HTB PC. Манипулируем протоколом gRPC при взломе сервера Для подписчиковВ этом райтапе я познакомлю тебя с протоколом gRPC компании Google, затем обнаружим и проэксплуатируем SQL-инъекцию для SQLite. При повышении привилегий используем уязвимость в сервисе pyLoad.
Большой недостаток в системе безопасности: уязвимость серверов Microsoft подвергла сети атакам Исследователи безопасности из компании Akamai обнаружили критический недостаток в DHCP-серверах Microsoft, который может позволить злоумышленникам проводить спуфинг-атаки, не требуя никаких учетных данных.
Роскомнадзор добавил в список блокировки VPN-сервисов протокол Shadowsocks Он маскирует трафик под легальный, а его блокировка может нарушить работу обычных сайтов и приложений, предупреждают эксперты.
В протоколе HTTP/2 нашли ряд уязвимостей, получивших общее название Continuation Flood Специалист обнаружил серию уязвимостей в протоколе HTTP/2, получивших общее название Continuation Flood. Эти проблемы могут привести к атакам на отказ в обслуживании (DoS) и способны вывести из строя веб-серверы в некоторых имплементациях при помощи одного TCP-соединения. По...
В популярном протоколе квантового шифрования Kyber найдены 2 критические уязвимости Похоже, эра безопасного квантового шифрования может никогда не наступить
Настройка протокола mKCP в панелях 3X-UI и X-UI Сегодня мы поговорим о настройке подключения к прокси-серверу по протоколу mKCP в известных web-панелях X-UI и 3X-UI. Про mKCP, как и про многие другие актуальные на сегодняшний день прокси- и VPN-протоколы я недавно рассказывал в статье "Надежный обход блокировок в 2024: пр...
Веселые уроки WinCC OA. Настройка сервера протокола МЭК 60870-5-104 Говоря сухим языком, МЭК 60870-5-104 – протокол телемеханики, предназначенный для передачи сигналов в систему верхнего уровня, регламентирующий использование сетевого доступа по протоколу TCP/IP. Чаще всего применяется в энергетике для информационного обмена между энергосист...
Security Week 2415: новые уязвимости в продуктах Ivanti 2 апреля компания Ivanti сообщила о закрытии четырех новых уязвимостей в сетевых шлюзах Ivanti Connect Secure и Ivanti Policy Secure. Из них наибольшую опасность представляет проблема, получившая идентификатор CVE-2024-21894. Ошибка в компоненте IPSec при некоторых условиях ...
В веб-сервере Cisco нашли позволяющую контролировать 10 тыс устройств уязвимость Служба безопасности компании Cisco Talos выпустила предупреждение о критической уязвимости нулевого дня, обозначенной как CVE-2023-20198, которая затрагивает программное обеспечение IOS XE на многих устройствах.
Интеграция Keycloak в приложение Spring Boot 3 с использованием протокола OAuth2.0 В современном мире веб-разработки обеспечение безопасности пользовательских идентификаторов и управление доступом к ресурсам становятся все более важными задачами. Один из мощных инструментов, предоставляющих полноценное решение для этих задач, это Keycloak, современная сист...
Security Week 2403: Bluetooth-уязвимости в Windows, Linux, Android, iOS и Mac OS На прошлой неделе исследователь Марк Ньюлин в подробностях рассказал об уязвимостях в стеке Bluetooth, которые затрагивают в той или иной степени практически все ПК, смартфоны и другие мобильные устройства. Его статья и выступление на конференции ShmooCon дополняют опубликов...
ПЛК Mitsubishi: как разобрать сетевой протокол и найти уязвимости в устройстве без использования прошивки Нас окружают умные устройства. Внутри каждого — микросхемы и прошивки с программным кодом, который содержит уязвимости. Представьте, что в руки исследователя безопасности попадает устройство с недокументированным сетевым протоколом. Возникают задачи: разобрать протокол, науч...
В чипах AMD и Intel обнаружили уязвимость в безопасности данных Ученые из ETH Zurich провели серию экспериментов, которые позволили выявить уязвимости в системах конфиденциального вычисления, разработанных ведущими производителями компьютерных чипов, такими как AMD и Intel. Оказалось, что хакерам удается получить доступ к данным, изолиро...
Security Week 2416: уязвимость в серверных материнских платах Intel, Lenovo и Supermicro На прошлой неделе исследователи компании Binarly сообщили об обнаружении уязвимости в серверных материнских платах как минимум трех крупных вендоров: компаний Intel, Lenovo и Supermicro. Уязвимость была обнаружена в модуле Baseboard Management Controller, используемом для уд...
В «Битрикс24», российском сервисе для бизнеса, обнаружили 8 уязвимостей В Российском IT-сервисе «Битрикс24» обнаружили 8 значительных уязвимостей
Microsoft готова платить до $15 тыс за поиск уязвимостей в своих ИИ-сервисах Microsoft расширяет свою программу поиска багов, включив в нее поисковые инструменты Bing с искусственным интеллектом, и предлагает вознаграждение до 15 тыс долларов специалистам по безопасности, обнаружившим уязвимости в сервисах.
Intel и Lenovo затронуты уязвимостью в BMC шестилетней давности Уязвимость шестилетней давности в веб-сервере Lighttpd, используемом в BMC (Baseboard Management Controller), ускользнула от внимания многих производителей устройств, включая Intel и Lenovo. Проблема может привести к утечке адресов памяти процесса, что позволяет обойти такие...
[Перевод] Сравнение технологий WebSockets, Server-Sent-Events, Long-Polling, WebRTC и WebTransport При работе с современными веб-приложениями реального времени незаменима возможность отправлять события с сервера на клиент. Именно этой необходимостью продиктовано то, что за годы работы было изобретено несколько методов для этой цели, каждый с собственным набором достоинств...
Анализ безопасности Wi-Fi: атаки на WPA2-Personal / Enterprise и методология взлома WPA3 Подробное исследование методологии взлома протоколов WPA2-Personal / Enterprise и WPA3: какие атаки и уязвимости существуют, и какой инструментарий применяется для их эксплуатации. Читать далее
2FA для 1С по протоколу OpenID Connect на базе Keycloak Очередной пост о том, что мы делаем. В этот раз расскажу вам о том, как мы обеспечили безопасность информационных баз 1С с использованием сервиса аутентификации Keycloak через протокол OpenID Connect и настройку двухфакторной аутентификации с&nb...
Минцифры заявило о блокировке в РФ только угрожающих безопасности VPN-сервисов Решение о фильтрации по конкретным сервисам и протоколам VPN будет приниматься на основании решения экспертной комиссии, уточнили в министерстве
«Лаборатория Касперского» нашла опасные уязвимости в умной игрушке для детей Эксперты «Лаборатории Касперского» обнаружили ряд серьезных проблем безопасности в интерактивном роботе для детей, потенциально позволяющих злоумышленникам перехватывать информацию о ребенке, включая имя, возраст, пол, IP-адрес и местоположение, совершать видеозвонки ребенку...
Google быстро залатала уязвимость нулевого дня, обнаруженную в браузере Chrome Google выпустила исправление уже для пятой за год уязвимости нулевого дня (0-day), обнаруженной в браузере Chrome.
JetBrains TeamCity CI/CD CVE-2024-27198 В феврале 2024 года группа исследователей уязвимостей Rapid7 выявила уязвимость, затрагивающую сервер JetBrains TeamCity CI/CD и представляющую собой обход аутентификации в веб-компоненте TeamCity.Уязвимость получила идентификатор CVE-2024-27198 и балл CVSS равный 9,8 (крити...
Найдена новая критическая уязвимость в Linux-системах на процессорах Intel Исследователи безопасности обнаружили критическую уязвимость, получившую название «Spectre v2», которая угрожает Linux-системам, работающим на современных процессорах Intel. Этот новый вариант использует спекулятивное выполнение, технику оптимизации производительности с прис...
Хакеры провели «самую сложную» атаку на iPhone в истории: «Операция Триангуляция» Исследователи безопасности из «Лаборатории Касперского» обнаружили сложную цепочку атак на iPhone, получившую название «Операция Триангуляция», в которой задействованы четыре уязвимости нулевого дня для достижения эксплойта в iMessage. По их словам, это «самая сложная» атака...
Перечислить всех. Красота русских фамилий как фактор уязвимости в пентестах Active Directory Во время очередного пентест-проекта на внешнем периметре Заказчика была обнаружена широко известная в узких кругах пентестеров инфраструктурная служба Outlook Web Access (OWA). OWA примечательна тем, что это WEB-интерфейс почтового сервера Microsoft Exchange. Скорее всего, ...
В плагине WordPress «MW WP Form» обнаружена критическая уязвимость безопасности Злоумышленники могут выполнить код удаленно.
Уязвимость в ПО Openfire открывает несанкционированный доступ к скомпрометированным серверам Компания «Доктор Веб» информирует пользователей о распространении вредоносных плагинов для сервера обмена сообщениями Openfire. По всему миру на момент публикации более 3000 серверов с установленным ПО Openfire подвержены уязвимости, позволяющей хакерам получать доступ к фай...
Атака на SSH и взлом туннелей VPN SSH стал практически стандартом де-факто для подключения к серверу или удалённому десктопу. Поэтому уязвимости вызывают определённое беспокойство. Тем более в нынешних условиях, когда весь трафик в интернете записывается и сохраняется в хранилищах провайдеров и хостеров. Т...
