то таким, чем, без особой связи с реальностью, технические компании, лишь по собственной прихоти, интересуются на собеседов...

Настоящая оптимизация на C/C++ Это продолжение двух постов (первый, второй). В этот раз оптимизация будет произведена на реальной задаче, с правильно построенной методологией тестирования. Задачу возьмем из нашумевшего поста «Алгоритм перевода числа (байтов) в приставку СИ», она интересна тем, что на перв...

Опасные фоточки. Приложения для съёмки под Android с многомиллионными загрузками оказались шпионами и вредителями Новая порция шпионских и вредоносных приложений была обнаружена в Google Play Store. О находке специалистов по компьютерной безопасности рассказал тематический ресурс CyberNews.  Вредоносный или опасный код был обнаружен в трёх десятках приложений для съёмки....

OnePlus теперь тоже вознаграждает за найденные уязвимости — готова платить от $50 до $7 000 Желая повысить защищенность своей продукции, компания OnePlus объявила о запуске программы выплаты денежных вознаграждений за обнаружение уязвимостей, присоединившись к немалому числу производителей и разработчиков, которые выплачивают вознаграждения за обнаружение уязвимост...

Truck Simulator: Ultimate — лучший клон Euro Truck Truck Simulator: Ultimate вышла на Андроид, а её уже называют лучшим клоном Euro Truck Simulator. Смотрим. Truck Simulator: Ultimate — это симулятор дальнобойщика, который поразил многих. В главном меню можно заметить кнопку для онлайн-игры, которая открывается после прохож...

Хак в один клик. Сравниваем возможности автоматических сканеров уязвимостей Для подписчиковДля поиска уязвимостей вручную требуются особые знания, богатый опыт и редкое чутье. Но как быть новичкам? Как набраться опыта, если не знаешь, с чего начинать? На помощь приходят автоматические сканеры уязвимостей. В этой статье мы посмотрим, какие они бывают...

Microsoft вновь латает дыру, используемую в атаках Декабрьский набор плановых патчей для продуктов Microsoft оказался довольно скромным. Он устраняет всего 36 уязвимостей, в том числе семь критических и одну, уже найденную и используемую злоумышленниками. Согласно бюллетеню разработчика, уязвимость нулевого дня CVE-2019-1458...

Уязвимость в npm позволяла размещать или модифицировать файлы на машине жертвы В популярнейшем JavaScript-менеджере пакетов npm (Node Package Manager) была обнаружена уязвимость, и теперь пользователей призывают как можно скорее обновиться до версии 6.13.4.

Ролевая игра Craft of Survival уже доступна в раннем доступе на Андроид, геймеры рекомендуют Craft of Survival — это мобильный проект с изометрической камерой. Игра выполнена в жанре RPG, хотя она заимствует элементы из симуляторов и даже рогаликов. Мы начинаем путешествие в подземной тюрьме, где надо при помощи холодного меча расправиться с бандитами и прочей нечес...

В Twitter нашли серьезную уязвимость Недостаток в приложении Twitter для Android позволил сопоставить 17 млн телефонных номеров с аккаунтами пользователей.

Kraken нашла уязвимость в кошельках KeepKey, позволяющую извлекать seed-фразы Специалисты Kraken Security Labs сообщили, что нашли способ извлечения seed-фраз из аппаратных кошельков KeepKey. Kraken Security Labs has found a way to extract seeds from a KeepKey cryptocurrency hardware wallet. Full story here:https://t.co/iPMKNhG2Jg — Kraken Exchange (@...

Ищем уязвимости в TikTok при помощи OSINT Вступление TikTok — одно из самых популярных приложений для просмотра мобильного видео. В нём зарегистрировано 800 миллионов пользователей. Пользователи создают контент с помощью фильтров, музыки, эффектов. Видео создаются странные, но захватывающие внимание. Для столь об...

Уязвимости IoT-девайсов открывают доступ к домашней сети Найденные уязвимости могут быть использованы для осуществления атак методом Man-in-the-Middle (MitM, пер. с англ. "атака посредника" или "человек посередине"), когда злоумышленник перехватывает данные, передаваемые между каналами связи, извлекает полезну...

CVE-2019-18683: Эксплуатация уязвимости в подсистеме V4L2 ядра Linux В данной статье описана эксплуатация уязвимости CVE-2019-18683 в ядре Linux, которую я обнаружил и исправил в конце 2019 года. Указанный CVE-идентификатор присвоен нескольким аналогичным ошибкам типа «состояние гонки», которые присутствовали в подсистеме V4L2 ядра Linux на п...

Клиент Currency.com сообщил о взломе 2FA и краже средств. Биржа отрицает наличие уязвимости 14 апреля пользователь белорусской криптовалютной биржи Currency.com стал жертвой неизвестных злоумышленников, которые якобы взломали двухфакторную аутентификацию аккаунта и вывели средства со счета. Как сообщил редакции ForkLog коллега пострадавшего — Александр, причиной вз...

Сортировки кучей: n-нарные пирамиды Сортировку кучей (она же — пирамидальная сортировка) на Хабре уже поминали добрым словом не раз и не два, но это всегда была достаточно общеизвестная информация. Обычную бинарную кучу знают все, но ведь в теории алгоритмов также есть: n-нарная куча; куча куч, основанная на...

[Перевод] Иерархический буфер глубин Краткий обзор Иерархический буфер глубин — это многоуровневый буфер глуби (Z-буфер), используемый как ускоряющая структура (acceleration structure) для запросов глубин. Как и в случае mip-цепочек текстур, размеры каждого уровня обычно являются результатами деления на степен...

Frayhem: Ещё один клон Brawl Stars на смартфоны в раннем доступе Многие любят мультиплеерный экшен Brawl Stars. Видимо это касается не только мобильных геймеров, но и инди-разработчиков. Встречайте — Frayhem. Схема знакомая: две команды в формате «3 на 3» выясняют отношения на небольшой арене, прячась в кустах и выстреливая оттуда абилкам...

HackTheBox. Прохождение Oouch. OAuth2, RCE в uWSGI и LPE через DBUS Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox. В данной статье разберем атаку на OAuth2 аутентификацию через, а также зарегистрируем свое приложение для угона куки администратора. В добавок к этому, проэксплуатируем RCE в веб-сервере...

В Windows обнаружена «чрезвычайно пугающая» дыра в безопасности Агентство национальной безопасности США объявило о найденной критической уязвимости в операционной системе Windows компании Microsoft. Об этом рассказало авторитетное издание Bloomberg.  АНБ обратилось с находкой в Microsoft и компания уже отчиталась о...

Что делать, если принтер HP не печатает Вам срочно нужен документ, но принтер не печатает? В данной статье мы разберем основные причины проблемы и поможем ее решить.

Hardening на практике В предыдущей статье рассматривался пример уязвимых машин, которые создавались для того чтобы их использовать в практике тестирования систем на наличие уязвимостей. Эта статья расскажет как нестандартно можно обнаружить уязвимости в системах, если мы, к примеру, получили их у...

Hack The Box — прохождение Bitlab. Слабая JS обфускация, GIT и реверс Windows приложения Данной статьей я начну публикацию решений отправленных на дорешивание машин с площадки HackTheBox. Надеюсь, что это поможет хоть кому-то развиваться в области ИБ. В данной статье разберемся с легенькой JavaScript обфускацией, загрузим бэкдор через репозиторий Git, и отладим...

F#, алгоритм маркировки связных компонентов изображения Поиск и маркировка связных компонентов в бинарных изображениях — один из базовых алгоритмов анализа и обработки изображений. В частности, этот алгоритм может быть использован в машинной зрении для поиска и подсчета единых структур в изображении, с последующих их анализом. В...

Команда Linux накажет Университет Миннесоты за намеренное внедрение уязвимостей Студенты университета выпускали вредоносный код для «научной работы»

Индексируемое бинарное дерево Попалась мне задача следующего вида. Необходимо реализовать контейнер хранения данных обеспечивающий следующий функционал: вставить новый элемент удалить элемент по порядковому номеру получить элемент по порядковому номеру данные хранятся в сортированном виде Читать даль...

В 90% косметических продуктов содержатся опасные бактерии Спонжи и кисти для нанесения макияжа опасны не меньше, чем губки для мытья посуды Если вам доводилось пользоваться косметикой, то мы искренне надеемся, что с вами все впорядке и косметика не просрочена. Дело в том, что результаты нового исследования, которое опубликовано в ж...

Apple заплатила 75 000 долларов за уязвимости в камере iPhone Доступ к камере можно было получить с помощью этих багов из браузера Safari.

Web Security SQL Injection 2020 Статья расскажет, как использовать SQLmap и похожих инструментов для автоматизации решений заданий по sql injection на одном из популярных CTF ресурсов. В статье зайдем немного дальше, чем просто модификация risk-level «if you know what i mean». Задания не будут полностью ра...

Microsoft слила данные службы поддержки. 250 миллионов пользователей под угрозой Компания Microsoft призналась в том, что поставила под угрозу данные 250 миллионов пользователей её службы поддержки и сервиса обслуживания клиентов.  Специалисты по информационной безопасности Боб Дьяченко (Bob Diachenko) и Comparitech обнаружили уязвимост...

Разбираем уязвимость в Citrix ADС, позволяющую за минуту проникнуть во внутреннюю сеть компании В конце прошлого года эксперт Positive Technologies обнаружил уязвимость CVE-2019-19781 в ПО Citrix ADC, которая позволяет любому неавторизованному пользователю выполнять произвольные команды операционной системы. Под угрозой оказались около 80 тысяч компаний по всему миру...

Microsoft в своём репертуаре. Исправление «чрезвычайно пугающей» дыры Windows 10 не удаётся установить Компания Microsoft выпустила январское накопительное обновление Windows 10 пару дней назад. Помимо всего прочего, апдейт включает исправление критической уязвимости, которую обнаружило Агентство национальной безопасности США.  Специалисты по безопасности объявили ...

13 лучших сериалов про вирусы: от зомби-апокалипсиса до реальных историй Эти сюжеты пощекочут нервы и, возможно, помогут выжить в опасные времена.

Bluetooth на смартфонах Android оказался опасен. Что делать Немецкая компания ERNW, специализирующаяся на безопасности, рассказала об обнаруженной критической уязвимости Bluetooth в операционной системе Android. Уязвимость получила название BlueFrag.  Если на гаджете включён Bluetooth, уязвимость позволяет злоумышленникам ...

[Перевод] Обработка сетевых данных на лету Перевод статьи подготовлен в преддверии старта курса «Пентест. Практика тестирования на проникновение». Аннотация Разнообразные виды оценки безопасности, начиная от регулярного тестирования на проникновение и операций Red Team до взлома IoT/ICS-устройств и SCADA, подразум...

Масло и водка: как мы избавляем ноутбуки от стикеров В Авито все работают на ноутбуках. Так удобнее: можно заниматься своими задачами из любой части офиса, показывать презентации и делать заметки на встречах. Каждый новый сотрудник получает на выбор свеженький Макбук или Делл. Клеить на них стике...

В Linux найдена опасная уязвимость Несмотря на то, что Linux многие считают самой безопасной ОС в мире, дыры безопасности в ней все-таки имеются.Эксперты по безопасности обнаружили в Linux брешь, позволяющую взломать систему. Уязвимость BootHole была найдена в загрузчике операционной системы GRUB2.BootHole по...

Опасная роль с Джин Сиберг завтра в кино Фильм "Опасная роль" про кинозвезду Джин Сиберг, которая пошла против ФБР, выступавшей за равные права для чернокожих . После за ней устроили полномасштабную слежку. Режиссер фильма Бенедикт Эндрюс. В ролях фильма: Кристен Стюарт, Маргарет Куэлли, Энтони Маки, Зази Битц, В...

В Windows меньше уязвимостей, чем в Debian Linux Исторически Windows не была заточена под безопасность, но Microsoft стала более серьезно относиться к ней начиная с Windows XP, которая включала в себя широкий спектр функций безопасности и мощный брандмауэр. В ответ на растущие проблемы безопасности Microsoft также начала о...

Как выйти из запоя: что можно и нельзя делать Без помощи врача это смертельно опасный трюк.

Капля в море: Запуск Drupal в Kubernetes Я работаю в компании Initlab. Мы специализируемся на разработке и поддержке Drupal проектов. У нас есть продукт для быстрого создания Ecommerce решений, основанный на Drupal. В 2019 году мы начали решать задачу построения масштабируемой и отказоустойчивой инфраструктуры для...

ООО «ПРОМИНСТРАХ» прекращает заключение новых договоров обязательного страхования С 29 ноября 2019 года прекращено членство в НССО ООО «ПРОМИНСТРАХ» в связи с добровольным выходом из НССО. ООО «ПРОМИНСТРАХ» являлось членом НССО с 29 февраля 2012 года и осуществляло обязательное страхование гражданской ответственности владельца опасного объекта за причинен...