ChatGPT раскрывает конфиденциальные данные, если заставить его повторять слова Группа исследователей обнаружила серьёзную уязвимость безопасности в ChatGPT. Из-за ошибки чат-бот может раскрыть личные данные, включая номера телефонов и адреса электронной почты, в ответ на, казалось бы, безобидный запрос. В статье, опубликованной на прошлой неделе…
[Перевод] Незваные гости — уязвимости в RPKI RP BGP (Border Gateway Protocol, протокол граничного шлюза) — это протокол динамической маршрутизации, используемый маршрутизаторами для обмена информацией о достижимости префиксов в их сетях. BGP-маршрутизаторы могут анонсировать любые префиксы, включая и те, которыми их сети ...
В ChatGPT и аналогах обнаружены серьезные уязвимости Китайские исследователи обнаружили серьезную уязвимость в широко используемых коммерческих многомодальных крупных языковых моделях (MLLM), типа ChatGPT, Bard и Bing Chat.
45 000 серверов Jenkins уязвимы перед свежей RCE-уязвимостью Исследователи обнаружили в сети около 45 000 серверов Jenkins, уязвимых перед свежей проблемой CVE-2023-23897, для которой уже создано несколько публично доступных PoC-эксплоитов.
Samsung Galaxy S23 взломали дважды за день. Xiaomi 13 Pro тоже не устоял В рамках мероприятия Pwn2Own по поиску уязвимостей в коммерческих продуктах, белым хакерам за день дважды удалось взломать Samsung Galaxy S23. А ведь этот смартфон считается одним из самых защищенных с точки зрения ПО. Как сообщает Zero Day Initiative, команда Sta...
Установка и настройка Hysteria В этом году я, как и многие посетители Хабра, с огромным интересом читал статьи уважаемого MiraclePtr, учился применять озвученные им идеи и рекомендации, на практике знакомясь с протоколами, клиентами и графическими панелями. Для многих протоколов существуют подробные инстр...
Ars Technica: Обнаружена труднозакрываемая уязвимость в безопасности чипов Apple M Аппаратный шлюз для киберпреступников предоставляет криптографические ключи. Ожидаются потери производительности
В чипах Apple Silicon обнаружена критическая уязвимость Специалисты обнаружили критическую уязвимость во всех процессорах Apple Silicon. Причем быстро исправить ее с помощью программного апдейта не получится. Уязвимость потенциально может использоваться хакерами для доступа к зашифрованной информации.Читать дальше... ProstoMAC.c...
Пишем gRPC сервис на Go — сервис авторизации В этой статье мы научимся писать полноценный gRPC сервис на Go на примере сервера авторизации с полноценной архитектурой, готовой к продакшену. Мы напишем как серверную часть, так и клиентскую. В качестве клиента мы возьмём мой сервис — URL Shortener, о котором у меня также...
Протокол DeFi Barley Finance сообщил о временном сбое в работе из-за взлома платформы Децентрализованный протокол доходности Barley Finance объявил в социальной сети Х о временном сбое в работе, произошедшем после того как злоумышленник воспользовался уязвимостью в модуле wBARL
Обнаружена уязвимость в безопасности инструмента Bitlocker Bitlocker от Microsoft предназначен для защиты данных на ПК или ноутбуке. Однако, как показывает один из YouTube-блогеров, иногда эту меру безопасности можно довольно легко обойти.
В сервисах МТС Линк появились новые способы аутентификации «Вебинар Технологии», российская компания-разработчик экосистемы сервисов для бизнес-коммуникаций и совместной работы МТС Линк, объявляет о поддержке новых протоколов аутентификации.
Сервера Майнкрафт без Античита: Свобода или Риски? Майнкрафт - это мир кубических приключений, где каждый игрок может воплотить свои творческие и выживательные идеи. Существует множество серверов Майнкрафт, и некоторые из них решают обойтись без античитов. Давайте рассмотрим, каковы преимущества и риски выбора сервера Майнкр...
[Перевод] Использование фреймворков модульного тестирования для выявления уязвимостей Формулировка проблемы Поиск уязвимостей — сложный процесс, а еще сложнее пользоваться уязвимостями на нескольких целях в разных конфигурациях. Именно по этой причине существует множество фреймворков, таких как Metasploit, и различных сканеров уязвимостей, таких как nuclei....
Пишем минимальный ActivityPub-сервер с нуля В последнее время, на фоне покупки Twitter Илоном Маском, люди начали искать ему альтернативы — и многие нашли такую альтернативу в Mastodon. Mastodon — это децентрализованная социальная сеть, работающая по модели федерации, как email. Протокол федерации называется Activity...
Землю — крестьянам, gRPC — питонистам Протокол gRPC в данный момент является довольно распространёным решением (почему, очень хорошо описано в статье от Яндекса). На работе мы также используем его везде, где идёт речь об общении микросервисов друг с другом. Но, к сожалению, когда я начал вникать в устройство и п...
Десятки тысяч серверов Microsoft Exchange уязвимы перед удаленным выполнением кода Специалисты просканировали интернет и обнаружили около 30 000 серверов Microsoft Exchange, которые работают со старыми версиями ПО, чьи поддержка уже была прекращена. В итоге эти серверы не получают исправлений и уязвимы перед удаленным выполнением кода, а также другими проб...
Как необычные решения приводят к критическим уязвимостям. Или история одного бага, найденного в CloudTips Привет, Хабр! В данной статье хотел бы поделиться историей, как был найден достаточно простой в исполнении баг, но приводящий к опасной уязвимости веб приложения. Данный баг был найден в сервисе CloudTips от Тинькофф и CloudPayments на BugBounty площадке app.bugbounty.bi.zon...
История одной уязвимости в Google Chrome Эта статья посвящена уязвимости, которую мне удалось обнаружить в браузере Google Chrome в конце прошлого года, а также рассказывает об истории её возникновения. Уязвимость существовала в течение продолжительного периода и была устранена 31 октября 2023 года. Компания Google...
Обновление «Р7 Органайзер ПРО»: возможность работы в Microsoft Exchange Российский разработчик офисного ПО «Р7-Офис» представляет новый продукт — «Р7 Органайзер ПРО». С его помощью корпоративные пользователи офисной среды «Р7-Офис» смогут организовать полноценную работу с сервером корпоративной электронной почты Microsoft Exchange с использовани...
Google Chrome обещает бесперебойную работу в браузере благодаря улучшенной проверке безопасности Во время работы в Интернете эта функция будет незаметно работать в фоновом режиме, отыскивая уязвимости и взломанные пароли
Для уязвимости в Windows Event Log появился неофициальный патч Доступны неофициальные патчи для новой уязвимости нулевого дня в Windows под названием EventLogCrasher, позволяющей злоумышленникам удаленно нарушить работу службы Event Log на устройствах в пределах одного домена Windows.
Vpn для mac VPN (Virtual Private Network) - это технология, которая позволяет создать безопасное и зашифрованное соединение между вашим устройством и интернетом. VPN для Mac - это специальное программное обеспечение, которое устанавливается на ваш компьютер и позволяет использовать VPN-...
[Перевод] Как я сделал переполнение кучи в curl В связи с выпуском curl 8.4.0 мы публикуем рекомендации по безопасности и все подробности о CVE-2023-38545. Эта проблема является самой серьезной проблемой безопасности, обнаруженной в curl за долгое время. Для неё установили ВЫСОКИЙ приоритет.Хотя рекомендации содержат все ...
Исследователь безопасности обманул Apple на $2,5 миллионa Роскин-Фрейзи обнаружил уязвимость в серверной системе Apple, известной как Toolbox, а затем начал атаку с целью кражи товаров на сумму около $2,5 миллионов из серверной части компании.
Соединение 5G угрожает сотням моделей смартфонов Исследователи из Сингапурского технологического университета обнаружили уязвимости безопасности более чем в 700 смартфонах, использующих сети 5G. Это облегчает задачу злоумышленникам при организации атак.
Эксперты «Лаборатории Касперского» обнаружили уязвимость процессоров в iPhone Россиянам рассказали о критической уязвимости вех процессоров iPhone
[Перевод] Что GCC делает для усиления защиты ядра? Усиление защиты ядра Linux — это задача, предполагающая постоянную работу сразу по нескольким направлениям. И иногда эта работа может быть выполнена даже не в самом ядре, а с помощью других инструментов, или даже в компиляторах. На конференции 2023 GNU Tools Cauldron Цин Чжа...
Неполадки в отладке: как уязвимость в WinDbg позволяет атаковать разработчиков Привет, Хабр! Меня зовут Александр Калинин, я занимаюсь разработкой средств обеспечения безопасности контейнерных сред в МТС RED, дочерней компании МТС в сфере кибербезопасности. Сегодня расскажу о том, как я обнаружил в отладчике WinDbg уязвимость, которая позволяет запуска...
Топ самых интересных CVE за март 2024 года Всем привет! Подводим итоги марта топом самых интересных CVE. Гвоздём программы ушедшего месяца, конечно же, стал бэкдор в XZ Utils, наделавший шуму в Linux-сообществе. Десятку по CVSS также выбила уязвимость в Atlassian Bamboo Data Center и Server на внедрение SQL-кода.Ориг...
Оборудование Intel и Lenovo с 5-летней уязвимостью чинить не собираются В серверном оборудовании таких крупных производителей, как Intel, Lenovo и Supermicro, обнаружена критическая уязвимость. Исследователи из компании Binarly обнаружили, что проблема кроется в контроллерах управления базовой платой (BMC) — крошечных компьютерах, встроенных в м...
Может ли быть уязвимость в дизайне, контенте и CSS и разбор такой уязвимости(?) на Госуслугах Кажется, что уязвимость - штука техническая, но на Госуслугах есть интересная комбинация уязвимостей (ну или, скажем, черт, особенностей) в сфере CSS, дизайна, юзабилити, которые мошенники используют в социальной инженерии.Узнал я про это из вот этого ролика на ютубе - https...
СМИ: Роскомнадзор будет блокировать протокол Shadowsocks и почти 50 VPN-сервисов Как сообщают СМИ, Роскомнадзор впервые включил протокол Shadowsocks в список VPN-сервисов, подпадающих под блокировку. Для блокировки этого протокола ведомство будет использовать технические средства противодействия угрозам (ТСПУ) на трансграничных соединениях.
Хуже дуршлага: в более 30 Windows-драйверов нашли уязвимости В мире цифровой безопасности обнаружена тревожная новость: эксперты VMware Carbon Black выявили уязвимости в 34 драйверах Windows, которые могут предоставить злоумышленникам полный контроль над системой.
Более 250 тысяч почтовых серверов в опасности из-за новой уязвимости Обнаружены критические уязвимости в агенте доставки электронной почты Exim, широко используемом программном обеспечении с открытым исходным кодом. Эти уязвимости, о которых первоначально сообщила инициатива Zero Day Initiative (ZDI), могут позволить удаленное выполнение кода...
Крупнейшая ИИ-платформа подверглась атаке: тысячи серверов скомпрометированы Масштабная атака, направленная на уязвимость в Ray, популярном фреймворке искусственного интеллекта, используемом такими компаниями, как OpenAI и Uber, привела к взлому тысяч серверов. Эта брешь в системе безопасности вызывает опасения по поводу возможной кражи конфиденциаль...
В мультфильмах сервисов Amazon Prime Video и HBO Max нашли северокорейский след Вашингтонская исследовательская организация 38 North провела расследование, в ходе которого был обнаружен неправильно настроенный облачный сервер с IP-адресом КНДР.
Security Week 2351: фантомные корпоративные учетки в экосистеме Google На прошлой неделе исследователь Дилан Эйри из команды Truffle Security обнародовал детали уязвимости в протоколе OAuth компании Google. Ошибка в логике системы авторизации угрожает прежде всего компаниям, которые используют для совместной работы инфраструктуру Google Workspa...
Опять обновление Windows что-то сломало. Microsoft говорит, что устройства с Windows могут столкнуться со сбоями VPN-соединения Очередное обновление Windows сломало очередную функцию системы. Microsoft подтвердила, что апрельское обновление безопасности нарушило работу служб VPN. фото: Microsoft Сама компания формулирует это так, что устройства Windows могут столкнуться со сбоями VPN-соед...
Security Week 2406: множество уязвимостей в VPN-сервере Ivanti 1 февраля компания Ivanti объявила о закрытии нескольких уязвимостей в продуктах Ivanti Connect Secure и Ivanti Policy Secure. Это была бы рутинная новость, если бы не сложности, с которыми столкнулся разработчик этого решения для удаленного доступа к корпоративным ресурсам....
Вымогатели атакуют критическую уязвимость в Apache ActiveMQ Недавно исследователи предупредили, что более 3000 тысяч серверов Apache ActiveMQ, доступных через интернет, уязвимы перед свежей критической RCE-уязвимостью (CVE-2023-46604). В настоящее время баг уже подвергается атакам. Например, эксплуатировать проблему пытаются оператор...
Google выплатил пользователям $10 млн за поиск уязвимостей в своих продуктах Более 600 энтузиастов из 68 стран заработали $10 млн в прошлом году, найдя уязвимости в продуктах Google.
HTB Pilgrimage. Повышаем привилегии через уязвимость в Binwalk Для подписчиковВ этом райтапе я покажу, как воспользоваться утилитой для работы с бинарными файлами Binwalk, чтобы получить контроль над Linux. Но сначала попентестим веб‑сервер и проникнем на него благодаря неаккуратному использованию разработчиком утилиты ImageMagick.
В Google Chrome 123 закрыли 12 уязвимостей безопасности Выпущена очередная версия самая популярного браузера в мире
В WebOS нашли уязвимости, позволяющие хакерам дистанционно влиять на телевизоры LG Эксперты по информационной безопасности компании Bitdefender, владеющей одноимённым антивирусом, призвали пользователей «умных» телевизоров LG срочно обновиться из-за обнаруженной уязвимости в операционной системе устройств — WebOS.
Мало было серьёзных уязвимостей в процессорах, теперь такую обнаружили в GPU. LeftoverLocals опасна в случае обучения больших языковых моделей Несколько лет назад одной из самых активных тем в IT были многочисленные уязвимости в процессорах. Теперь такую же обнаружили в современных GPU. Называется уязвимость LeftoverLocals (её каталожный номер — CVE-2023-4969). Она позволяет восстанавливать данны...
Yandex Cloud представила большое обновление платформы для работы с данными Среди нововведений – запуск сервиса для управления метаданными Yandex MetaData Hub, добавление новых возможностей в сервис BI-аналитики Yandex DataLens и повышение безопасности баз данных
Появился эксплоит для Linux-уязвимости Looney Tunables Исследователи предупреждают, что в сети уже доступны PoC-эксплоиты для уязвимости Looney Tunables, обнаруженной в динамическом загрузчике библиотеки GNU C. Баг, позволяющий локальным злоумышленникам получить root-права, актуален для большинства популярных Linux-дистрибутитов...
Google «бьет тревогу» из-за критических уязвимостей нулевого дня в устройствах Apple Группа анализа угроз Google обнаружила не одну, а целых три уязвимости нулевого дня высокой степени опасности, которые сеют хаос как в операционных системах Apple, так и в браузере Chrome.
Специалисты Positive Technologies обнаружили уязвимости в контроллерах ABB Компания ABB поблагодарила специалистов Positive Technologies за обнаружение двух уязвимостей в контроллерах Freelance AC 900F и AC 700F. Эти устройства широко применяются в металлургии, химической промышленности и в других сферах.
XRay (с VLESS/XTLS): проброс портов, реверс-прокси, и псевдо-VPN Я уже написал тут много статей на тему установки и настройки прокси-серверов XRay с недетектируемыми протоколами Shadowsocks-2022, VLESS (с XTLS), и т.п. И один из очень часто поднимаемых в комментариях вопросов звучит так: можно ли с использованием XRay как-то организовать ...
Google: большинство 0-day уязвимостей связаны с поставщиками коммерческого шпионского ПО В Google заявили, что с поставщиками коммерческого шпионского ПО связано 80% уязвимостей нулевого дня, обнаруженных в 2023 году специалистами Google Threat Analysis Group (TAG). Эти уязвимости использовались для слежения за различными устройствами и их владельцами по всему м...
У Apple есть бесценный Айфон с режимом бога, который нельзя купить. Зачем он нужен и что умеет В отличие от других производителей, Apple не выпускает спецверсии iPhone в необычном дизайне или комплекте — за нее это делают сторонние компании. Однако мало кто знает, что у купертиновцев все же есть особенные модели смартфонов, которые нельзя купить. И речь отнюдь ...
Уязвимость LogoFAIL затрагивает почти все ПК под управлением Windows и Linux Команда исследователей Binarly обнаружила набор уязвимостей в системе безопасности, известных как "LogoFAIL", которые затрагивают компоненты разбора изображений в прошивке UEFI широкого спектра устройств.
Positive Technologies перечислила трендовые уязвимости прошедшего марта Эксперты Positive Technologies отнесли к трендовым уязвимостям марта пять проблем, обнаруженных в продуктах Fortinet, JetBrains и Microsoft. К трендовым относятся уязвимости уже использовавшиеся в атаках и те, эксплуатация которых прогнозируется в ближайшее время.
В видеокартах Apple, AMD и Nvidia нашли новую уязвимость с быстрой утечкой данных Исследователи информационной безопасности из Университета Карнеги-Меллона в Питтсбурге, штат Пенсильвания, США, сообщили о новой уязвимости в графических процессорах. Уязвимость под названием LeftoverLocals затронула, в том числе таких вендоров, как Qualcomm, AMD, Apple, Nvi...
Протоколы семейства TCP/IP. Теория и практика В сети можно найти огромное количество материала о том, как функционируют сети на базе стека протоколов TCP/IP, а также как писать компьютерные программы с сетевыми возможностями. При рассмотрении компьютерных сетей часто углубляются в описание физических основ и структур ...
Хакеры атакуют плагин для WordPress, установленный на миллионе сайтов ИБ-исследователи заметили вредоносную активность, направленную на популярный плагин Better Search Replace для WordPress. Только за последние сутки были обнаружены тысячи попыток атак на свежую уязвимость CVE-2023-6933, найденную в плагине на прошлой неделе.
Будни техпода. Ошибки при подключении по RDP Для доступа удалённому Windows-серверу из Windows-системы большинство администраторов используют протокол удалённого рабочего стола (Remote Desktop Protocol — RDP). Есть, конечно, и существенная доля тех, кто оперирует более обширным перечнем вариантов подключения — Micros...
Усилители Wi-Fi сигнала D-Link уязвимы перед удаленным выполнением команд Группа исследователей RedTeam обнаружила проблемы в популярном усилителе Wi-Fi сигнала D-Link DAP-X1860. Найденная специалистами уязвимость позволяет осуществлять DoS-атаки (отказ в обслуживании) и удаленное внедрение команд.
Сотням тысяч серверов Exim угрожает критический баг Специалисты Trend Micro Zero Day Initiative предупредили сразу о нескольких уязвимостях агенте пересылки сообщений Exim. Самая серьезная из этих проблем затрагивает все версии Exim и позволяет добиться удаленного выполнения кода без аутентификации.