Google Project Zero меняет подход к раскрытию данных об уязвимостях По сообщениям сетевых источников, в этом году команда исследователей Google Project Zero, которые работают в сфере информационной безопасности, изменит собственные правила, в соответствии с которыми данные об обнаруженных уязвимостях становятся общеизвестными.

Злоумышленники могут взломать... быструю зарядку Xiaomi с нитридом галлия. Поэтому ее отозвали Компания Xiaomi отозвала свое сверхскоростное 65-ваттное зарядное устройство с нитридом галлия Xiaomi GaN Type-C 65W, которое поступило в продажу одновременно со смартфоном Xiaomi Mi 10. Причиной, по которой производитель убрал популярный аксессуар с прилавков маг...

Видеообзор кухонной машины Polaris PKM 1002 Brilliant collection: для взбивания, замешивания и смешивания Кухонная машина Polaris PKM 1002 Brilliant collection — это устройство три в одном. С ее помощью можно приготовить не только воздушные кремы, муссы, начинки и соусы, но и хлеб с хрустящей корочкой. Она обладает нужными и востребованными насадками, позволяет облегчить процесс...

Весеннее обновление Solitaire Bliss Collectio‪n‬ привнесло четыре новые игры, русский язык и ежедневки Студия Mongoose Net выпустила обновление для карточной игры Solitaire Bliss Collectio‪n‬ или «Пасьянс на русском». Вместе с ним геймерам стали доступны четыре режима: лёгкий и обычный Скорпион, а также лёгкая и обычная Восьмёрка. Помимо этого игроки каждый день будут получат...

Процессоры Intel подвержены уязвимости CacheOut Не успела Intel залатать известные «дыры» в безопасности своих процессоров, как исследователи обнаружили ещё одну аппаратную уязвимость. Подобно нашумевшей Meltdown, она использует недостатки в механизме спекулятивного выполнения команд и позволяет получить инфор...

Disaster Recovery и миграция c помощью VMware vCloud Availability. Часть 1 Всем привет! Сегодня речь пойдет о работе с VMware vCloud Availability (vCAV). Этот продукт помогает организовать Disaster Recovery (DR) и миграцию в рамках нескольких площадок облачного провайдера или переехать/восстановиться в облако сервис-провайдера с on-premise площадо...

С новым ходом: мошенники нашли еще один способ хищения денег со счетов Обновленный сценарий общения с потенциальными жертвами оказался опаснее всех использовавшихся ранее.

Hack The Box. Прохождение Sniper. RFI и вредоносный CHM документ Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox. Надеюсь, что это поможет хоть кому-то развиваться в области ИБ. В данной статье эксплуатируем RFI, обходим блокировку shell meterpreter и создаем вредоносный CHM документ. Подключение к ...

[Перевод] Три способа создания клякс с помощью CSS и SVG Кляксы (Blob) - это гладкие, аморфные, желеобразные формы, обычно  причудливые и забавные. Их можно использовать в качестве элементов иллюстраций и фоновых эффектов в сети.Итак, как же они устроены? Разумеется, можно открыть какой-то графический редактор и сделайте их, ...

Сети могут быть взломаны с помощью лампочки Хакеры могут использовать уязвимости в распространенном протоколе ZigBee для доставки вредоносного ПО в сеть, скомпрометировав умные лампочки и их контроллеры.

Эксперты Kaspersky подвели итоги года по киберугрозам Аналитики «Лаборатории Касперского» опубликовали финальную статистику по киберугрозам 2019 года. В отчетный период зловредные программы атаковали каждого пятого пользователя под защитой решений Kaspersky, а общее количество отраженных атак превысило 975 млн. Продук...

Генная инженерия сумела избавить пчел от двух смертельно опасных проблем Исследователи из Университета Техаса в Остине (США) впервые в истории помогли пчелам справиться со смертельным недугом путем генетической редакции их биома. Это важный нюанс – коррекции подверглись не сами насекомые, а бактерии, которые живут в их организме. С их помощью уда...

Митигация уязвимостей: операционная система в помощь? Каждый, кто начинает изучать уязвимости программного обеспечения и их эксплуатацию, рано или поздно начинает задаваться вопросами: откуда берутся методики написания эксплойтов? Почему современное ПО содержит уязвимости? Насколько операционные системы с точки зрения проведени...

Файлы из приватных чатов Slack подвержены утечкам Механизм обмена файлами в Slack содержит серьезную уязвимость, которая может привести к несанкционированному раскрытию конфиденциальной информации. Об этом заявили ИБ-специалисты израильской компании Polyrize. По мнению экспертов, файлы, размещенные в приватной переписке или...

В WhatsApp снова была обнаружена серьезная уязвимость С её помощью можно было создать «непрекращаемый аварийный цикл для всех участников чата», который можно было исправить только путём переустановки приложения.

Hack The Box — прохождение Player. FFmpeg эксплоит, JWT и различные веб перечисления Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox. Надеюсь, что это поможет хоть кому-то развиваться в области ИБ. В данной статье пройдем JWT, выполним такие веб-перечисления, как поиск дирректорий, поддоменов и файлов бэкапа, проэксплуат...

Учёные нашли способ защитить планету от опасных астероидов Учёные из Массачусетского технологического института (MIT) нашли способ защитить планету от опасных астероидов. Они разработали карту принятия решений для определения наилучших мер по защите от космической угрозы.

Google рассказала о блокировке миллионов опасных писем про коронавирус в почте Google рассказала о блокировке миллионов опасных писем про коронавирус в почте. С их помощью злоумышленники надеются осуществлять фишинговые атаки.

Write-up CTFZone Quals 2019: Chicken Несмотря на перенос конференции OFFZONE 2020, финалу соревнований CTFZone быть! В этом году он впервые пройдет в онлайн-режиме и будет активно транслироваться в социальных сетях. О подробностях мы объявим позже, а пока предлагаем...

Microsoft сообщила об уязвимости в браузере Internet Explorer, которую пока не может закрыть Оказалось, что в браузере Internet Explorer есть уязвимость «нулевого дня», которой активно пользуются хакеры.Данными об этой уязвимости поделилась сама компания Microsoft. Разработчики уверяют, что «дыра» до сих пор используется хакерами для атак на устройства.Н...

Windows, у нас проблемы! Microsoft предупреждает об уязвимостях Вчера Microsoft предупредила пользователей Windows (коих уже более миллиарда), о том, что хакеры активно используют две критические уязвимости нулевого дня. Это может позволить злоумышленникам получить полный контроль над компьютерами. Согласно рекомендациям по безопасности,...

Цепочка заданий, противоборства и более десятка машин — подробности ближайшего обновления GTA Online Компания Rockstar Games на своём официальном сайте опубликовала подробности летнего обновления GTA Online. Оно называется Los Santos Summer Special и выйдет уже 11 августа на ПК, PlayStation 4 и Xbox One. Свежий патч добавит в игру задания, разнообразные активности и более д...

Вблизи Земли пролетит астероид размером с автобус Астероид, получивший обозначение 2020 JA, был обнаружен 1 мая. По данным НАСА, его диаметр может составлять от 9,2 до 22 метров, а скорость — чуть более 20 км/c. К Земле он приблизится на минимальное расстояние в 238 тысяч километров. Потенциально опасным 2020 JA не считаетс...

Инструменты создания бэкапов PostgreSQL. Андрей Сальников (Data Egret) Предлагаю ознакомиться с рашифровкой доклада Андрей Сальников из Data Egret "Инструменты создания бэкапов PostgreSQL" . В конце обновленная сводная таблица по инстрментам Данный доклад посвящен доступным инструментам бэкапирования PostgreSQL. Логические backup, бин...

Hack The Box — прохождение Forest. AS-REP Roasting, атаки DCSync и Pass-The-Hash Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox. Надеюсь, что это поможет хоть кому-то развиваться в области ИБ. В данной статье разберемся с AS-REP Roasting в схеме аутентификации Kerberos, используем BloodHound для разведки в домене, в...

[Из песочницы] Как копирайтеру писать для IT без глупостей и стереотипов Привет. Я Дмитрий — автор и редактор, помогаю IT-компаниям рассказывать о себе с помощью PR-статей на различные ресурсы, начиная от развлекательных и заканчивая большими профильными площадками (Как раз про Хабр, да). Кто-то вроде литературного негра — грубо говоря, ко мне пр...

Группировка Lazarus взяла на вооружение RAT-троян Dacls Специалисты Netlab 360 зафиксировали кампанию по распространению ранее неизвестного модульного трояна, получившего название Dacls. Зловред атакует компьютеры под управлением Windows и Linux через RCE-уязвимость в макросе системы Atlassian Confluence, закрытую еще в марте это...

Имитация Сложности — Антиномия Простого и Сложного Программисты много говорят про сложность решений. Мы можем часами размышлять о правильных шаблонах, красивых абстракциях и цепочках зависимостей. Однако, давайте поговорим открыто, всегда ли сложность обусловлена решаемой проблемой? Не оказываемся ли мы в плену наших стереот...

В Windows 7, 8.1 и 10 есть две критические уязвимости, используемые хакерами В операционной системе Windows обнаружены две новые критические уязвимости, о которых сообщила уже сама Microsoft.Указанные дыры безопасности до сих пор не закрыты. Они имеют место в операционных системах Windows 7, 8.1 и Windows 10. То есть, пострадать может более миллиарда...

Более миллиарда пользователей Windows под угрозой. Официально Компания Microsoft предупредила пользователей операционной системы Windows о двух критических уязвимостях, которые пока не закрыты и в настоящий момент вовсю используются хакерами.  Данные уязвимости присутствуют в Windows 7, 8.1 и всех поддерживаемых верси...

В Twitter нашли ещё одну брешь в безопасности Исследователь в сфере информационной безопасности Ибрагим Балич (Ibrahim Balic) обнаружил уязвимость в мобильном приложении Twitter для платформы Android, использование которой позволило ему сопоставить 17 млн телефонных номеров с соответствующими учётными записями пользоват...

Все магазины Apple в мире закрываются до 27 марта. Кроме китайских   Apple объявила, что закроет все магазины Apple Store за пределами Китая из-за пандемии коронавируса. Запрет на их работу действует до 27 марта: На сегодняшний день все наши магазины в Большом Китае открылись. Я также хочу поблагодарить операционную команду и пар...

Обнаружены новые методы защиты вредоносных программ от обнаружения Среди обнаруженных методов выделяются два: обфускация строк и обфускация контрольного потока. Суть обфускации состоит в намеренном усложнении и запутывании программного кода: он изменяется так, чтобы посторонний не мог его изучить.Ранее ESET уже сообщала об опасных действия...

[Перевод] Matlab vs. Julia vs. Python Я использовал MATLAB более 25 лет. (А до этого я даже использовал MATRIXx, земля ему пухом.) Это не первый язык, на котором я научился программировать, но это тот язык, с которым я достиг математического совершеннолетия. Знание MATLAB было полезным для моей карьеры. Тем не ...

Пишем простой WYSIWYG-редактор с помощью ProseMirror Когда в Sports.ru понадобился свой WYSIWYG-редактор, мы решили сделать его на основе библиотеки ProseMirror. Одной из ключевых особенностей этого инструмента является модульность и широкие возможности кастомизации, поэтому с его помощью можно очень тонко подогнать редактор п...

Мир в опасности. Хакеры взломали умные лампочки Известная компания Check Point Software, специализирующаяся на кибербезопасности, рассказала о найденной уязвимости у самых популярных на рынке умных ламп Philips Hue.  Белые хакеры смогли взломать систему из лампочек Philips Hue и управляющего устройства Philips ...

[Из песочницы] «Взломать» за 60 секунд или карантинное безумие Небольшая история о неадекватном заказчике и нахождении уязвимости на сайте за 1 минуту. Не ожидал, что именно эта история станет моей первой статьей на Хабре. Пишу пока горячо! Все что Вы прочитаете далее — это не призыв к действию или попытка кого — либо скомпрометиров...

[Из песочницы] 20 советов пилоту DJI Mavic Mini, чтобы уберечь свой дрон от крушений и утраты Адекватная цена на летающую камеру профессионального качества, компактный размер, простое управление и большой ресурс аккумуляторов уже сделали Миник «народным» дроном для фотографов, путешественников и энтузиастов. Но этот квадрокоптер — не для рекордов высоты, дальности...

Kaspersky о проблемах безопасности мобильных сетей 5G Эксперты «Лаборатории Касперского» изучили риски, которые связаны с грядущим переходом на сотовую связь пятого поколения (5G). По словам аналитиков, спектр угроз включает как еще не известные уязвимости новых технологий, так и все несовершенства сегодняшних телеком...

[Из песочницы] Простая машина состояний для VueJS Недавно я наткнулся на интересное обсуждение на Full Stack Radio — Bulding Better UI Components with State Machines. Речь шла о том, что концепция машины состояний может помочь при разработке компонентов Vue. Я начал просматривать готовые решения, но они оказались не столь...