Исследователь заявляет, что взломал DRM-технологию Microsoft Основатель и глава польской исследовательской компании AG Security Research (ранее Security Explorations) Адам Говдяк (Adam Gowdiak) заявил, что обнаружил уязвимости в технологии защиты контента PlayReady компании Microsoft. По его словам, эти проблемы могут позволить недоб...
Топ самых интересных CVE за февраль 2024 года Всем привет. Подводим итоги последнего зимнего месяца подборкой самых интересных CVE. В феврале засветилась выбившая десяточку уязвимость на обход аутентификации в софте ConnectWise ScreenConnect. Также отметилась критическая уязвимость в плагине Bricks Builder для WordPress...
В приложении iSharing для Android обнаружена критическая уязвимость Разработчики приложения информацию об уязвимости проигнорировали.
Kerberos простыми словами Несмотря на то, что уже существует множество различных статей про Kerberos, я всё‑таки решил написать ещё одну. Прежде всего эта статья написана для меня лично: я захотел обобщить знания, полученные в ходе изучения других статей, документации, а...
Уязвимость в системе электронного голосования Швейцарии может позволить манипулировать голосами В системе электронного голосования Швейцарии обнаружена уязвимость, позволяющая манипулировать голосами, если компьютер избирателя инфицирован
Security Week 2347: уязвимость в процессорах Intel На прошлой неделе компания Intel выпустила бюллетень, посвященный уязвимости в процессорах, начиная с поколения Ice Lake 2019 года (десятое поколение Intel Core). Как следует из описания, «определенная последовательность инструкций может приводить к нестандартному поведению»...
В продуктах Ivanti нашли еще две 0-day уязвимости. Одну из них уже атакуют хакеры Не успели разработчики Ivanti исправить уязвимости нулевого дня, обнаруженные в начале января в продуктах Connect Secure VPN и Policy Secure, как стало известно о двух новых 0-day багах, так же затрагивающих Connect Secure, Policy Secure и шлюзы ZTA. Причем одна из уязвимост...
В США решили заняться безопасностью телефонных протоколов 1970-х годов Федеральная комиссия по связи США (FCC) займется устранением давних недостатков в системе безопасности американских телефонных сетей, сообщает The Register. Эти уязвимости, предположительно используемые иностранными правительствами и злоумышленниками, ставят под угрозу конфи...
Пользователи VK Звонков за год стали на 11% больше времени проводить в сервисе ВКонтакте подвела итоги работы VK Звонков и VK Мессенджера в 2023 году. По данным компании, пользователи VK Звонков за год стали на 11% больше времени проводить в сервисе. Также за этот период на 60% выросла длительность звонков с совместным просмотром. Участниками самого ма...
Cisco обнаружила еще одну 0-day уязвимость в IOS XE Компания Cisco сообщила о новой уязвимости нулевого дня (CVE-2023-20273), которая активно используется хакерами для развертывания малвари на устройствах IOS XE, скомпрометированных с помощью другой 0-day уязвимости — CVE-2023-20198. В минувшие выходные общее количество взлом...
CVE-2024-1709 и массовая атака на медицинские учреждения США В данной статье рассказывается о 0-day уязвимости CVE-2024-1709, позволяющей обойти аутентификацию и получить неограниченный доступ к серверам и машинам, которые управляются с помощью ПО удаленного рабочего стола ConnectWise ScreenConnect. Данное ПО повсеместно используется ...
Можно ли взломать любой смартфон и сколько Google платит за найденные ошибки Если вы тщательно следите за тем, чтобы все ваши устройства были максимально защищены, вы можете предположить, что с такими средствами, как двухфакторная аутентификация, вам ничего не страшно. В наши дни существует несколько способов защиты конфиденциальной информации, и эт...
Wildberries заплатит до 500 тыс рублей за взлом своих сервисов Российская компания Wildberries заплатит до полумиллиона рублей за поиск уязвимостей сервиса
Красное море — самый уязвимый участок сети Интернет На дне Красного моря в очередной раз повреждены сразу несколько телекоммуникационных кабелей Интернет уже давно вошел в нашу жизнь, и теперь кажется чем-то монументальным и незыблемым. Если какие-то сбои в нем и происходят, то они носят локальный характер. Однако мало кто за...
Нейросетевой инспектор обнаружил 400 нарушений на подмосковных стройках Россиянам рассказали, как справляется с работой нейросетевой инспектор безопасности
В России предложили способы восстановления заброшенных торфяных разработок Ученые из Балтийского федерального университета имени И. Канта (БФУ) провели исследование нарушенного торфяника Виттгирренского, расположенного на карбоновом полигоне "Росянка" в Калининградской области. Их исследование фокусировалось на структуре и свойствах почв, а также н...
Вымогатель LockBit использует в атаках уязвимость Citrix Bleed ИБ-эксперты предупреждают, что вымогательская группировка Lockbit использует общедоступные эксплоиты уязвимости Citrix Bleed (CVE-2023-4966) для атак на крупные организаций, кражи данных и шифрования файлов. Разработчики Citrix выпустили патч для CVE-2023-4966 более месяца н...
Пошаговая шпаргалка по защите сервера от хакеров и другой нечисти Когда сервер создается для личных нужд, то чаще всего внимания безопасности почти не уделяется. А ведь это фатальная ошибка… Представьте: вот арендовали вы сервер, запустили на нем SAMP или Minecraft, а через время видите, как наступает хаос. Виртуальную машину взломали и ...
Beeper Mini делает iMessage доступным на Android Независимое приложение Beeper Mini позволяет пользователям Android обмениваться сообщениями через iMessage, используя протокол и серверы Apple.
Вредонос Migo отключает защиту на серверах Redis Исследователи обнаружили вредоноса Migo, который написан на Go и атакует серверы Redis на Linux-хостах ради добычи криптовалюты. Отмечается, что малварь отключает защитные функции Redis, чтобы ничто не препятствовало криптоджекингу.
Преимущества серверов HP для 1С В мире современного бизнеса, где оперативность, надежность и эффективность играют ключевую роль, выбор правильной инфраструктуры становится стратегическим вопросом. В контексте использования программного обеспечения 1С, которое часто является основным инструментом автоматиза...
Magnet Goblin использует 1-day уязвимости для атак на Windows и Linux Исследователи Check Point обнаружили новую финансово мотивированную хак-группу Magnet Goblin. Группировка предпочитает эксплуатировать свежие уязвимости в таких продуктах, как Ivanti Connect Secure, Apache ActiveMQ и ConnectWise ScreenConnect, распространяя кроссплатформенны...
VPS - надежный фундамент для вашего онлайн-бизнеса в эпоху цифровизации Выбор хостинга для сайта - это выбор фундамента, на котором будет строиться ваш онлайн-бизнес. И если вы хотите, чтобы ваш бизнес был стабильным и надежным, то выбор должен падать на виртуальный частный сервер (VPS). Почему именно VPS? Давайте разберемся подробнее. Начнем с...
Безопасность CI/CD: обзор тoп-10 угроз по версии OWASP и рекомендации по их устранению в вашем конвейере Привет, Хабр!Меня зовут Артём Пузанков, я DevSecOps Cluster Lead (руководитель направления безопасной разработки) в МТС Digital.Экспертное сообщество OWASP представило OWASP Top 10 CI/CD Security Risks — список критических уязвимостей конвейера CI/CD. Его получили, исследова...
Исследователи нашли сайт, торгующий миллиардами сообщений из Discord Журналисты издания 404 Media обнаружили сервис Spy Pet, создатель которого утверждает, что отслеживает и архивирует миллиарды сообщений на открытых серверах Discord. Сервис продает доступ к данным всего за 5 долларов, позволяя отслеживать более 600 млн пользователей более че...
Разработчики компании «Фродекс» представили новую систему Vulns.io Enterprise VM Vulns.io Enterprise VM – это новая система управления уязвимостями активов IT-инфраструктуры в автоматическом режиме. Новинка является решением для мониторинга защищенности крупных инфраструктур, превышающих 10 000 активов, использующим оркестратор Kubernetes. Vulns.io Enter...
Человечество может лишиться интернета из-за солнечных бурь уже в 2024 году Учёные предупреждают, что уже в 2024 году Землю могут поразить мощные солнечные бури, способные нарушить работу интернета на несколько недель.
Ученые обнаружили уязвимость в опасном вирусе Зика Ученые из Sanford Burnham Prebys раскрыли секрет работы высокоэффективного механизма вируса Зика. Вирус, состоящий всего из 10 белков, использует фермент NS2B-NS3, меняющий форму, который выполняет двойную роль: расщепляет белки (протеаза) и разделяет РНК (хеликаза).
Знакомство с SSH Как гласит википедия, «SSH — сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений (например, для передачи файлов). Схож по функциональности с протоколами Telnet и rlogin, но, в отличие от них,...
Security Week 2411: критическая уязвимость в продуктах VMware 5 марта компания VMware (ныне входящая в корпорацию Broadcom) сообщила об обнаружении ряда серьезных уязвимостей в продуктах VMware ESXi, Fusion, Cloud Foundation, Workstation Pro и Workstation Player. Всего было закрыто четыре уязвимости, а наиболее серьезная получила идент...
Бесплатные VPN на Android превращали смартфоны жертв в прокси-сервера киберпреступников Google Play Store удалил 28 приложений, которые под видом VPN-сервисов превращали смартфоны пользователей в прокси-серверы для киберпреступников.
[Перевод] Обслуживание HTML из MS-DOS Отсутствующий в MS-DOS стек протоколов TCP/IP всегда был поводом для жарких дискуссий – и это при том, что изначально его поддержка в ОС не планировалась вовсе. И дело вовсе не в том, что MS-DOS он был бы не по силам. TCP/IP на момент разработки DOS еще не был реализован сам...
Getty Images нашёл 19 поддельных мест на снимке с семьёй королевы Елизаветы II Сервис публикации фотографий Getty Images сообщил, что его редакторы обнаружили 19 поддельных моментов на снимке почившей королевы Великобритании Елизаветы II, на котором она изображена в окружении внуков и правнуков.
Появился вирус, который захватывает ваш Google-аккаунт, «оживляя» cookie-файлы Приготовьтесь, пользователи сервисов Google: новый эксплойт нацелен на вашу самую конфиденциальную информацию — аккаунт. Эта уязвимость обходит даже смену пароля, оставляя вас уязвимыми.
Новая атака Loop DoS представляет угрозу для 300 000 систем Исследователи описали новый вектор application-layer атак, основанный на протоколе User Datagram Protocol (UDP) и получивший название Loop DoS. Такой DoS представляет угрозу для систем Broadcom, Honeywell, Microsoft и MikroTik, и может «замкнуть» сетевые сервисы в бесконечно...
Сервер для Proxmox Proxmox, популярная открытая виртуализационная платформа, требует надежного и производительного сервера для оптимальной работы. Выбор подходящего оборудования является ключевым моментом в процессе создания стабильной виртуальной среды. https://servermall.ru/ рассказывает, ка...
[Перевод] Найдена самая маленькая и тусклая галактика-спутник Млечного Пути У Млечного Пути есть множество галактик-спутников, в первую очередь Большое и Малое Магеллановы облака. Оба они видны невооружённым глазом из южного полушария. Теперь астрономы обнаружили ещё один спутник, самый маленький и тусклый из когда-либо обнаруженных. Возможно, это г...
Облачный апокалипсис. Файлохранилище на своём сервере Компания Microsoft сегодня (или с 1 апреля) блокирует доступ к облачным сервисам для корпоративных клиентов из России. С этого дня хранилище OneDrive станет недоступно, как и 50 других сервисов Microsoft. Аналогичная ситуация может сложиться с сервисами Amazon и Google. Эт...
Кошка нарушила работу медицинской системы в США В США кошка случайно нарушила работу ключевой медицинской информационной системы, вызвав четырехчасовой сбой в ее работе
Сильнейшее за 25 лет землетрясение на Тайване вынудило эвакуировать заводы TSMC Глобальный производитель микросхем TSMC был вынужден эвакуировать некоторые заводы после мощного землетрясения, произошедшего на Тайване сегодня, 3 апреля. Землетрясение магнитудой 7,4, самое сильное за последние 25 лет, привело в действие протоколы безопасности ведущего мир...
В Китае заявили, что американский корабль нарушил суверенитет и безопасность КНР Несмотря на встречу Джо Байдена с Си Цзиньпином, по прежнему напряжение между странами не затихает
Security Week 2413: аппаратная уязвимость в процессорах Apple Большой новостью прошлой недели стало объявление о научной работе исследователей из ряда университетов США, демонстрирующей аппаратную уязвимость GoFetch в процессорах Apple M1 и M2 (сайт проекта, сама научная работа, подробное описание в статье издания Ars Technica). Уязвим...
MEGANews. Самые важные события в мире инфосека за февраль В этом месяце: хакеры украли у AnyDesk исходный код и сертификаты подписи кода, обнаружен сервис OnlyFake, генерирующий фальшивые документы, правоохранители хакнули инфраструктуру группировки LockBit, Avast оштрафовали за торговлю данными пользователей, для Flipper Zero выше...
Солнечная буря может сделать северное сияние видимым в южных широтах Сильная вспышка на Солнце, произошедшая 14 декабря может нарушить работу радиосвязи, аварии в электросетях и потерю ориентации космическими аппаратами
Системы водоснабжения США подверглись кибератаке Белый дом бьет тревогу по поводу кибератак на системы водоснабжения и водоотведения США. В письме советника по национальной безопасности Джейка Салливана и администратора Агентства по охране окружающей среды Майкла Ригана губернаторы по всей стране предупреждают, что эти «вы...
Конец эпохи: серверы Wii U и Nintendo 3DS прекратили работу Это горько-сладкий день для поклонников Nintendo. С сегодняшнего дня онлайн-сервисы для Wii U и 3DS официально закрываются. Это «конец эпохи» для этих любимых консолей и онлайн-сообществ, которые они породили.
YouTube в России может начать хуже работать без вмешательства правительства. Во всем виновата Google Качество видеоконтента сервисов Google, включая YouTube, может снизиться в России в 2024 году из-за износа и сокращения количества Google Global кэш-серверов в стране.
Зачем нужны SSL-сертификаты? SSL-сертификаты являются важной частью современного интернет-мира, так как они обеспечивают высокую безопасность и конфиденциальность передачи данных. Криптографическая технология SSL позволяет защитить информацию, обеспечивает надежное, безопасное шифрование данных при обме...
Сотрудники «Тинькофф» смогут получить деньги за найденные уязвимости В «Тинькофф» запустили программу по которой любой сотрудник, нашедший уязвимости в системах компании получит вознаграждение
Создатель культового хита PlayStation выставляет на продажу свою BAFTA Джей Ганн, соавтор культового экшен-платформера, испытывает трудности с финансами и здоровьем, а также уже целый год не может найти работу
Самый большой в мире айсберг сдвинулся с места впервые за несколько десятилетий Айсберг площадью около 4000 квадратных километров снова пришел в движение. Это может нарушить судоходство близ Южной Африки
Служба поддержки Kaiten обрабатывает заявки в своем же сервисе: не теряем запросы, отвечаем за 20 минут Привет! Я Лиза, специалист службы поддержки Канбан-сервиса Kaiten. Ежедневно я и мой коллега получаем около 40 запросов от наших пользователей: помогаем разобраться в продукте, найти неизвестные для них функции, устранить проблемы. Рассказываю, как мы организовали свою ...
HTB Sandworm. Выходим из песочницы Firejail и повышаем привилегии в Linux Для подписчиковВ этом райтапе я покажу, как совершать побег из сендбокса Firejail, чтобы повысить привилегии в Linux. Еще мы найдем и проэксплуатируем уязвимость SSTI в сервисе проверки подписи PGP, а также заложим бэкдор в проект, написанный на Rust.
«Циан» перенес 500 терабайтов данных на платформу Yandex Cloud без перерывов в работе сервиса Компания всего за 6 недель перенесла на сервера Yandex Cloud более 500 микросервисов и 500 терабайтов информации: 1,9 млн объявлений и данные о более чем 19 млн уникальных пользователей.
В России появился сервис аренды серверов для физлиц Крупный российский провайдер облачных сервисов начал продавать услуги частным лицам
Хакеры продают уязвимость в iMessage за 2 миллиона долларов В социальной сети Х (Twitter) появилась информация об опасной уязвимости, которая обнаружена в iMessage. Сегодня об этом сообщили разработчики криптокошелька Trust Wallet.Читать дальше... ProstoMAC.com.| Постоянная ссылка | No comment Вы также можете ознакомиться с другими...
Сотрудники Microsoft случайно открыли внутренние пароли компании Microsoft устранила брешь в системе безопасности, в результате которой внутренние файлы компании и учетные данные сотрудников оказались в открытом доступе в интернете. Исследователи из компании SOCRadar, специализирующейся на кибербезопасности, обнаружили незащищенный сервер...
Security Week 2348: безопасность логина по отпечатку пальца в ноутбуках На прошлой неделе исследователи из команды Blackwing Intelligence опубликовали подробный отчет о безопасности системы Windows Hello при авторизации на популярных ноутбуках c помощью отпечатка пальцев. Безопасность логина с использованием биометрии была исследована на трех ус...
Исследователи: существующие водяные знаки с работ ИИ легко удалить Исследователи из Университета Мэриленда обнаружили уязвимости в существующих методах водяных знаков, создаваемых искусственным интеллектом, что позволяет сравнительно легко обходить такие вотермарки. Более того, они обнаружили, что еще проще добавлять поддельные водяные знак...
Apple выпустила macOS Sonoma 14.4 с большим количеством исправлений. Срочно качайте на свой Мак Apple продолжает развивать свою операционную систему для компьютеров macOS Sonoma и выпускает уже четвертый крупный апдейт. Новых функций в нем практически нет, зато исправлений набралось достаточно. Во-первых, компания закрыла более 50 различных уязвимостей, который позвол...
Укрощаем DNS в Wireshark. Часть 2 В предыдущей статье мы начали рассматривать использование анализатора пакетов Wireshark для работы с DNS. В этой мы продолжим рассмотрение данной темы и поговорим о рекурсии DNS. Здесь принцип обмена пакетами будет немного сложнее, потому что помимо обмена DNS пакетами между...
Атака ShellTorch использует уязвимости TorchServe и угрожает инфраструктуре крупных компаний Несколько критических уязвимостей, получивших общее название ShellTorch, были обнаружены в опенсорсном инструменте TorchServe, который используется для обслуживания ИИ-моделей PyTorch. Исследователи заявили, что обнаружили в интернете десятки тысяч уязвимых серверов, некотор...
[Перевод] Безопасность памяти меня не волнует Фото с сайта платформы CHERIoT, проекта Microsoft по решению проблем с доступом к памяти IoT-устройств на аппаратном уровне Такое заявление может показаться странным для тех, кто более десяти лет работает над обеспечением безопасности памяти на аппаратном уровне, так что я...