Хакеры начали взламывать аккаунты в Instagram с помощью фотографии Сотрудниками компании Check Point была найдена уязвимость в популярной социальной сети Instagram, благодаря которой хакеры взламывали учетные записи с помощью фотографии.

[Перевод] «Давайте использовать Kubernetes!»: как получить 8 проблем Это перевод вводной статьи об использовании Kubernetes: «Let’s use Kubernetes!» Now you have 8 problems Если вы используете Docker, то следующим логичным шагом будет Kubernetes, известный как K8s. Именно так вы обеспечиваете эксплуатацию своих продуктов, верно? Ну, возможн...

Самый сочный веб-апп. Громим OWASP Juice Shop — полигон для атак на веб-приложения Для подписчиковBug bounty, то есть поиск уязвимостей ради получения награды, становится все более популярным. Перед начинающим багхантером часто стоит задача потренироваться на живом примере, но при этом ничего не сломать и не нарушить закон. В этом тебе поможет прекрасный, ...

Мониторинг БД Oracle с помощью OEM Привет! Меня зовут Александра, я работаю в команде тестирования производительности. В этой статье расскажу базовые сведения об OEM от Oracle. Статья будет полезна для тех, кто только знакомится с платформой, но и не только для них. Основная цель статьи — помочь провести бы...

VMware закрыла RCE-уязвимость в ESXi и Horizon Разработчики VMware выпустили патчи к уязвимостям, о которых стало известно на хакерском турнире Tianfu Cup. Участники ноябрьских состязаний взломали аппаратный гипервизор ESXi, получив возможность выполнить сторонний код в целевой системе. Эксплойт принес этичным хакерам $2...

Группа акционеров подала в суд на Zoom из-за сокрытия данных об уязвимостях в приложении — это якобы помешало росту акци С помощью Zoom хакеры могут прослушивать совещания, получать доступ к управлению компьютерами или защищённым файлам, выяснили специалисты по безопасности.

Пользователи Windows 10 в опасности. Microsoft настоятельно рекомендует всем обновить ОС Компания Microsoft опубликовала важное обновление для операционной системы Windows 10, которые настоятельно рекомендуют установить всем пользователям. Рендмондская компания при помощи этого обновления закрыла четыре очень серьезные бреши в системе безопасности операцион...

Более миллиарда iPhone и смартфонов Android под угрозой Словацкая компания ESET, специализирующаяся на кибербезопасности, обнаружила уязвимость, которая присутствовала более чем на одном миллиарде устройств с поддержкой Wi-Fi.  Уязвимость получила название Kr00k. Специалисты выяснили, что источником проблемы стали микр...

Уязвимость в Citrix позволяет взломать сеть за минуту Эксперты из Positive Technologies и Flutter Entertainment обнаружили критическую уязвимость в двух продуктах Citrix, которая потенциально угрожает 80 тыс. компаний в 158 странах. По их оценкам, CVE-2019-19781, позволяющая меньше чем за минуту взломать корпоративную сеть, мож...

Обнаружена спам-кампания, связанная с коронавирусом В Check Point также сообщают о росте использования уязвимости «Удаленное выполнение кода MVPower DVR», которая затрагивает 45% организаций во всем мире.

Статическое тестирование безопасности опенсорсными инструментами Уязвимости в своём коде хочется находить как можно быстрее, а значит нужно автоматизировать этот процесс. Как именно автоматизировать поиск уязвимостей? Существует динамическое тестирование безопасности, существует статическое — и у обоих свои преимущества и недостатки. Сег...

Что такое XSS-уязвимость и как тестировщику не пропустить ее По моему наблюдению довольно много тестировщиков когда-либо слышали такое понятие, как XSS-уязвимость. Но мало кто может просто и на пальцах рассказать на собеседовании про нее. Или эффективно проверить веб-сайт на наличие этой уязвимости. Давайте вместе разберемся со всем э...

FortiMail — конфигурация для быстрого запуска Приветствуем! Сегодня мы расскажем как сделать первичные настройки почтового шлюза FortiMail – решения компании Fortinet для защиты электронной почты. В ходе статьи мы рассмотрим макет, с которым будем работать, выполним конфигурацию FortiMail, необходимую для приема и про...

[Перевод] Не хочу Visual Studio Code: 7 open source альтернатив В этом переводе расскажем про альтернативные редакторы кода, которые ничуть не уступают VS Code, а при грамотном подборе расширений даже превосходят его. Редактор Visual Studio Code, также известный как VS Code работает на Linux, Windows и macOS. Он занимает промежуточное...

Делегирование в проектах разработки ПО Статья подчеркивает необходимость, а также описывает способы разумного уклонения от личного участия в задачах, лежащих вне плана управления проектом, при помощи делегирования и выделения в команде самоорганизованных узлов. Как ...

GIGANEWS. Все самые важные новости безопасности за 2019 год Для подписчиковПодходит к концу 2019 год, а значит, пришло время подвести его итоги и подумать о том, какие тренды ожидают нас в грядущем 2020 году. В конце этой статьи ты найдешь прогнозы ведущих ИБ-компаний, а пока давай вспомним, какими взломами, уязвимостями и прочими ин...

Гарвардский генетик разрабатывает прототип приложения для знакомств с анализом ДНК На дня ученый из Гарварда Джордж Черч дал американскому телеканалу CBSN интервью, в котором заявил, что работает над прототипом приложения для знакомств, которое будет анализировать ДНК-совместимость пользователей. Речь идет о поиске у пар общих рецессивных мутаций. Черч ...

[Перевод] Уязвимости real-time операционок В июле 2019 года в операционной системе реального времени VxWorks, на которой работают более 2 миллиардов устройств, найдены критические уязвимости. На Хабре про это не написали ни слова, хотя это важная новость в области промышленного программирования, RTOS и automotive. ...

Ищем цепочку событий в потоке данных с помощью FlinkCEP В данной статье речь пойдет об использовании открытой платформы Apache Flink для обнаружения цепочки последовательности событий. Статья подойдет как для начинающих разработчиков в области обработки потоковых данных, так и для тех, кто желает познакомиться с Apache Flink. Н...

Две уязвимости в продуктах Trend Micro уже эксплуатируют злоумышленники Разработчики Trend Micro исправили две 0-day уязвимости в своих продуктах, а также еще три критических бага, до которых пока не добрались хакеры.

В Китае начали собирать информацию о здоровье граждан с помощью дронов В Китае продолжается вспышка опасного коронавируса COVID-2019. Власти страны борются с ним самыми разными способами. Теперь в Китае начали собирать информацию о здоровье граждан с помощью дронов.

Геомагнитные бури оказались опасны для спутников и ДНК космонавтов Использовав собранные проектом THEMIS (Time History of Events and Macroscale Interactions during Substorms) данные, исследователи Национального управления США по аэронавтике и исследованию космического пространства (НАСА) пришли к выводу, что источник возмущений магнитосферы...

Hack The Box. Прохождение RE. Metasploit, нагрузка в офисном документе, Zip Slip атака, немного о PowerSploit и токенах Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox. Надеюсь, что это поможет хоть кому-то развиваться в области ИБ. В данной статье намучаемся с нагрузками metasрloit и msfvenom, сделаем Office документ с нагрукой msvenom, рассмотрим поиск ...

Check Point обнаружил в России спам-кампанию, связанную с коронавирусом Исследователи Check Point также сообщают о росте использования уязвимости «Удаленное выполнение кода MVPower DVR», которая затрагивает 45% организаций во всем мире.

Как избежать популярных ошибок сетевой безопасности В середине сентября стало известно об утечке почти 2Тб данных, в которых содержалась информация о работе системы оперативно-розыскных мероприятий (СОРМ) в сети одного российского оператора связи. Утечка произошла из-за неправильно настроенной утилиты резервного копирования...

Microsoft настоятельно рекомендует всем пользователям обновить Windows 10 Компания Microsoft настоятельно рекомендует пользователям компьютеров на базе Windows 10 установить последнее обновление операционной системы.Связано это с тем, что последний апдейт закрывает четыре очень серьезные бреши в системе безопасности ОС. Злоумышленники, воспользова...

KRACK на практике. Как работает атака на Wi-Fi с применением нашумевшей техники Для подписчиковОсенью 2017 года мир узнал о новой угрозе безопасности сетей Wi-Fi. Она затрагивает абсолютно все устройства и программные платформы. Каким бы сложным и длинным ни был пароль, это не поможет, потому что KRACK — уязвимость самого протокола обмена ключами шифров...

ELK, SIEM, Open Distro: Составление отчетов Чтобы защитить вашу корпоративную сеть от угроз и атак, вы всегда должны выполнять тест на уязвимости в своей системе. Для того, чтобы их исправить. Итак, как вы понимаете, работа с отчетами очень важна для любого SOC, потому что она дает обзор уязвимостей, которые могут быт...

[Из песочницы] Способы реализации API-сервера на Golang с автогенерацией кода и документации Я бы хотел в этой статье рассказать вам о том как можно быстро и просто сделать веб сервер на языке Golang с документацией к нему. И о том какие есть подходы и инструменты для их реализации Сегодня мы разберем эти готовые инструменты: swagger-api/swagger-codegen go-swagger/...

Как одним сообщением вывести iPhone из строя. Найдена новая «текстовая бомба» Энтузиасты обнаружили новую «текстовую бомбу», которая может вывести из строя iPhone, iPad и iPod touch с помощью единственного сообщения.  Уязвимость наблюдается у всех устройств с iOS 13 и iPadOS 13. По состоянию на 27 января на этих версиях ОС работ...

Редактор кода Visual Studio Code. Самый подробный гайд по настройке и установке плагинов для начинающих Бесплатный, мощный, очень популярный, с кучей дополнений, да что там говорить, сам Фейсбук выбрал его в качестве основного редактора! Сегодня речь пойдет о редакторе кода Visual Studio Code или просто VS Code. Мы с тобой его установим, настроим, а также применим плагины, к...

Бомбу времён Второй мировой войны взорвали в Венеции Снаряд массой 225 кг обнаружили в промышленном районе Маргера, где располагается грузовой порт Венеции и множество других объектов. Специалисты отметили, что обнаруженный боеприпас относится к периоду Второй мировой войны и содержит около 129 кг тротила. #Bombaday #Diretta...

Найден способ взлома Android-устройств через Bluetooth без сопряжения Компания ERNW, специализирующаяся на информационной безопасности, сообщила об обнаружении нового способа взлома Android-устройств.Специалисты доказали, что Android-смартфоны можно взламывать удалённо через Bluetooth. Дело в том, что устройства, управляемые операционными сист...

Citrix и FireEye выпустили инструменты для обнаружения уязвимых продуктов Разработчики Citrix и FireEye выпустили решения для обнаружения компрометации в связи с ранее уязвимостью CVE-2019-19781, которая затрагивает некоторые версии Citrix Application Delivery Controller (ADC), Citrix Gateway, а также две ранние версии Citrix SD-WAN WANOP.

Чужой код — потемки: чем опасно скачивание «безобидного» софта с GitHub Наверное, каждый из тех, кто читает эту статью, хорошо знаком с GitHub — крупнейшим веб-сервисом для хостинга IT-проектов и их совместной разработки. Здесь можно найти почти любой open source-проект. Для компиляции проекта может быть нужен какой-то специфический софт, кото...

Пользователи Chrome в опасности. Google просит всех обновиться Компания Google потратила довольно много времени на доработку финальной версии браузера Chrome 81, однако все ошибки найти и устранить так и не удалось. Через несколько дней после начала распространения Chrome 81 поисковый гигант подтвердил, что в коде браузера обнаруже...

Команда Hacksmith воссоздала чрезвычайно опасный протомеч из вселенной Звездных Войн Несмотря на то, что сага «Звездные войны» является космической оперой, а не научно-фантастическим фильмом, помимо множества допущений в ней есть и рациональные элементы. В частности, по канону этой вымышленной вселенной до появления полноценных световых мечей воители применя...

[Перевод] Проверка образов с помощью Gitlab CI/CD Всем привет, в преддверии старта курса «CI/CD на AWS, Azure и Gitlab» подготовили перевод интересного материала. В этой статье мы поговорим о том, как проверять образы контейнеров на платформе Gitlab CI/CD с помощью Sysdig Secure. Образы контейнеров, которые не соответст...

Ловушки для хакера. Обнаруживаем взлом на раннем этапе с помощью Canarytokens До изобретения газоанализаторов шахтеры брали c собой в шахту канарейку. Из-за маленького организма и быстрого обмена веществ, птицы намного раньше реагировали на опасные газы в воздухе и предупреждали шахтеров. Отсюда появился термин Свидетельство канарейки Что если вас ...

Обнаружена причина развития нового опасного вируса Издание Journal of Medical Virology опубликовало новое исследование, в рамках которого ученые осуществили генетический анализ нового опасного коронавируса из Китая, что позволило установить наиболее точную причину его возникновения.