ИБ и ИТ, давайте жить дружно. Вот как это возможно Безопасность во многих компаниях стоит особняком. Вместо того чтобы беспокоиться о качестве вашего продукта, безопасники твердят о ГОСТах и ISO, о разных сертификациях и авторизационных протоколах — вещах важных, но вне фокуса основного архитектора. При этом их деятельность ...
Законопослушный гражданин. Инструкция по отказу от VPN Не так давно государственные структуры озаботились проблемой VPN. Сегодня VPN-протоколы блокируются на уровне провайдеров, но пользоваться ими нам как потребителям пока что можно. Однако ситуация меняется стремительно, и в новостях уже проскакивают слухи о блокировке доступ...
Milk Sad уязвимость в библиотеке Libbitcoin Explorer 3.x. Крупная кража на $ 900 000 у пользователей Биткоин Кошельков Исследователи компании «Slowmist» проводят регулярное исследование сферы безопасности блокчейна Биткоин. Они обнародовали уязвимость в библиотеке Libbitcoin Explorer 3.x, который позволила злоумышленникам украсть более $ 900 000 у пользователей Биткоин Кошельков (B...
Разбираем TLS по байтам. Часть 1: кто такой этот ваш HTTPS? Подключение к сайту бывает защищённым, а бывает нет — это надо знать всем детям. Только мало детей знают, что это значит и как работает. Я, изучая веб-разработку, узнал об HTTP. Разобраться в нём несложно: в каждой статье о протоколе множество наглядных примеров запросов ...
Появился опасный троян GoldDigger для iOS Специалисты по информационной безопасности обнаружили новый троян для iOS. Он получил название GoldPickaxe. Вредоносное приложение может собирать данные Face ID, удостоверяющие личность документы и перехваченные текстовые сообщения.Читать дальше... ProstoMAC.com.| Постоянна...
Руководство по развертыванию и управлению Linux-сервером без bash и sh с помощью ispmanager Запуск своего Linux-сервера многие до сих пор видят как работу для владельцев свитера, бороды и толстого тома с инструкциями по Unix/Linux и набором команд в bash/sh-консоли. Возможно вы также считаете работу с командной строкой в терминале чем-то архаичным и неудобным, и ва...
Новые Ford Sierra, Escort, Fiesta и Orion из 80-х обнаружили в заброшенном салоне в Германии На YouTube-канале Auto Retro опубликовали видеоролик, в котором показан заброшенный автосалон, обнаруженный с помощью сервиса Google Maps и функции Street View. Интересно, что фотографии были обнаружены около двух лет назад, а сделаны более 10 лет назад. Поэтому не было...
Используем MLOps-конвейер: пример работы с Cloud ML Platform для построения сервиса распознавания лиц Есть два подхода к работе с машинным обучением (Machine Learning, ML): быть человеком-оркестром и задействовать «зоопарк технологий» для каждого этапа, или работать с готовым набором инфраструктурных решений, который позволяет выстроить MLOps-конвейер в рамках одной платфо...
Что такое SIP-телефон Yealink SIP/H.323/RTSP-протоколы, поддерживаемые телефонными аппаратами Yealink, позволяют использовать их в качестве SIP/H.323-устройств для коммуникации в IP-сетях. SIP (Session Initiation Protocol) и H.323 (Packet-based Multimedia Communications Systems) - это стандартные протоко...
E-mail Injection; Инъекции в почтовую функциональность веб-приложений Так сложилось, что одним из вариантов решения задачи сбора ответов пользователей на формы является использование электронной почты. Электронная почта – комплексная технология, в работе которой задействован целый список компонентов.В таком сценарии формы выступают посредникам...
Domain fronting для чайников, и как его использовать для обхода блокировок Давайте сразу вопрос на засыпку: может ли быть так, что клиент подключается, ну, например, к серверу www.python.org (самому настоящему, тому, к которому обращаются еще миллионы клиентов со всего мира), а потом использует его как прокси и гоняет через это подключение трафик д...
Что делать, если не работает Telegram на Android 27 февраля произошел сбой в работе Телеграм, и на проблемы с доступом к мессенджеру начали жаловаться почти все пользователи из России. Подобная ситуация не является чем-то новым, а сложности с отправкой сообщений и обновлением ленты происходят едва ли не каждый месяц. В эт...
Уязвимости на GitHub: в библиотеке Ruby, которую скачали 250 000 раз, модулях для электронных замков и популярных играх В конце марта в блоге GitHub вышла статья, как защищаться от уязвимостей типа RepoJacking. В первых строчках автор советовал использовать пакетные менеджеры типа NPM и PyPI, чтобы киберугроза этого вида «не угрожала пользователю напрямую». Можно было бы вздохнуть с облегчени...
F5 исправляет RCE-уязвимость в BIG-IP Критическая уязвимость в утилите настройки F5 BIG-IP (CVE-2023-46747), позволяет удаленному злоумышленнику выполнить произвольный код без аутентификации. Проблема связана с UI Traffic Management и получила 9,8 балла из 10 возможных по шкале оценки уязвимостей CVSS.
Уязвимость в ownCloud уже взяли на вооружение хакеры Хакеры уже атакуют критическую уязвимость в ownCloud (CVE-2023-49103), которая раскрывает пароли администраторов, учетные данные почтовых серверов и лицензионные ключи в контейнерах.
Для чего подходит ультрадешёвый сервер за 130 рублей В рекламе RUVDS постоянно упоминаются дешёвые VPS-серверы «за 130 рублей в месяц». Но многие думают, что это маркетинговый трюк: такие серверы может и есть, но только для рекламы, чтобы предложение звучало красиво, а в реальности они совершенно непригодны. Ну что может сер...
Эксперт рассказал о большой уязвимости iOS 17 Эксперт информационной безопасности из РТУ МИРЭА рассказал о уязвимости в iOS 17
Хакеры атакуют свежую RCE-уязвимость в Atlassian Confluence ИБ-специалисты сообщают о массовых попытках эксплуатации RCE-уязвимости CVE-2023-22527, которая была раскрыта на прошлой неделе и затрагивает версии Atlassian Confluence, выпущенные до 5 декабря 2023 года, а также некоторые версии, поддержка которых уже прекращена.
Специалисты МТС RED помогли устранить уязвимость в инструменте разработки Microsoft WinDbg Команда перспективных исследований МТС RED ART компании МТС RED выявила уязвимость в популярном отладчике программного обеспечения Microsoft WinDbg. Эксперт МТС RED ART Александр Калинин обнаружил брешь в безопасности, которая может быть использована в ходе атак на разработч...
Исследование безопасности десктопных приложений на основе Electron Electron — фреймворк с открытым исходном кодом для создания кросс-платформенных десктопных приложений с помощью JavaScript, HTML и CSS. Это крутая технология, но с ней связаны многие ИБ-риски. В статье я разберу основы безопасной работы с этим фреймворком и расскажу: как а...
Уязвимость в популярном WordPress-плагине Ultimate Member ведет к утечке данных Исследователи предупредили о критической уязвимости (SQL-инъекция) в популярном плагине для WordPress, который насчитывает более 200 000 установок. Проблема может использоваться для извлечения конфиденциальных данных.
Разрушители легенд: Как на самом деле магазины проверяют приложения на уязвимости Всем привет! Снова с вами Юрий Шабалин. Уже много лет я занимаюсь безопасностью мобильных приложений и в своих исследованиях доношу важность этого направления для бизнеса.В одной из прошлых статей я составлял шорт-лист мифов о безопасности мобильных приложений. Один из них б...
Пишу Minecraft сервера с нуля. Часть 1. Пинг Этот цикл статей о разработке серверного ПО совместимого с протоколом Minecraft: Java Edition.В этой части я акцентирую внимание на основных вещах: типы данных, структура пакетов и как клиент получает информацию о сервере. Читать далее
Экономия без потерь: оптимизация расходов на IT- инфраструктуру с помощью VPS Оптимизация затрат на IT-оборудование и услуги может значительно снизить общие расходы и повысить конкурентоспособность компании. В данной статье мы обсудим, как использование виртуальных частных серверов (VPS) помогает добиться этих целей, обеспечивая при этом высокое качес...
В Австралии домены отключились из-за сбоя DNSSEC В понедельник доменные имена в национальной зоне Австралии .AU были недоступны на протяжении часа из-за сбоя протокола безопасности DNSSEC.
I2P + OpenFire Собственный мессенджер в скрытой сетиПоднимаем XMPP сервер в I2P. Статью также можно использовать как общее руководство по настройке и других сервисов в скрытой сети, а как именно, читайте далее... Читать далее
Сервер видеосвязи TrueConf MCU совместим с ОС Astra Linux Компаниями Труконф и ГК «Астра» была подтверждена корректная работа новой версии ВКС-сервера TrueConf MCU 2.0 с ОС Astra Linux. Это позволит строить безопасные сети видеокоммуникаций с SIP/H.323-устройствами в инфраструктуре под управлением защищенной отечественной ОС.
Microsoft добавила GPT-4 Turbo в бесплатную версию Copilot Microsoft объявила, что улучшенная языковая модель GPT-4 Turbo теперь доступна всем пользователям Copilot, в том числе в бесплатной версии. Это более точная и производительная модель, которая обучалась на более свежих данных и может обрабатывать более сложные задачи. Ранее ...
[Перевод] System Design 101 О сложных системах простыми словами. В шпаргалке на высоком уровне рассматриваются такие вещи, как протоколы коммуникации, DevOps, CI/CD, архитектурные паттерны, базы данных, кэширование, микросервисы (и монолиты), платежные системы, Git, облачные сервисы etc. Особую ценн...