Security Week 20: взлом компьютера через Thunderbolt Давно в нашем дайджесте не было задорных исследований про аппаратные уязвимости. Голландский исследователь Бйорн Рютенберг нашел семь дыр в контроллерах Thunderbolt (сайт проекта, научная работа, обзорная статья в Wired). Так или иначе все уязвимости позволяют обходить ключе...

Для AMD нашёлся свой Spectre: обнаружены критические уязвимости в процессорах Zen/Zen 2 Интересная и перспективная процессорная архитектура AMD Zen и её последующие версии заслуженно привлекли к себе внимание и любовь потребителей. Но каждая медаль имеет две стороны. Оборотной стороной растущей популярности процессоров AMD стало растущее же число обнаруженных у...

В Windows обнаружена новая критическая уязвимость Практически ничем не прикрытый «черный ход» для любого рода злоумышленников содержится в компоненте Server Message Block (SMB) версии 3.1.1. Особым образом сконфигурированные пакеты, отправленные на компьютер, который работает под управлением операционной системы с этим прог...

Что такое атака 51%? 1 Что такое атака 51%? Атака 51% — это уязвимость PoW-блокчейнов, с помощью которой злоумышленник захватывает контроль над подтверждением транзакций и генерацией блоков. 2 Что дает обладание 51% мощности сети? Имея в распоряжении 51% мощности, атакующие: не дают остальным ма...

Hack the web! Как проверить сайт на уязвимости и как их эксплуатируют Для подписчиковВзлом сайтов — один из самых распространенных типов атак. Если тебе интересно, как взламывают сайты и на что нужно обратить внимание, чтобы защитить свой ресурс, то эта статья для тебя. Здесь я разберу самые начала пентеста веб-приложений и на примерах покажу,...

6 болезней, возникновение которых можно определить по запаху изо рта Отказ печени Дыхание с запахом сырой рыбы — признак того, что печень больше не справляется со своей работой и не может перерабатывать токсины. Опасные вещества накапливаются к моче, поте и дыхании — и придают ему специфический запах. Рак легких Израильские ученые разработали...

Благодаря WhatsApp злоумышленники могут красть файлы с компьютера Специалист по Javascript и безопасности Гал Вейцман (Gal Weizman) из PerimeterX раскрыл технические подробности нескольких серьёзных уязвимостей в популярном мессенджере WhatsApp.  Речь идёт о недочётах в безопасности десктопных клиентов WhatsApp на Windows...

Банковские приложения в опасности Данные основаны на результатах анализа четырнадцати мобильных приложений семи банков России и стран СНГ (для Google Play и App Store) экспертами Positive Technologies в 2019 г. Согласно результатам исследования, ни одно приложение не обладало приемлемым уровнем защищенности....

ТОП-3 ИБ-событий недели Всем привет! Мы в Jet CSIRT постоянно следим за происходящим в мире ИБ и решили делиться главным в нашем блоге. Под катом — о критических уязвимостях в Cisco Webex и ряде систем АСУ ТП, а также о новой атаке группировки Lazarus. Читать дальше →

Хакатоны. Как выжать максимум и выжить Доброго всем времени суток! Меня зовут Александр Михалин — я .NET разработчик в компании “Рексофт”. За моей спиной 7 хакатонов, причем один в качестве члена жюри. Я не спал 8 ночей, выпил 52 чашки кофе, 15 банок редбулла, со мной в команде побывали 24 человека. Сегодня я х...

Windows обновилась — внутри кое-что важное Microsoft оперативно фиксит уязвимости

Microsoft заплатит до 20 000 долларов за уязвимости в Xbox Live В зависимости от серьезности бага.

[Перевод] PuppetConf 2016. Kubernetes для сисадминов. Часть 1 Я системный администратор, занимаюсь компьютерами, и сегодня мы поговорим о Kubernetes. Я постараюсь глубже окунуться в тему, рассмотрев, какие проблемы сисадмин может решить с помощью этого приложения, и также затрону некоторые моменты эксплуатации Puppet, которая вроде как...

NVIDIA исправила серьезные DoS-уязвимости в своем драйвере и не только Разработчики NVIDIA устранили ряд проблем в драйверах компании, а также в составе NVIDIA Virtual GPU Manager.

Китай развернул самую масштабную кибершпионскую кампанию последних лет Поставщик решений и услуг в области информационной безопасности, фирма FireEye, отметила, что между 20 января и 11 марта 2020 г. APT41 предприняла попытки эксплуатации уязвимостей в программных оболочках оборудования Citrix, Cisco и Zoho у всех 75 корпоративных клиентов фирм...

Сказ о том, как сделать машину времени для базы данных и случайно написать эксплойт Доброго времени суток, Хабр. Приходилось ли вам задумываться как поменять время внутри базы данных? Легко? Ну в некоторых случаях да, несложно — linux команда date и дело в шляпе. А если нужно поменять время только внутри одного экземпляра бд если их на сервере несколько? А...

Первые шаги с aiohttp: часть 2. Подключаем базу данных к приложению Привет!В прошлой статье мы познакомились с aiohttp и написали на нем свое первое веб-приложение: стену с отзывами.В этой статье мы продолжим изучение и подключим к нашему приложению базу данных PostgreSQL, используя для этого Gino, SQLAlchemy и Aiopg, а также автоматически с...

[Перевод] Представляем Visual Studio Codespaces: облачная разработка, где бы вы ни были Поскольку все мы внедряем такие практики, как социальное дистанцирование и удаленная работа, команды разработчиков стали более распределенными. Наша собственная команда столкнулась с некоторыми проблемами, которые являются частью этого перехода, и это побудило нас усилить ра...

Эксплойт-пак BottleEK атакует японских пользователей Исследователи из команды nao_sec сообщили о ранее неизвестном эксплойт-паке, получившем название BottleEK. Вредоносный инструмент, ориентированный на японских пользователей, предположительно устанавливает на компьютер жертвы программу для кражи данных. Злоумышленники начали ...

Эксплойт-пак Bottle атакует японских пользователей Исследователи из команды nao_sec сообщили о ранее неизвестном эксплойт-паке, получившем название Bottle. Вредоносный инструмент, ориентированный на японских пользователей, предположительно устанавливает на компьютер жертвы программу для кражи данных. Злоумышленники начали ег...

В интерфейсе Thunderbolt обнаружены уязвимости Исследователь компьютерной безопасности Бьёрн Руйтенберг (Björn Ruytenberg), работающий в техническом университете Эйндховена, рассказал об уязвимостях, обнаруженных в компьютерах, оснащенных интерфейсом Thunderbolt. По его словам, эти уязвимости приводят к тому, ч...

Разбор тестовых заданий на стажировку в UX-редакцию Авито Привет! Я Юля Трусова, старший UX-редактор в Авито. В этом году мы снова набирали стажёров, которые будут писать интерфейсы, лендинги, рассылки и многое другое.В этой статье разберём типичные ошибки, которые кандидаты допускали в тестовом задании, и покажем удачные решения. ...

PDFelement – отличный PDF редактор (Mac) События последних месяцев привели к тому, что многие люди начали работать удаленно. Однако далеко не все могут быстро перестроиться под новый формат. Дополнительные сложности заключаются в отсутствии удобных инструментов. Например, пользователи «путаются» в форматах текстовы...

В GeForce Experience нашли серьезную уязвимость Компания NVIDIA исправила серьезную ошибку в программе GeForce Experience, предназначенной для оперативного обновления драйверов видеокарт, оптимизации настроек и стриминга игрового процесса. Уязвимость позволяет злоумышленнику расширить свои привилегии на Windows или вызват...

5G-оборудование ZTE позволит дистанционно диагностировать коронавирус в Ухане Поскольку смертельно опасный коронавирус продолжает распространяться за пределы Уханя (Китай), в настоящее время специалисты из других частей страны обращаются к новым технологиям для диагностики и лечения заболевания. Jeremy Horwitz/VentureBeat Китайский производитель телек...

Уязвимость Android позволяет отправлять вирусы через Bluetooth Обновление получат не все устройства.

Компания Origin PC собрала игровую систему в игрушечной машине Tesla Model S Компания Origin PC сконструировала игровую систему в игрушечной машине Tesla Model S. Название компьютера Ludicrous PC. В машину была установлена сборка на базе процессора AMD Ryzen 9 3900X и NVIDIA GeForce RTX 2080 Ti. Машина не потеряла свои возможно, она также может езд...

На «Госуслугах» масштабная утечка О проблеме сообщил основатель российской компании DeviceLock Ашот Оганесян. Он отметил, что все утекшие данные можно было без труда скачать на одном из форумов, специализирующихся на распространении подобного рода информации.Ашот Оганесян сказал, что база данных содержала св...

Вышли декабрьские патчи для Android Компания Google опубликовала очередной бюллетень с перечнем уязвимостей, устраненных в мобильной ОС. Полтора десятка из них актуальны для всех Android-устройств вне зависимости от производителя. Самая серьезная проблема, по оценке разработчиков, связана с ошибкой в коде комп...

[Перевод] Проверяем на уязвимости любой сайт с помощью Nikto Всем привет! В марте OTUS запускает новый курс «Практикум по Kali Linux». В преддверии старта курса подготовили для вас перевод полезного материала. Также хотим пригласить всех желающих на бесплатный урок по теме: «Denial of Service атаки и защита от них». Перед тем как ат...

[Перевод] Hyper-V для разработчиков под Windows 10 Hyper-V более известен как технология виртуализации серверов; однако, начиная с Windows 8, он также доступен в клиентской операционной системе. В Windows 10 мы значительно улучшили работу, сделав Hyper-V отличным решением для разработчиков и ИТ-специалистов.   Microsoft Hype...

Слух: релиз Windows 10 May 2020 Update состоится 28 мая Основной этап разработки Windows 10 May 2020 Update (версия 2004) был завершён ещё в декабре прошлого года, и с того момента новая версия система получает накопительные обновления для исправления обнаруженных ошибок. Казалось, что публичный релиз состоится 12 мая в рамках е...

Обнаружена уязвимость нулевого дня для Windows Ею уже успели воспользоваться злоумышленники.

Американские ученые тестируют новые способы очистки от радиации Можно ли построить орбитальное средство для защиты от радиации? Когда 9 июля 1962 года военные из США сбросили 1,4-мегатонную ядерную бомбу на околоземную орбиту, высокоэнергетические электроны, выброшенные радиоактивным мусором от разорвавшейся бомбы, не самым положительным...

У стартапа NULS украли 2 млн токенов. Проект готовит срочный хардфорк сети Хакеры взломали аккаунт команды блокчейн-проекта NULS и украли 2 млн токенов (примерно $484 тысячи на момент похищения), воспользовавшись критической уязвимостью в системе безопасности. *Security Update* pic.twitter.com/GN41agKgi1 — NULS (@Nuls) December 22, 2019 По словам р...

1000 и 1 пост: с Днём рождения, Хабр ❤ 26 мая — День рождения Хабра. А ещё вышла наша 1000-ая публикация, которой могло бы не быть, если бы Хабр не был тем, который он есть. В этой статье мы расскажем о нашем пути и о наших выводах, которые удалось сделать за 4 года ведения блога. Но это ниже, под катом. А здесь ...

Безопасность REST API от А до ПИ Введение Умение реализовать грамотное REST API — полезный навык в наше время, т.к. все больше сервисов предоставляют свои возможности с помощью API. Но разработка REST API не ограничивается реализацией HTTP запросов в определенном стиле и формированием ответов в соответстви...

HackTheBox. Прохождение OpenAdmin. RCE в OpenNetAdmin и GTFOBins в nano Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox. В данной статье мы проэксплкатируем RCE в OpenNetAdmin, покопаемся в конфигах веб сервера, прокинем порт с помощью SSH Forwarding, крякнем пароль к ключу SSH и используем технику GTFOBin...

Инженеры Cisco научились взламывать смартфоны и ПК с помощью 3D-моделей отпечатков пальцев С момента появления биометрической аутентификации методом сканирования отпечатков пальцев не утихают споры о надёжности предложения. Инженеры компании Cisco решили поставить если не точку в этом споре, то хотя бы обозначить более-менее чёткие границы уязвимости подобной защи...

26 кулинарных лайфхаков с фольгой, которые пригодятся в хозяйстве Тонкие листы алюминия помогут сохранить чистоту и порядок, испечь торт любой формы и даже запаять пакет.

Не Meltdown единым: В стандарте Intel Thunderbolt найдена уязвимость, позволяющая воровать данные даже с заблокированного ноутбука. Уязвимы все устройства, выпущенные до 2019 года В стандарте Thunderbolt обнаружены уязвимости, которые могут позволить хакерам получить доступ к содержимому накопителя заблокированного ноутбука в течение нескольких минут. Об этом заявил исследователь в сфере информационной безопасности из Технологического университета Эйн...