[Перевод] Введение в поддержку JavaScript в MySQL MySQL продолжает наращивать инновации и теперь включает в себя богатые возможности процедурного программирования внутри базы данных. Отныне разработчики могут писать хранимые программы на языке JavaScript (функции и процедуры) в сервере баз данных MySQL. Хранимые программы б...
OpenAI патчит раскрытие данных в ChatGPT, но информация все равно может утекать Компания OpenAI устранила ошибку раскрытия данных в ChatGPT, из-за которой информация о разговоре с чат-ботом могла утекать на внешний URL. Однако, по словам исследователя, обнаружившего эту проблему, патч компании неидеален, и эксплуатация уязвимости все еще возможна при оп...
Ars Technica: Пользователи Linux стали объектом скрытой атаки Опасную уязвимость Linux обнаружил программист.
Google патчит восьмую 0-day уязвимость в Chrome в этом году Google выпустила экстренные патчи для устранения очередной 0-day уязвимости в браузере Chrome. Известно, что этот баг уже находился под атаками и стал восьмой уязвимостью нулевого дня в Chrome в этом году.
В США «тысячи» дешёвых Android TV оказались заражены бэкдором Triada Исследователь безопасности Даниэль Милисик обнаружил, что в ряде потоковых приставок Android TV обнаружены вирусы. Речь идёт о бэкдорах, в частности об одном из самых эффективных — Triada.
Обзор на сайт pq.hosting по аренде VPS серверов Сайт pq.hosting предлагает аренду VPS серверов по разумной цене. На сайте представлены различные конфигурации VPS серверов, которые можно выбрать в зависимости от потребностей пользователя. Сайт имеет простой и интуитивно понятный интерфейс, что делает процесс выбора и заказ...
Данные 36 млн человек скомпрометированы из-за хакерской атаки на Comcast Xfinity Компания Comcast Cable Communications, работающая под брендом Xfinity, сообщила, что злоумышленники, взломали один из ее серверов Citrix (с помощью уязвимости Citrix Bleed) и похитили конфиденциальную информацию 36 млн клиентов.
Уязвимостями в устройствах Pixel пользовались киберкриминалисты На этой неделе инженеры Google исправили 28 уязвимостей в Android и 25 ошибок в устройствах Pixel, включая две проблемы, которые уже подвергались эксплуатации. Сообщается, что 0-day уязвимости в Google Pixel использовались киберкриминалистами для разблокировки смартфонов без...
Минцифры запускает второй этап багбаунти Принять участие в поиске уязвимостей инфраструктуры электронного правительства может каждый. За успешную работу багхантеры получат до 1 млн рублей.
Роскомнадзор составил протоколы на Pinterest, Google, Telegram и других за неисполнение закона «о самоконтроле» Шесть сервисов уже оштрафовали на 750-900 тысяч рублей, остальные протоколы ждут рассмотрения.
Свежий критический баг в FortiOS SSL VPN уже находится под атаками Разработчики Fortinet предупреждают, что новая критическая RCE-уязвимость в FortiOS SSL VPN уже может использоваться для атак. Уязвимость отслеживается как CVE-2024-21762 и получила 9,6 баллов по шкале CVSS. Баг в FortiOS связан с out-of-bounds записью и позволяет неавториз...
В «Яндексе» рассказали о новой опасности в последнем обновлении для iPhone Эксперты информационной безопасности «Яндекса» рассказали об уязвимости в iOS 17
Android 14 получил апрельское обновление безопасности Google выпустила апрельское обновление безопасности Android 14. Это обновление, затрагивающее в особенности Pixel 5a, 6, 6 Pro, 6a, 7, 7 Pro, 7a, Tablet, Fold, 8 и 8 Pro, устраняет ряд уязвимостей и ошибок.
В России Zoom оштрафовали за отсутствие филиала Мировой суд Москвы оштрафовал сервис видеоконференций Zoom за отсутствие в России филиала или представительства. Компанию признали нарушившей закон «о приземлении».
Обычный Android-смартфон может вскрыть почти любой замок в гостиничном номере Хакеры Ян Кэрролл и Леннерт Воутерс привлекли внимание общественности к проблеме безопасности гостиничных номеров. Еще в 2022 году группа «Unsaflok» предоставила компании «Dormakaba» убедительные сведения о наличии уязвимости в дверных замках ее производства.
Пользователи 3D-принтеров Anycubic сообщают о массовом взломе На днях кто-то устроил атаку на 3D-принтеры производства компании Anycubic, взломав сетевой протокол MQTT. Загруженный хакером файл гласит, что сделано это без злого умысла — с намерением продемонстрировать уязвимость сетевой службы и таким образом предупредить пользователей...
ASRock Rack представила GPU-серверы с поддержкой NVIDIA Blackwell GB200 Эти серверы обеспечивают циркуляцию воздуха для оптимальной производительности CPU и GPU, а также имеют множество разъемов PCIe и блоков питания.
Европа может раскрыть алгоритмы шифрования служб экстренной помощи Европейский институт телекоммуникационных стандартов (ETSI) рассматривает возможность открытия собственных алгоритмов шифрования, используемых для защиты аварийной радиосвязи. Этот шаг был предпринят после того, как в начале этого года общественность выразила обеспокоенность...
Обновления LibreOffice 7.6.2 и 7.5.7 устраняют критическую уязвимость WebP Уязвимость была обнаружена в широко используемой библиотеке libwebp.
Выручка от поставок только ускорителей NVIDIA H20 в Китай может достичь $12 млрд по итогам года В этом году количество реализованных серверов для работы с ИИ более чем удвоится.
TVL в сети Tron выросла на 20% за месяц Согласно данным аналитического сервиса DefiLlama, стоимость заблокированных средств (TVL) в протоколах сети Tron выросла на 19,65% за последние 30 суток
После скандала с фальсификацией данных и остановки производства Toyota возобновила работу всех линий Toyota Motor, крупнейший автоконцерн в Японии, возобновил работу всех производственных линий в стране после того, как часть из них была приостановлена в 2023 году из-за скандала, связанного с фальсификацией данных о мощности дизельных двигателей, предоставленных подрядч...
Пользуетесь пестицидами на огороде? Пчелы вас больше не любят Ученые обнаружили пагубное воздействие пестицидов на обоняние медоносных пчел, что может нарушить их важнейшие коммуникационные сигналы. Исследование было посвящено вредному воздействию адъювантов — химических веществ, используемых для повышения липкости инсектицидов, к...
BMW подтвердила утечку данных: кто-то неправильно настроил облачный сервер Как сообщает TechCrunch, неправильно настроенный сервер облачного хранилища, принадлежащий автомобильному гиганту BMW, раскрыл конфиденциальную информацию компании, включая закрытые ключи и внутренние данные. Джан Йолери, исследователь безопасности из компании SOCRadar,...
NASA нашло водяной пар в атмосфере небольшой экзопланеты NASA совершило прорывное открытие, обнаружив водяной пар в атмосфере небольшой экзопланеты, что может иметь значительные последствия для понимания условий жизни во Вселенной.
Microsoft и Quantinuum создали способ уменьшить ошибки на квантовом компьютере Команда инженеров компании по созданию квантовых компьютеров Quantuum, сотрудничая со специалистами Microsoft, нашла способ значительно сократить ошибки при проведении экспериментов на квантовом компьютере. Они опубликовали статью о своей работе на сервере предварительн...
Trail of Bits обнаружила уязвимость в графических процессорах Apple, AMD и Qualcomm Эта уязвимость позволяет злоумышленникам получить доступ к данным из памяти GPU
Хакеры уже используют критический баг в Atlassian Confluence По словам ИБ-специалистов, критическая уязвимость в Atlassian Confluence, которая позволяет уничтожать данные на уязвимых серверах (CVE-2023-22518), уже активно используется злоумышленниками для установки программ-вымогателей.
Pgpool-II Привет, Хабр!Pgpool-II позволяет юзерам PostgreSQL управлять пулами соединений БД, реализовывать репликацию данных между серверами БД. Pgpool-II работает как прокси-сервер между клиентскими приложениями и серверами PostgreSQL, перехватывая запросы от клиентов и направляя их ...
Yandex Cloud выпустила большое обновление платформы для работы с данными Провайдер запустил сервис для управления метаданными Yandex MetaData Hub, добавил новые возможности в сервис BI-аналитики Yandex DataLens, повысил безопасность баз данных и не только.
Вышла macOS Sonoma 14.4.1. Какие ошибки Apple в ней исправила и стоит ли ее устанавливать Apple старается регулярно выпускать новые прошивки не только для своих смартфонов, планшетов и умных часов, но и для компьютеров Mac. Новых функций в них бывает немного, зато исправляются некоторые уязвимости, выявленные разработчиками компании и не только ими. Однако, как ...
Indigo, протокол DeFi на основе Cardano, вошел в топ-10 всей экосистемы DeFi Протокол DeFi на основе Cardano Indigo на короткое время занял место среди 10 лучших протоколов децентрализованных финансов (DeFi)
L2-протокол Bmaker привлек $1,2 млн инвестиций Команда проекта Bmaker, нацеленного на создание L2-протокола для смарт-контрактов биткоина, привлекла $1,2 млн инвестиций
Как сделать и настроить свой CDN CDN (сеть доставки контента) представляет собой группу серверов, размещаемых в разных географических регионах с целью обеспечить быструю загрузку контента для пользователей из этих регионов. Чаще всего сети доставки контента используются для ускорения загрузки статических фа...
Apple устраняет уязвимость Bluetooth, используемую Flipper Zero Apple, возможно, исправила уязвимость в Bluetooth, которая позволяла устройствам Flipper Zero проводить DoS-атаки на iPhone и iPad, внедрив обновления безопасности в iOS 17.2.