«Адская» магнитола, печальная динамика, вчетвером не покатаешься: Владелец честно рассказал о минусах новой Toyota Camry Такая желанная машина — а стала полным разочарованием. Японский седан Toyota Camry остается одной из самых популярных машин — чего только стоят ее высокие места в рейтингах по угоняемости. Как и все автомобили «Тойота», эта модель славится надежностью, ликвидностью, вместит...

[Перевод] Создаем план действий с помощью AWS Cloud Adoption Framework Перевод статьи подготовлен специально для студентов курса «Cloud Solution Architecture». Источник Скачать руководство Планы действий AWS CAF помогут вам подготовиться к переходу на облачный стек технологий. Путешествие начинается с того, что ваша команда руководителей...

Google сделала электронную почту заметно удобнее Компания Google представила новую функцию для сервиса электронной почты Gmail. Пользователи теперь смогут отправлять письма в виде вложений.  По задумке, это позволит положить конец бесконечным цепочкам писем, раздражающих многих пользователей. Письма прикр...

Почему летучие мыши считаются идеальными переносчиками болезней? По данным Всемирной организации здравоохранения, вирус Эбола и вирус Марбурга, которые входят в список самых опасных патогенных вирусов, известных на данный момент, предположительно были получены от летучих мышей. Кроме того, к передаче возбудителя бешенства, SARS, MEPC и, ...

Apple заплатила $75 000 хакеру, который нашёл уязвимость камеры в iPhone и MacBook Apple заплатила $75 000 хакеру, который нашёл уязвимость камеры в iPhone и MacBook. По текущему курсу, это почти шесть млн рублей.

Adobe устранила 42 бага, 34 из которых были критическими Февральские обновления Adobe суммарно исправляют 42 уязвимости в Framemaker, Acrobat и Reader, Flash Player, Digital Editions и Experience Manager.

В приложении Twitter для Android найдена критическая уязвимость Сервис Twitter заявил, что в его приложении для операционной системы Android имеется критическая уязвимость. ***

Поддельные AirPods оказались опасными для здоровья Французский журнал 60 Millions de Consommateurs решил протестировать несколько клонов наушников AirPods, которые массово производятся в Китае. Оригинальные AirPods продаются за 159 долларов США, новая версия AirPods Pro стоит 249 долларов. Поэтому понятно желание многих...

Security Week 32: уязвимость в GRUB2 29 июля компания Eclypsium опубликовала исследование новой уязвимости в загрузчике Grub2, массово используемом в системах на базе Linux — от ноутбуков и IoT-устройств до серверов. Суть уязвимости довольно простая: ошибки при обработке текстового конфигурационного файла grub....

[Перевод] «Kubernetes увеличил задержку в 10 раз»: кто же в этом виноват? Прим. перев.: Эта статья, написанная Galo Navarro, что занимает должность Principal Software Engineer в европейской компании Adevinta, — увлекательное и поучительное «расследование» в области эксплуатации инфраструктуры. Её оригинальное название было немного дополнено в пере...

IoT под прицелом Cпециалисты Check Point рассказали об угрозах информационной безопасности, которым подвержен Интернет вещей. По данным компании, многие предприятия даже не предполагают, какое количество IoT-устройств они уже применяют. При этом по оценке Check Point, крупные корпорации испо...

3D принтер CreatBot PEEK 300. Видео обзор промышленного 3Д принтера для печати PEEK пластиком. Всем привет друзья, с Вами 3DTool!Creatbot PEEK 300 – заявка производителя на промышленный FDM сегмент. Это видно сразу по нескольким косвенным и прямым признакам.Во-первых, вынесенная из активной зоны нагрева кинематика, во-вторых, толстые двухслойные стенки смотровых окон,...

Зараженная коронавирусом женщина исцелилась без помощи врачей Журналисты издания Global Times взяли интервью у китаянки Джиа На, которой удалось исцелиться от коронавируса без помощи врачей. Так, зараженная опасным вирусом поделилась методами лечения в домашних условиях.

Чек-лист устранения SQL-инъекций По всему миру происходят атаки с использованием SQL-инъекций, которые продолжают представлять угрозу информационной безопасности. Успешная атака с использованием таких уязвимостей может привести к компрометации персональных данных и несанкционированному доступу к серверу. А ...

Баг Safari в iOS 13 позволяет любому просматривать историю браузера пользователя Не делитесь своими файлами с кем попало В iOS 13 и macOS Catalina была найдена новая уязвимость, которая позволяет практически любому получить доступ к истории браузера Safari другого пользователя. По непонятным причинам Safari Web Share API, который отвечает за меню «Подели...

Blackrota, самый обфусцированный backdoor, написанный на Go Самый обфусцированный ELF вредонос на Go, который мы встречали на сегодняшний день.ПредисловиеНедавно, вредоносный бэкдор, написанный на Go, который эксплуатировал уязвимость несанкционированного доступа в Docker Remote API, был пойман на Honeypot Anglerfish.Мы назвали его B...

Найдены уязвимости в плагинах InfiniteWP, WP Time Capsule, WP Database Reset для WordPress на 400 тысячах сайтов Нужно срочно обновить их до последних версий.

Microsoft устранила в Windows найденную спецслужбами США уязвимость Речь идет о криптографической ошибке, названной CVE-2020-0601 и угрожающей пользователям Windows 10, Windows Server 2019 и Windows Server 2016.

[Перевод] Определяем подходящий размер для кластера Kafka в Kubernetes Прим. перев.: В этой статье компания Banzai Cloud делится примером использования её специальных утилит для облегчения эксплуатации Kafka в рамках Kubernetes. Приводимые инструкции иллюстрируют, как можно определить оптимальный размер инфраструктуры и настроить саму Kafka для...

Оборудование для «суверенного рунета» модернизируют за счет государства Соответствующие документы опубликованы 17 февраля на портале правовой информации, сообщает "КоммерсантЪ".Закон о "суверенном рунете" вступил в силу 1 ноября 2019 года. Он обязывает операторов устанавливать на сетях ТСПУ, которые позволят фильтровать траф...

IDA Pro и техники реверс-инжиниринга 0x00 start ; {EN} entry point, do nothing, just run _main {EN} Статья для начинающих “воинов тьмы”, тех, кто хочет погрузиться в темную сторону силы: реверс-инжиниринг. На нашем “операционном столе” будет небольшой кустарный сервер, который работает по протоколу TCP/IP. Для ...

Компания Apple выпустила обновления для всех своих ОС Разработчики Apple выпустили десятки заплаток для macOS, iOS, iPadOS, watchOS и других продуктов компании. Обновления устраняют уязвимости исполнения кода и несанкционированного повышения прав, угрозы DoS-атак и чтения закрытых данных. Больше всего патчей получила macOS Cata...

Исследуем качество кода операционной системы Zephyr Недавно мы рассказывали, что анализатор кода PVS-Studio начал интегрироваться с PlatformIO. Естественно, при этом команда разработчиков PVS-Studio общалась с командой PlatformIO и те предложили ради интереса проверить код операционной системы реального времени Zephyr. Почем...

Сентябрьские обновления Windows 10 нарушают работу принтеров у некоторых пользователей Уязвимость Print Nightmare никак не удается окончательно исправить без последствий.

Новая критическая уязвимость ставит под угрозу все ОС Windows за 20 лет Очередная уязвимость от Microsoft угрожает сотням миллионам пользователей

В драйвере NVIDIA найдена критическая уязвимость - затронуты все версии Windows 7 и Windows 10 Всем пользователям рекомендуется срочно обновиться

Уязвимость в Slack позволяла захватывать аккаунты Разработчики Slack исправили уязвимость, которая принесла обнаружившим ее исследователям 6 500 долларов США.

Snort или Suricata. Часть 3: защищаем офисную сеть В предыдущей статье мы рассказали, как запустить стабильную версию Suricata в Ubuntu 18.04 LTS. Настроить IDS на одном узле и подключить бесплатные наборы правил довольно несложно. Сегодня мы разберемся, как с помощью установленной на виртуальном сервере Suricata защитить ко...

В Эстонии разработали роботов-пожарных нового поколения Тушение пожаров – чрезвычайно опасный вид человеческой деятельности, связанный с колоссальным риском для жизни. Особую опасность представляют пожары в крупных складских помещениях и на химических предприятиях, сопровождаемые выделением большого количества токсичного дыма. Из...

[Из песочницы] Как использовать несколько языков программирования и не сойти с ума Привет, Хабр! Представляю вашему вниманию перевод статьи «How to use multiple programming languages without losing your mind» автора Bart Copeland. Сопливое нытьё про FSF и Red HatКароч, тема такая: я им написал, а они не ответили. Ну ладно бы Массивсофт, который вообще ник...

Google объяснила, почему нужно установить последнее обновление Android Google выпустила январское обновление безопасности, которое, впрочем, доступно далеко не всем Я уже много раз высказывал своё мнение насчёт обновлений безопасности, которые, на мой взгляд, являются вещью совершенно бесполезной с практической точки зрения. Но кто я такой, что...

Как я «умный» телевизор Samsung до ума доводил — расширенный отзыв “Каждый человек обязан, по меньшей мере, вернуть миру столько, сколько он из него взял.” — Альберт Эйнштейн В своей первой статье на Хабре мне хотелось бы поделиться с уважаемыми читателями подробной информацией о достоинствах и недостатках, а также личным опытом настройки ...

Проблема Kr00k угрожает устройствам с Wi-Fi чипами Qualcomm и MediaTek Специалисты ESET обнаружили, что перед уязвимостью Kr00k, обнаруженной в начале 2020 года, уязвимо даже больше устройств, чем считалось ранее.

В Firefox закрыли уже применяемую критическую уязвимость нулевого дня Она позволяла злоумышленникам получать доступ к памяти, который обычно закрыт.

Microsoft выпустила экстренные патчи для четырёх уязвимостей нулевого дня в Exchange Атаки через них пока происходят нечасто, но это может измениться

0-day уязвимость в iOS используется хакерами с 2018 года. Патча пока нет ИБ-компания ZecOps обнаружила уязвимость и «почтовый» эксплоит для iOS. Уязвимость используется для атак с 2018 года и не требует взаимодействия с пользователем.

В Минкомсвязи рассказали об итогах учений по автономному Рунету Проверили безопасность абонентов связи и уязвимость «умных» устройств

Экспертам Kraken удалось за 15 минут извлечь seed-фразу из биткоин-кошелька Trezor Специалисты Kraken Security Labs сообщили, что нашли критическую уязвимость в аппаратных кошельках Trezor, открывающую возможность извлечения seed-фразы в течение 15 минут. 🚨It took Kraken Security Labs just 15 minutes to hack both of @trezor’s crypto hardware wallet...

[Перевод] Осторожнее с редактированием bash-скриптов Предположим, я написал такой bash-скрипт с названием delay.sh. Как думаете, что он делает? #!/bin/bash sleep 30 #rm -rf --no-preserve-root / echo "Time's up!" Похоже, он ожидает 30 секунд, а затем выводит сообщение на экран. Здесь никаких фокусов — он делает именн...

[Перевод] Как создать свой первый open source проект на Python (17 шагов) Каждый разработчик ПО должен знать как создать библиотеку с нуля. В процессе работы Вы можете многому научиться. Только не забудьте запастись временем и терпением. Может показаться, что создать библиотеку с открытым исходным кодом сложно, но Вам не нужно быть потрепанным ж...

[Перевод] Электронный нос своими руками Работая в рамках предыдущих проектов с частицами класса PM2,5 [мелкие, потенциально опасные для вдыхания частицы, размером порядка 2,5 мкм / прим. перев.] я заметил одно неудобство – я не мог распознать источники загрязнения, испускающие мелкие частицы. Большинство данных,...

В OpenBSD обнаружены уязвимости повышения привилегий и обхода аутентификации В OpenBSD обнаружены и исправлены четыре серьезные уязвимости, благодаря которым можно было повысить привилегии в системе, а также осуществить обход аутентификации.

В игровом магазине Epic Games Store теперь есть моды для игр Игровой магазин Epic Games Store постепенно расширяет возможности, предлагая пользователям новые функции. Недавно была добавлена функция достижений, теперь в магазине появилась поддержка модов для игр. В данный момент поддержку имеет только одна игра MechWarrior 5. С покупко...

11 друзей RUVDS или Обзор маркетплейса с готовыми образами Недавно в очередном посте о том «как корпоративные редакторы захватили Хабр и совсем не дают вздохнуть свободным авторам», нам поставили в минус, что в нашем блоге слишком много материалов НЕ про услуги компании, ее деятельность и прочее в том же духе. То про лабиринты в иг...

Сигареты выделяют вредные вещества даже после тушения Ежегодно люди выбрасывают до пяти триллионов сигаретных окурков Благодаря предупреждениям по телевизору и на сигаретных пачках с изображениями страшных болезней мы уже прекрасно знаем о вреде курения. Эта вредная привычка очень распространена и в большинстве случаев приводит...

Автоматы по продаже овощей и мяса вытесняют магазины во время карантина Пандемия COVID-19 и всеобщий карантин выявили уязвимость продовольственной системы развитых стран. Ранее почти весь урожай скупался крупными компаниями и оптовыми партиями поставлялся в торговые сети и систему общепита. Сейчас, когда закрыты и супермаркеты, и рестораны, люди...

[Перевод] Опциональная цепочка, объединение с null, и как они меняют наш подход к написанию кода Автор фото — Miguel Á. Padriñán. Доброго времени суток, друзья! Представляю Вашему вниманию перевод статьи Sam Sedighian «Optional Chaining, Null Coalescing and How They Will Change the Way You Write Code». Опциональная цепочка, объединение с null, и как они меняют подхо...

[Перевод] Анализ конфиденциальности данных в мобильном приложении и на сайте TikTok TL;DR Я тщательно изучил защиту конфиденциальности данных в приложении TikTok и на их сайте. Выявлены многочисленные нарушения законодательства, уязвимости и обман доверия пользователей. В этой статье технические и юридические детали. В более простом изложении без техническ...

Полиция округа Ховард в США надеется повысить эффективность с помощью дронов Отдел полиции округа Ховард (HCPD) американского штата Миссури объявил в пресс-релизе, что будет тестировать применение беспилотников в течение года. Эта новость появилась после того, как в ноябре прошлого года рабочая группа рекомендовала отделу полиции купить три беспилотн...

Применение CQRS & Event Sourcing в создании платформы для проведения онлайн-аукционов Коллеги, добрый день! Меня зовут Миша, я работаю программистом. В настоящей статье я хочу рассказать о том, как наша команда решила применить подход CQRS & Event Sourcing в проекте, представляющем собой площадку для проведения онлайн-аукционов. А также о том, что из эт...

Security Week 50: атаки Man-in-the-middle в Confluence и Linux Сразу несколько новостей этой недели описывают атаки типа Man-in-the-middle, а также средства борьбы с ними. Начнем с относительно курьезной новости: уязвимость нулевого дня случайно обнаружил пользователь Твиттера SwiftOnSecurity — анонимная персона, специализирующаяся преи...

«Hello, Checkmarx!». Как написать запрос для Checkmarx SAST и найти крутые уязвимости Привет Хабр! В статье я хочу рассказать о нашем опыте создания своих запросов в Checkmarx SAST. При первом знакомстве с этим анализатором может сложиться впечатление, что кроме поиска слабых алгоритмов шифрования/хеширования и кучи false positive, он ничего больше не...

Как легко заставить врага капитулировать в Age of Civilizations 2  Есть несколько способов победы всего их четыре: 1 и 2 я использую только в крайних случаях, потому, что они неудобные, чаще всего пользуюсь 3 и 4, перейдем к способам: Первый способ Например вы хотите за Швейцарию отхапать кусочек Германии. Необходимо попросить стран сосед...

Синий спектр света оказался... полезным Вопреки распространенному мнению, синий спектр света может быть не таким опасным для нашего сна, как предполагалось в течение последних нескольких лет. С таким заявлением выпустили ученые Манчестерского университета. Результаты исследований команды ученых показали, что...

Код игры Command & Conquer: баги из 90-х. Том первый Американская компания Electronic Arts Inc (EA) выложила в открытый доступ исходный код игр Command & Conquer: Tiberian Dawn и Command & Conquer: Red Alert. Этот код должен помочь игровым сообществам разрабатывать моды и карты, создавать пользовательские юниты и наст...

Очередная уязвимость Android может дать контроль над камерой и привести к потере денег Или же устройство просто может потерять работоспособность.

Первый «вторник обновлений» 2020 года: Microsoft исправила 49 уязвимостей Январские обновления для продуктов Microsoft включают исправления для 49 уязвимостей, восемь из которых получили статус «критических».

Об уязвимостях в АСУ ТП Специалисты проанализировали более 170 новых уязвимостей, выявленных в ПО и программно-аппаратных комплексах, которые массово используются в электроэнергетике, нефтегазовой и химической промышленности...

В процессорах Intel нашли уязвимость для взлома компьютера Специалисты российской компании Positive Technologies нашли уязвимость для взлома компьютера в процессорах Intel. Это касается моделей, выпущенных за последние пять лет.

Появился временный патч для свежей уязвимости в Internet Explorer Разработчики компании Acros Security, создавшие 0Patch, представили исправление для свежей 0-day уязвимости в браузере Internet Explorer, уже находящейся под атаками.

В новой версии WordPress устранили серьезную уязвимость Всем владельцам сайтов на WP рекомендуется проверить свою CMS и обновить ее до актуальной.

Microsoft: найдена серьезная ошибка в работе с криптографическими сертификатами в Windows Уязвимость в Windows 10, Windows Server 2016 и Windows Server 2019 нашли в Агентстве национальной безопасности США, сообщает Washington Post.

В Китае создан робот, помогающий в лечении больных COVID-19 Исследователи из одного из ведущих университетов Китая разработали робота, который, по их словам, может помочь спасти жизни во время вспышки коронавируса. Аппарат состоит из роботизированной руки на колесах, которая может выполнять УЗИ, брать мазки изо рта и прослушива...

Jenkins Pipeline. Что это и как использовать в тестировании Меня зовут Александр Михайлов, я работаю в команде интеграционного тестирования компании ЮMoney.Наша команда занимается приемочным тестированием. Оно включает в себя прогон и разбор автотестов на критичные бизнес-процессы в тестовой среде, приближенной по конфигурации к прод...

«Мистер X» или стоит ли небольшой команде рассмотреть XWiki как возможную замену Confluence? В феврале 2021 Atlassian прекращает продажу лицензий на серверные версии Confluence. В этой статье я поделюсь своим виденьем Xwiki в качестве аналога Confluence, закрывающего потребности по документированию для небольшой команды разработчиков. Читать далее

Американские учёные не хотят церемониться с опасными астероидами: только ракетные удары, включая ядерные Группа исследователей по экспериментальной космологии Калифорнийского университета в Санта-Барбаре (UCSB) представила документ, в котором предложила свой вариант планетарной защиты от опасных для Земли астероидов. Учёные предлагают безжалостно крошить астероиды в щебень, исп...

Топ блюд фастфуда, которые нельзя часто заказывать McDonald’s, KFC, Starbucks, Burger King – и вы, наверняка, без сложности продолжите список мест, где продается быстрая, вкусная, ароматная ЕДА. Диетологи «одобрили» несколько блюд фастфуда, а влияние подобного питания на человеческий организм в длительном времени не пугает...

15 странных и опасных лестниц, которые вызывают немало вопросов На некоторые даже смотреть больно, не то что пользоваться.

9 традиций, от которых давно стоит отказаться Они тянут нас в прошлое и поддерживают опасные стереотипы.

Вредное излучение: опасен ли Bluetooth? Беспроводные гарнитуры, мышки, фитнес-браслеты: нас окружают Bluetooth-гаджеты, но вредно ли их излучение для человека? Разбираемся в статье.

В OpenBSD закрыли четыре уязвимости средств авторизации Разработчики открытой операционной системы OpenBSD устранили в ней четыре уязвимости, позволявшие обойти механизмы защиты и повысить привилегии на целевой машине. На момент публикации баги не получили оценку угрозы по шкале CVSS, однако эксперты не сомневаются в возможности ...

Сложности работы с ANTLR: пишем грамматику Ruby В «Ростелеком-Солар» мы разрабатываем статический анализатор кода на уязвимости и НДВ, который работает в том числе на деревьях разбора. Для их построения мы пользуемся оптимизированной версией ANTLR4 – инструмента для разработки компиляторов, интерпретаторов и трансляторов...

Аудиокассету превратили в цифровой плеер Компания Mixxim решила сыграть на ностальгических чувствах и дать вторую жизнь форм-фактору компакт-кассеты. Корпус аудиокассеты был выбран для цифрового проигрывателя MIXXTAPE. За 30 дней на сайте Kickstarter удалось собрать на выпуск MIXXTAPE более чем 10 раз больше с...

[Перевод] Делаем машину для намотки тороидальных катушек на базе Arduino Перевод с сайта Electric DIY Lab Всем привет, представляю вам изготовленную мною машину для намотки тороидальных катушек на базе Arduino. Машина автоматически наматывает проволоку и поворачивает тороид. В качестве интерфейса я использовал энкодер и ЖК-экран 16×2. Пользова...

Найден способ создать эффективное обезболивающее из яда гремучих змей В одной из наших предыдущих статей мы упоминали, что змеиный яд активно используется в производстве лекарств для лечения сердечно-сосудистых заболеваний и укрепления иммунитета. Однако ученым также известно, что яд южноамериканских гремучих змей (Crotalus durissus terrificu...

Из грязи в RPKI-князи-1. Подключаем валидацию маршрутов в ВGP Привет! Я работаю старшим сетевым инженером в компании DataLine, занимаюсь сетями с 2009 года и успел со стороны понаблюдать, как компании подвергались атакам из-за уязвимости протокола маршрутизации BGP. Один BGP Hijacking чего стоит: пару лет назад хакеры с помощью перехва...

Накопительное обновление KB4589212 было выпущено с исправлениями микрокода Intel Чтобы предотвратить потенциальные проблемы с безопасностью, Microsoft опубликовала новое обновление программного обеспечения для Windows 10. Последнее обновление распространяется на тех, у кого установлена ​​Windows 10 версии 20H2 (обновление за октябрь 2020 г.) или более ра...

Уязвимость Facebook позволяет хакерам собирать адреса электронной почты пользователей Очередной провал в конфиденциальности крупнейшего сервиса

Серверы Jenkins могут использоваться для амплификации DDoS-атак Разработчики Jenkins предупредили, что недавно исправленная уязвимость CVE-2020-2100 может применяться для усиления DDoS-атак.

Facebook пытался купить шпионское ПО Spyware Pegasus для слежки за пользователями Facebook подала в суд на группу НСО за использование уязвимости в их программе WhatsApp. Подробнее об этом читайте на THG.ru.

Microsoft предлагает до 20 000 долларов за уязвимости в Xbox Компания Microsoft официально запустила bug bounty программу для своей игровой платформы Xbox. За обнаруженные уязвимости исследователям заплатят от 500 до 20 000 долларов США.

В утилите SupportAssist, установленной на устройствах Dell, снова нашли проблему Специалисты Cyberark обнаружили уязвимость в утилите SupportAssist, предустановленной на большинстве компьютеров Dell под управлением Windows.

30 уязвимостей найдено в механизмах загрузки файлов в составе 23 веб-приложений Группа исследователей из Южной Кореи обнаружила 30 уязвимостей в механизмах загрузки файлов 23 веб-приложений. Среди них WordPress, Concrete5, Composr, SilverStripe, ZenCart и многие другие.

Уязвимость позволяет злоумышленникам прослушивать и перехватывать VPN-соединения Исследователи обнаружили уязвимость, затрагивающую Linux, Android, macOS и другие ОС на основе Unix. Проблема позволяет прослушивать, перехватывать и вмешиваться в работу VPN-соединений.

Недавнее обновление Windows 10 может вызвать проблемы с сетевой печатью На этой неделе Microsoft выпустила очередной обновление в рамках программы Patch Tuesday, содержащее десятки исправлений для поддерживаемых версий Windows 10 и Windows Server. Оказалось, что в некоторых случаях установка этого патча может приводить к нарушению работы функции...

Facebook и Instagram снижают качество видео в Европе Вслед за стриминговыми сервисами социальные сети также приняли решение понизить качество видео, чтобы помочь европейской коммуникационной инфраструктуре справиться с возросшей нагрузкой. Нагрузка на сети передачи данных существенно возросла в результате пандемии коронавируса...

На Apple подали в суд из-за излучения её смартфонов iPhone 7 опасен для здоровья? Юристы Fegan Scott считают, что да Apple – пожалуй, одна из немногих компаний, которую сложно обвинить в халатном отношении к своей продукции и клиентам. Конечно, иногда и в Купертино допускают те или иные ошибки, которые сказываются на репутаци...

Disaster Recovery и миграция c помощью VMware vCloud Availability. Часть 2 Привет! В прошлом посте я рассказал о возможностях VMware vCloud Availability (vCAV) и показал, как организовать Disaster Recovery (DR) и миграцию в рамках нескольких площадок облачного провайдера. Сегодня посмотрим, как с помощью vCAV восстановиться или просто смигрировать ...

Tesla Model X стал официальным автомобилем для астронавтов SpaceX Как мы сегодня уже сообщали, первый пилотируемый полёт космического корабля SpaceX Crew Dragon к МКС может состояться уже во втором квартале. В этой связи SpaceX объявила о том, что новым официальным транспортным средством для перевозки астронавтов к стартовой площадке ...

HackTheBox endgame. Прохождение лаборатории Hades. Пентест Active Directory В данной статье разберем прохождение не просто машины, а целой мини-лаборатории с площадки HackTheBox. Как сказано в описании, Hades предназначен для проверки навыков на всех стадиях атак в небольшой среде Active Directory. Цель состоит в том, чтобы скомпрометировать дост...

6 опасностей, которые угрожают ребёнку в интернете От вирусов и обидных комментариев до опасных экспериментов и мошенничества.

Почему мёрзнут ноги и руки и что с этим делать Возможно, это сигнал об опасных заболеваниях. Проверьте себя.

Почему немеют руки и ноги и что с этим делать Может, во всём виновата неудобная поза. А может, опасное заболевание.

Сэдфишинг: почему люди плачут в Stories и как на это реагировать Этот тренд может стать опасной ловушкой.

«Убийца» SMS оказался насквозь «дырявым» Об этом сообщили в Лондоне на конференции Black Hat исследователи безопасности из компании SRLabs, пишет CNews со ссылкой на Wired.Внедрением протокола занимается Google - компания объявила о его запуске в ноябре 2019 г. - и некоторые операторы связи. При этом они допускают ...

[Из песочницы] Коронавирус: мы все умрём? Что мы говорим Богу смерти? — Не сегодня. Сирио Форель, сериал «Игра престолов». Насколько действительно опасен коронавирус COVID-19? Сколько людей умрёт от коронавируса в мире? А сколько – в России? Так ли необходимы жесткие меры, принимаемые для борьбы с коронавирусом в ...

В процессорах Intel обнаружена новая уязвимость, заплаток пока нет Парад обнаруженных в процессорах Intel уязвимостей продолжили новые виды атаки на кеш. Заплаток для них пока нет. В Intel определили угрозу как средней тяжести. Исследователи из Университетов Мичигана и Аделаиды опубликовали информацию об обнаружении новой тотальной уязвимос...

[Перевод] Как реализовать кластеризацию в Power BI с помощью PyCaret И снова здравствуйте. Сегодня мы продолжаем серию переводов в преддверии старта базового курса «Математика для Data Science». В одной из последних статей мы говорили о том, как создать детектор аномалий в Power BI, интегрировав в него PyCaret, и помочь аналитикам и специа...

Американец подал иск к Amazon и обвинил компанию в уязвимости «умных» видеозвонков Ring для кибератак Компанию уже обвиняли в возможных утечках данных из Ring, а в декабре несколько владельцев видеозвонков жаловались на взломы.

Аудитория Zoom выросла на 50% с начала апреля — до 300 млн пользователей в день Популярность сервиса растёт несмотря на обвинения в передаче данных Facebook и уязвимости в приложении.

В Dropbox нашли уязвимость нулевого дня, патча для которой пока нет В Dropbox для Windows обнаружили уязвимость, которая позволяет злоумышленникам получить привилегии уровня SYSTEM. Патча для нее пока нет, но разработчики 0Patch уже выпустили временную «заплатку».

Умные лампочки Philips Hue позволяют заразить сеть малварью Специалисты Check Point предупредили, что злоумышленники могут использовать уязвимости в протоколе ZigBee для доставки малвари, скомпрометировав умные лампочки и их контроллеры.

3data запустила первый дата-центр по франшизе в Московской области В рамках регионального развития сети дата-центров 3data активно строятся площадки на территории Московской области, которая входит в число приоритетных регионов географического расширения компании. В конце 2019 года была реализована первая фаза франчайзингового ЦОДа на терри...

[Перевод] Знакомьтесь с Ember Octane Ember Octane — это новая редакция фреймворка Ember.js, а также лучший способ для команд создавать амбициозные веб-приложения. 20 декабря вышла новая версия Ember 3.15. И это Octane! Любопытно, что это значит для веб-разработки? Этот пост поможет вам сориентироваться. Мы с г...

Xiaomi начала отправлять заражённым китайцам гуманитарную помощь В среду власти Китая решили закрыть на карантин город Ухань, в котором впервые появился новый опасный коронавирус. Теперь в городе заперты 11 млн человек. Им начала помогать компания Xiaomi: она отправила на территорию Уханя экстренную помощь в размере 300 000 юаней (примерн...

Демо-версия Code Vein доступна в Steam Ознакомительная версия ролевого экшена предложит первый этап повествования, которой можно пройти в одиночку или в совместном режиме, а также особую зону опасного подземелья «Глубин». Code Vein уже доступна на PlayStation 4, Xbox One и PC.

Медикаментозный аборт: как его делают и чем он может быть опасен У этой процедуры могут быть серьёзные побочные эффекты.

3 самых опасных занятия на Новый год Не делайте этого, если планируете остаться живым и здоровым.

Откуда берётся краснуха и чем она опасна Вы можете её даже не заметить. Но это не делает болезнь менее убийственной.

15 примеров ужасного ремонта и дизайна помещений От непродуманного интерьера до по-настоящему опасных конструкций.

12 опасных и безобидных причин, почему постоянно хочется спать Возможно, вам просто не хватает витамина D или движения.

В плагинах Ultimate Addons нашли критическую уязвимость Два плагина для WordPress, установленные на сотнях тысяч сайтов, содержат критическую уязвимость, позволяющую злоумышленникам перехватить управление веб-ресурсом. Как выяснили ИБ-специалисты, наборы дополнений Ultimate Addons к конструкторам страниц Elementor и Beaver Builde...

Чем занять себя на карантине? Эти приложения со скидкой помогут Мы постоянно мониторим App Store и десятки сайтов со скидками, чтобы выбрать лучшие приложения и опубликовать и здесь. Сегодня можно скачать одну из самых сложных головоломок, чтобы хорошенько размять мозги на карантине, имитатор звонка и лучшее приложение для медитации для...

В миллионах смартфонов и планшетов на Android обнаружена серьезная уязвимость Уязвимости в смартфонах, которые работают под управлением операционной системы Android, обнаруживаются регулярно, поэтому выпуск заплаток является привычным делом. Google выпускает ежемесячные исправления систем безопасности в течение многих лет. XDA Developers сообщает...

[Перевод] 6 способов значительно ускорить pandas с помощью пары строк кода. Часть 2 В предыдущей статье мы с вами рассмотрели несколько несложных способов ускорить Pandas через jit-компиляцию и использование нескольких ядер с помощью таких инструментов как Numba и Pandarallel. В этот раз мы поговорим о более мощных инструментах, с помощью которых можно не т...

Уязвимость нулевого дня исправлена в NAS компании Zyxel Критическая уязвимость CVE-2020-9054 затрагивает несколько моделей NAS компании и позволяет удаленно выполнить произвольный код. Хуже того, проблему уже эксплуатируют хакеры.

Уязвимость Starbleed представляет угрозу для чипов FPGA Сводная группа специалистов обнаружила уязвимость, затрагивающую чипы FPGA от компании Xilinx. Эти решения используются в центрах обработки данных, IoT-устройствах, промышленном оборудовании и так далее.

Уязвимость в Discord позволяла удаленно выполнить произвольный код Разработчики Discord исправили критическую уязвимость в декстопной версии своего приложения. Нашедший баг исследователь заработал на этом 5000 долларов США.

[Из песочницы] Как использовать консоль JavaScript: выход за пределы console.log () Привет, Хабр! Представляю вашему вниманию перевод статьи «How to use the JavaScript console: going beyond console.log()» автора Yash Agrawal. Один из самых простых способов отладки чего-либо в JavaScript — вывод материала с помощью console.log. Но есть много других методов,...

DataGrip 2020.1: Конфигурации запуска, Экспорт в Excel, Результаты в редакторе и другое Привет! Это наш первый релиз из дома. DataGrip и другие наши IDE с поддержкой баз данных теперь умеют больше. Читать дальше →

HackTheBox. Прохождение Traverxec. RCE в веб-сервере nostromo, техника GTFOBins Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox. В данной статье получим RCE в веб-сервере nostromo, получим оболочку meterpreter из под активной сессии metasploit, покопаемся в конфигах nostromo, побрутим пароль шифрования SSH ключа и...

Тинькофф запустил новый способ подтверждения платежей В суперприложении Тинькофф появилась возможность подтверждения операций по селфи. Проверка с помощью камеры телефона будет использоваться в качестве альтернативы стандартным способам верификации.

«Автоматический диспетчер» поможет в управлении грузовым беспилотным транспортом Решение, разработанное специалистами НИИ программных средств холдинга "Росэлектроника", состоит из аппаратуры, которая устанавливается на сам беспилотный транспорт, и специального программного обеспечения. ПО в автоматическом режиме определяет положение объекта на ...

В сеть 7 из 8 финансовых организаций можно проникнуть из интернета Для формирования публичного отчета были выбраны 18 проектов (8 внешних тестирований и 10 внутренних), выполненных для организаций кредитно-финансового сектора, в которых заказчики работ не вводили существенных ограничений на перечень тестируемых сетей и систем. Эксперты Posi...

15 лучших сериалов про добрых и опасных ведьм От находчивой старшеклассницы Сабрины Спеллман до Йеннифер из Венгерберга.

Откуда берётся тяжесть в желудке и что с ней делать Разбираемся, когда тяжесть в животе — это нормально, а в каких случаях она является опасным симптомом.

Исследователи передали данные с настольного ПК через вибрации по столу Группа учёных из университета имени Бен-Гуриона в Негеве (Израиль) изучает способы передачи информации с изолированных компьютеров (airgap). Они уже разработали методы передачи данных морганием светодиода HDD, маршуртизатора или клавиатуры, электромагнитным излучением с ши...

Хакер получил тюремный срок за шантаж Apple и попытку ... Эта история началась в марте 2017 года, когда 22-летний житель Лондона Керем Албайрак решил поживиться за счет Apple. Он потребовал от концерна из Купертино подарочные карты iTunes номиналом $100 тысяч в обмен на то, что он не станет блокировать или продавать злоумышленникам...

Почта Mail.ru запустила сервис для планирования дня Задачи Mail.ru Почта Mail.ru поможет пользователям лучше организовать день в самоизоляции  при помощи нового сервиса Задачи Mail.ru. Сервис помогает быстро организовать рабочий процесс и разобраться с домашними делами.  С помощью Todo.Mail.ru легко организовать свой день: состави...

Почти две недели в открытом доступе были данные 267 млн пользователей Facebook По сообщению источника, база данных с записями о 267 140 436 пользователей Facebook, большинство которых — из США, была доступна для скачивания на одном из хакерских форумов с 4 по 19 декабря. Каждая запись включала основные данные, такие как пол...

В России разрабатывают уникальный "интернет" для находящихся в море судов В России началась разработка цифровой сети для связывания морских объектов, среди которых корабли, суды, береговые базы, маяки, а также подводные лодки. Благодаря уникальному “интернету” моряки смогут получать актуальную информацию об опасных явлениях, а также другие важные ...

Уязвимость в продукции Citrix угрожает 80 000 компаний по всему миру Критическая уязвимость представляет опасность для Citrix Application Delivery Controller (NetScaler ADC) и Citrix Gateway (NetScaler Gateway) и угрожает компаниям в 158 странах мира.

Гоночные автомобили начали печатать на 3D-принтере Как сообщают инженеры испанской марки, для гоночного хэтчбека на 3D-принтере изготовлены корпуса зеркал заднего вида, центральный модуль управления рулевого колеса, воздухозаборник капота, решетку радиатора и впускные патрубки систем охлаждения тормозов и основной системы ох...

Оценочный уровень доверия (ОУД4) и ГОСТ Р ИСО/МЭК 15408-3-2013. Введение Привет, Хабр!В настоящее время в ИТ индустрии крайне актуальна тема построения процесса безопасной разработки ПО (по англ. «Secure SDLC» или «Secure software development life cycle»). Некоторые организации и команды самостоятельно приходят к необходимости такого процесса в с...

Выпущен эксплойт для уязвимости протокола HTTP в Windows 10, исправленной обновлением KB5003173 Исследователь безопасности Аксель Суше опубликовал доказательство концептуального кода на GitHub, который использует уязвимость CVE-2021-31166. К счастью, эта уязвимость была исправлена Microsoft во второй вторник месяца. В доказательстве концептуального кода отсутствуют воз...

Президент США распорядился разобраться с дефицитом в полупроводниковой отрасли Президент США Джо Байден подписал указ, целью которого является решение проблемы с глобальным дефицитом полупроводниковой продукции. Как известно, сложившаяся ситуация с поставками чипов ударила по многим отраслям экономики, в том числе американской, затронув не только произ...

Обзор Candy GVSW45 385 TWHC. Стиральная машина с сушкой Стиральные машины стали привычными помощниками практически в каждом доме, взяв на себя рутинную работу по поддержанию чистоты белья и одежды. Сушильные машины пока не получили такого широкого распространения, отчасти это связано с непониманием принципов работы и самой необхо...

Google закрыла уже использовавшуюся уязвимость нулевого дня браузера Chrome Рекомендуется обновить браузер как можно скорее.

Microsoft начала 2020 год с новых критических проблем и залатывания уязвимостей Проблемы сыплются на пользователей как из ведра

Ботнет Hoaxcalls атакует устройства Grandstream Ботнет Hoaxcalls активно эксплуатирует недавно исправленную уязвимость в устройствах Grandstream UCM6200, связанную с SQL-инъекциями.

Еще немного про использование VPN в Билайн Привет! В этой статье я расскажу о ещё двух вариантах VPN, используемых нами для включения клиентов с помощью Мультисим Резервирования, это L2TP и L2-VPN. Первый используется для включения сервисов Интернет, второй для включения каналов L2 MPLS.Самый первый — L2TPИ...

Исследователи обнаружили 19 уязвимостей в компьютерной системе Mercedes-Benz E-Class Из-за пандемии коронавируса конференция по кибербезопасности Black Hat в этом году проходит в формате виртуального мероприятия. Одними из её участников стали исследователи из Sky-Go Team, подразделения по взлому автомобилей в Qihoo 360. В ходе исследовательской деятельности ...

В Firefox исправлены две уязвимости нулевого дня Разработчики Mozilla выпустили обновленную версию Firefox 74.0.1, где исправили две свежие проблемы, которые уже эксплуатировали хакеры.

Опубликован эксплоит для Wi-Fi уязвимости Kr00k Специалисты Infosec Hexway опубликовали работающий эксплоит для уязвимости Kr00k (CVE-2019-15126), которая может использоваться для перехвата и дешифровки трафика Wi-Fi (WPA2).

Адаптивный или отзывчивый? Разбираем структуру React-компонентов В этой статье мы разберёмся, в чем сложность написания адаптивных компонентов, поговорим о code-splitting-е, рассмотрим несколько способов организации структуры кода, оценим их достоинства и недостатки и попытаемся выбрать лучший из них (но это не точно). Читать дальше &ra...

Астрономы показали снимки потенциально опасного астероида Астрономы показали снимки потенциально опасного астероида — он пролетит мимо Земли на расстоянии 6,3 млн километра в апреле.

Опасный вирус распространяется по Казахстану KZ-CERT сообщает о выявлении вредоноса, который является документом Word — он обходит средства защиты типа «песочницы».

Что делать, если нашли клеща у собаки или кошки, и как защитить питомца Паразиты могут заразить животных опасными болезнями.

В России заявили об опасности «умных» колонок Роскачество проверило 17 новых моделей колонок и рассказало, чем могут быть опасны «умные» девайсы.

Подкаст «Только для посвящённых»: самые опасные секты в России Виссарионовцы, кедрозвоны и почитатели «бога Кузи» — кто эти люди и почему важно о них узнать.

16 признаков, что с вашей иммунной системой не всё в порядке Холодные руки и склонность обгорать на солнце могут быть опасными симптомами.

Как вовремя распознать аппендицит и не умереть У вас есть всего лишь сутки, чтобы избежать смертельно опасных осложнений.

Системы подключения смартфонов к автомобилю оказались опасны для водителей Системы подключения смартфонов к автомобилю, а именно Android Auto и Apple CarPlay, оказались опасны для водителей. Они слишком сильно отвлекают его от дороги.

Реальный способ улучшения снимка без фоторедакторов Изначально, статья должна была быть присвоена теме улучшения снимков с помощью приложения для фото на основе алгоритмов искусственного интеллекта (https://play.google.com/store/apps/details?id=wide.android.camera&hl=uk), но разница между стандартным приложением фотокаме...

Orange Business Services и De Beers разработали решение Orange Business Services и De Beers разработали решение по геозонированию для обеспечения безопасности команд при разработке морских алмазных месторождений ●    Успешно реализован пилотный проект с использованием технологий интернета вещей (I...

HackTheBox. Прохождение Traceback. Бэкдор, LUA, SSH Продолжаю публикацию решений, отправленных на дорешивание машин с площадки HackTheBox. В данной статье эксплуатируем чей-то бэкдор, получаем шелл через Luvit и возимся с SSH для LPE. Подключение к лаборатории осуществляется через VPN. Рекомендуется не подключаться с рабо...

Ozon заплатит хакерам свыше 3 млн рублей за найденные уязвимости Ритейлер Ozon запустил на платформе HackerOne программу bug bounty. На работу с представителями хакерского сообщества компания планирует потратить свыше 3 млн рублей.

[Из песочницы] Безлимитное облако и заурядные уязвимости Волей случая наткнулся на приложение «IngoMobile» компании Ингосстрах. И как это обычно бывает, я достал из широких штанин mitmproxy и тут началось самое интересное. Читать дальше →

В нескольких моделях детских смарт-часов найдены уязвимости, позволяющие следить за ребенком Компания Rapid7, специализирующаяся на кибербезопасности, нашла уязвимости в нескольких моделях детских смарт-часов. ***

Adobe исправила 18 критических багов в своих продуктах На этой неделе разработчики Adobe выпустили внеочередной набор патчей и исправили 18 критических уязвимостей в своих продуктах, включая After Effects, Illustrator, Premiere Pro, Premiere Rush и Audition.

Глава Telegram обвинил WhatsApp в уязвимости По словам главы популярного мессенджера Telegram Павла Дурова, WhatsApp имеет ряд пробелов в шифровании, отметив, что они присутствуют как в iOS, так и в Android версиях приложения.

Как мы импортозаместили аутсорсинг тестирования. Пошаговая инструкция Когда в 2014 году курс доллара взлетел, а страна взяла курс на импортозамещение, мне пришлось заниматься заменой старой команды внешних тестировщиков, оплачиваемой в долларах, на новую, оплачиваемую в рублях. В этой статье я подробно расскажу, как мы организовали этот процес...

React.js — формошлепство или работа с формами при помощи пользовательских хуков В этом посте будет реализован простой пользовательский хук для работы с состояниями формы и будут разобраны способы работы с объектами и массивами. В завершение разберем валидацию форм и реализуем соответствующие функции. Читать дальше →

Массовый «смертельный косяк»: Чем опасен KIA Rio 4 – эксперт Тормозная система корейского бестселлера имеет уязвимость, требующую особого внимания при эксплуатации. KIA Rio – бюджетная модель, которая входит в тройку самых продаваемых иномарок в России. Автомобиль пользуется спросом в РФ в силу приемлемого для потребителя соотношения...

Исправлена уязвимость в ESXi, принесшая исследователю 200 000 долларов Разработчики VMware исправили критическую уязвимость в ESXi, которая была раскрыта на прошедшем недавно в Китае соревновании Tianfu Cup.

Известный хакер продал уязвимость в коде приставки PlayStation 4 компании Sony – взлом окончательно заблокирован Взлома PlayStation 4 не будет, хакер взял деньги и ушёл на дно

Dropbox выплатила более миллиона долларов по программе bug bounty Компания Dropbox сообщила, что выплаты исследователям за найденные уязвимости перешагнули отметку в миллион долларов.

Исправления уязвимости лишили энтузиастов возможности снижать напряжение процессорам Intel Plundervolt заставляет выбирать между удобством управления напряжением и безопасностью.

Google исправила более 40 проблем в Android, включая критическую DoS-уязвимость На этой неделе инженеры Google выпустили декабрьские обновления для Android, среди которых был патч для критической DoS-уязвимости.

Уязвимость в WordPress-плагине ThemeGrill Demo Importer угрожает 200 000 сайтов Злоумышленники могут обнулить чужие сайты или добраться до учетной записи администратора.

Миллионы кабельных модемов с чипами Broadcom уязвимы перед проблемой Cable Haunt Датские исследователи опубликовали доклад об уязвимости Cable Haunt, которая угрожает кабельным модемам, использующим чипы Broadcom.

Разбор решения задач реальной промышленности (спасение поросят и другие) Свиноматка кормит поросят до 26-го дня. За это время она может на них прилечь, что приведёт к тому, что поросят станет чуть меньше, чем было в самом начале. Чтобы этого избежать, используются вот такие станки, как на фото, которые исключают её повороты и хождение по загону. ...

Опасен ли оральный секс для здоровья полости рта Всем известны возможные последствия незащищённого «традиционного» секса. Но и оральный контакт может привести к неприятностям.

В магазине Google Play нашли очередные 104 опасных приложения с показом рекламы на весь экран Рекомендуется удалить их, если они уже были установлены.

Удалите браузерные расширения SaveFrom.net и Frigate — они очень опасны SaveFrom.net используется для скачивания видео с различных сайтов, а расширения Frigate предназначены для доступа к сайтам, заблокированным в России.

Дневной сон оказался смертельно опасен Китайские учёные заявили, что люди, которые любят долго поспать, в том числе днём, имеют повышенный риск инсульта.

Самый опасный домен в мире выставлен на продажу Майк О'Коннор, один из первых доменных инвесторов, сообщил о намерении продать домен Corp.com.

Редактор Google Ads обновили до версии 1.3 Google сообщил об обновлении Редактора Google Ads до версии 1.3. Среди основных изменений — поддержка общих бюджетов, показателя оптимизации и другие улучшения. Что нового: Общие бюджеты. В Редакторе Google Ads теперь доступна полная поддержка общих бюджетов. Рекламода...

Google Assistant обучили очень удобной функции Поисковый гигант Google продолжает расширять функциональный список возможностей своего фирменного голосового помощника Google Assistant, объявив на этой неделе о добавлении новой функции. В своем блоге Google сообщила, что теперь пользователи смогут отправлять аудиосоо...

Облачный гейминг в России: исследование GFN.RU Видеоигры уже давно занимают заметное место в списке развлечений современной аудитории. Однако необходимые для запуска игры мощности только растут — а значит, техника требует частого обновления, что может позволить себе не каждый желающий сыграть в ту или иную игру. Тогда ...

55% всех используемых уязвимостей связаны с WordPress и Apache Struts Эксперты компании RiskSense провели большую работу и изучили все уязвимости, раскрытые в период между 2010 и 2019 годами. Как оказалось, чаще всего злоумышленники эксплуатируют в реальных атаках баги в составе WordPress и Apache Struts.

Хакеры эксплуатируют уязвимость в корпоративном VPN «Лаборатория Касперского» обнаружила серию атак на финансовые и телекоммуникационные компании в Восточной Европе и Средней Азии, основной целью которых была кража денег.

Китайские хакеры взломали iOS 12 для слежки за уйгурами   Компания Volexity, занимающаяся кибербезопасностью, сообщила, что китайские хакеры из группы Evil Eye следят за уйгурами через уязвимость в iOS 12. Для взлома айфонов используется эксплойт Insomnia. Он загружается на устройство при посещении нескольких уйгурских...

Посылки с AliExpress заражены опасным китайским вирусом В середине января на территории Китая был обнаружен новый вирус, а называется он «Коронавирус». Из-за того, что он крайне быстро распространяется и передается от человека к человеку, а также приводит к летальному исходу, врачи всего Сообщение Посылки с AliExpress заражены о...

iOS 13.4 превращает ваш iPhone в ключ для автомобиля Apple хочет, чтобы вы открывали автомобиль со своего iPhone Apple как никакая другая компания умеет смотреть в будущее, просчитывая, какие технологии будут популярны через несколько лет. Именно поэтому в Купертино время от времени позволяют себе оснастить фирменные смартфоны...

Четвертый сезон Apex Legends анонс состоялся Разработчики из Respawn Entertainment анонсировали четвертый сезон Apex Legends. В четвертом сезоне в Apex Legends добавят легенду по имени Кузня. Главная особенность Кузни это руки, делающие его опасным в ближнем бою. Также добавят в обновление боевой пропуск. В него попа...

82% уязвимостей в веб-приложениях содержатся в исходном коде Эксперты Positive Technologies проанализировали состояние защищенности веб-приложений и выяснили, что в 9 случаях из 10 злоумышленники могут атаковать посетителей сайта.

Apple уверяет, что свежий 0-day в iOS не использовался хакерами Инженеры Apple тщательно изучили информацию о 0-day уязвимости в iOS и теперь утверждают, что эксперты ошиблись – эта проблема не использовалась для атак на пользователей.

ESET выпустила бесплатный инструмент для обнаружения уязвимости BlueKeep Эксперты компании ESET представили бесплатную утилиту для проверки Windows-систем на наличие уязвимости BlueKeep (CVE-2019-0708).

Врач назвал симптомы тяжелой формы коронавируса Издание RT взяло интервью у главврача городской клинической больницы № 40 в Коммунарке Дениса Проценко, в ходе которого он назвал симптомы тяжелой формы коронавируса. Так, по его словам, тяжелая форма пневмонии нового типа сопровождается кашлем, лихорадкой, а также более опа...

Все материалы на данном сайте взяты из открытых источников или присланы посетителями сайта и предоставляются исключительно в ознакомительных целях. Права на материалы принадлежат их владельцам. Администрация сайта ответственности за содержание материала не несет. (Правообладателям)