Голландский хакер Алкемаде нашел критическую уязвимость в macOS Через уязвимость можно обойти меры безопасности операционной системы.
TikTok «скопирует» Instagram* и запустит сервис публикации фото Обозреватели портала TheSpAndroid сообщили, что обнаружили в коде последней версии TikTok APK упоминание нового сервиса соцсети под названием TikTok Photos. Похоже, это копия основного функционала Instagram*.
Резервное копирование на дешёвом VPS-сервере Мы уже рассказывали, как можно использовать ультрадешёвый VPS за 130 рублей в месяц. На самом деле 512 МБ оперативной памяти вполне достаточно для нормальной работы Linux (без GUI) и множества приложений, таких как VPN, веб-хостинг, некоторые игровые серверы, а также для р...
Бета-тест EOS Black на iOS и Android продлится всего 2 дня Для MMORPG EOS Black с 3 апреля проходит закрытый бета-тест в Южной Корее. Участвовать в нём могут iOS-геймеры через TestFlight, а также Android-игроки через Google Play Кореи. Всего им доступно 4 класса и 1 сервер для всех. По информации с официального сайта, тестовые серве...
Краткая история сервера На первый взгляд история и последующая эволюции серверов выглядит предельно просто. Ее исходные вехи: 1964 год — создание мэйнфрейма IBM System/360, каковой в числе прочего был сервером для его интерактивных консолей и прочих периферийных устройств, то есть сервером в «желез...
Обледенение нарушило работу космического телескопа «Евклид» ЕКА: началась разморозка зеркал телескопа «Евклид» в 1,5 млн км от Земли.
У графических процессоров AMD, Apple и Qualcomm обнаружили новую уязвимость Она позволяет злоумышленникам перехватывать данные из локальной памяти графических процессоров.
AMD исправляет четыре уязвимости для своих процессоров Epyc и Ryzen Обнаруженные уязвимости затрагивают широкий спектр процессоров AMD - от оригинальных Zen до новейших Ryzen 7000.
Google патчит баги в Chromecast, обнаруженные на хакерском соревновании Разработчики Google исправили несколько уязвимостей в устройствах Chromecast. Эти баги были продемонстрированы ранее в этом году на хакерском соревновании HardPwn USA 2023.
Microsoft патчит 150 уязвимостей, включая две 0-day В рамках апрельского набора обновлений компания Microsoft выпустила исправления для 150 уязвимостей в своих продуктах: 67 из них позволяют добиться удаленного выполнения кода, но всего три получили статус критических. Также две проблемы представляли собой уязвимости нулевого...
Фабрика должна расти: настраиваем игровой кластер Factorio Игроки Factorio делятся на две группы. Одни отвергают игру в первые часы, а другие «залипают» на несколько суток и строят масштабные производственные линии. Несмотря на отличную оптимизацию игры, некоторые базы настолько велики, что даже самый мощный компьютер перестает спр...
Абсолютно все компьютеры Mac на основе Apple Silicon имеют серьёзную уязвимость GoFetch, которую невозможно исправить на уровне кремния Уязвимости находят не только в процессорах AMD или Intel. Свежая уязвимость под названием GoFetch была найдена в однокристальных системах Apple M для её компьютеров Mac. Уязвимость позволяет злоумышленникам украсть криптографическую информацию из кеш-памяти CPU, ...
Обнаружен критический дефект в популярном инструменте сжатия Fedora Linux В последних версиях библиотек сжатия xz, широко используемых в дистрибутивах Linux, обнаружена критическая уязвимость. Об этом сообщают специалисты по безопасности Red Hat, призывая пользователей Fedora принять срочные меры.
«Одноклассники» объявили о запуске самого масштабного обновления социальной сети за 5 лет Команда «Одноклассников» сообщила о запуске полностью переработанной ленты новостей. Как отмечает пресс-служба, это основной сервис соцсети, что делает обновление самым крупным за последние пять лет. Сгенерировано нейросетью Midjourney Как рассказали ...
Уязвимость менеджеров паролей приводит к массовой утечке данных. Имейте ввиду Менеджеры паролей играют важную роль в упрощении нашей работы в Интернете. Они позволяют надежно хранить множество учетных записей и соответствующих им ключей доступа, а также автоматически заполнять их при входе в новый сервис. Несмотря на меры безопасности, принятые Googl...
20-летний троян вернулся, используя новые трюки против пользователей Linux Ветераны технологий, возможно, помнят Bifrost (также известного как Bifrose) — троян удаленного доступа (RAT), который скрывается с 2004 года. Исследователи безопасности из Palo Alto Networks обнаружили возрождение Bifrost, нацеленного на системы Linux.
Вперед в будущее: Wayland против X11 Доброго времени суток, дорогие читатели! Сегодня я затрону одну интересную тему — графические дисплейные сервера и протоколы в Linux. В этой статье я расскажу вам о архитектуре X11 и Wayland, историю их создания и наконец-то сделаем вывод: Иксы на мороз, или вейланд на помой...
Рэперу, сотрудничающему с Rockstar в работе над GTA 6, запретили играть на серверах GTA Online T-Pain сотрудничает с Rockstar в работе над GTA 6, но теперь не может играть в GTA Online
HTB Jupiter. Выполняем произвольный код с помощью Jupyter и SatTrack Для подписчиковВ этой статье мы получим доступ к веб‑серверу через RCE-уязвимость и эксплуатацию SQL-инъекции в PostgreSQL. Затем воспользуемся фреймворком Jupyter для выполнения произвольного кода и повысим привилегии в SatTrack.
Zoom обновляет безопасность Zoom выпустил обновления для своих приложений на Windows, Android и iOS, исправив несколько серьезных уязвимостей безопасности, включая проблемы с привилегиями, шифрованием и контролем доступа.
Apple усовершенствует защиту своего мессенджера iMessage с помощью протокола PQ3 Компания опасается, что в будущем хакеры сумеют получить доступ к квантовым вычислениям и безопасность данных окажется в опасности
В Перми разработали профессиональный аналог tinder для учёных В России создали сервис знакомств для учёных. Он поможет найти научного руководителя, оппонента, соавтора или любого другого специалиста для научной работы
"Рыбарь": Ракетная атака по ДнепроГЭС-2 полностью нарушила работу стратегического энергообъекта Но для стабильного "блэкаута" удар стоит повторить ещё
Обнаружена глобальная уязвимость в UEFI, вызванная использованием сторонних изображений-логотипов Один из потенциального множества подобных багов
Астрономы обнаружили самый яркий квазар во Вселенной с массой в 17 млрд раз больше Солнца Найденная чёрная дыра каждый день поглощает материю массой около одного нашего Солнца.
В Counter-Strike 2 появилась очень существенная уязвимость Сегодня в популярном шутере Counter-Strike 2 была обнаружена серьёзная уязвимость в безопасности, позволяющая злоумышленникам получать IP-адреса целых лобби игроков. Как объяснил пользователь под именем Ozzny, несколько пользователей сообщили об уязвимости шутера, связанной ...
Разработчик Bitcoin Ordinals предложил альтернативу BRC-20 Основатель биткоин-протокола Ordinals Кейси Родармор предложил запустить Runes — новый протокол взаимозаменяемых токенов в сети биткоина
RuStore поделился самыми популярными сервисами для туристов Подготовка к путешествию может быть простой и увлекательной благодаря новым сервисам и полезным советам. Ведущий менеджер продукта RuStore, Александр Руснак, поделился секретами и наиболее популярными приложениями среди пользователей, которые помогут вам спланировать свой от...
В «Яндекс Маркете» теперь можно купить готовые пункты выдачи заказов Команда «Яндекс Маркета» объявила о запуске нового сервиса для предпринимателей. Теперь с помощью «Яндекс Маркета» можно выбрать и купить готовый к работе пункт выдачи заказов — с уже установленной вывеской, оформленным помещением и фирменн...
Индивидуальные серверные прокси для Авито: зачем и как это работает? В мире электронной коммерции, где конкуренция растет с каждым днем, важно найти способы улучшить свои шансы на успех. Один из таких способов - использование индивидуальных серверных прокси. Если вы активный пользователь Avito или занимаетесь бизнесом на этой платформе, индив...
HTB Format. Проксируем запросы в Redis через мисконфиг Nginx Для подписчиковВ этом райтапе я покажу, как производить запись данных в Redis благодаря ошибке в настройках Nginx. Также мы проанализируем исходники веб‑приложений, чтобы найти ряд векторов для атаки: LFI, повышение роли пользователя и RCE. Для повышения привилегий будем экс...
Краудсорсинговая платформа безопасности Bugcrowd привлекла $102 млн инвестиций Bugcrowd платит хакерам деньги за нахождение дыр и уязвимостей в цифровом пространстве.
В Telegram для Windows исправлена 0-day уязвимость В десктопном приложении Telegram для Windows устранили уязвимость нулевого дня, которая могла использоваться для обхода предупреждений безопасности и автоматического запуска Python-скриптов.
Принцип работы атакующего российскую оборонку бэкдора объяснили Новая киберпреступная группировка Dark River была идентифицирована как создатель сложного модульного вредоносного кода MataDoor, предназначенного для шпионажа и атак на российскую оборонную промышленность. Исследователи безопасности из PT Expert Security Center обнаружили эт...
Amazon, Google и Cloudflare отразили мощнейшие DDoS-атаки в истории Специалисты Amazon Web Services, Cloudflare и Google предупредили о 0-day проблеме HTTP/2 Rapid Reset, которую злоумышленники используют для DDoS-атак с августа текущего года. Благодаря уязвимости в протоколе HTTP/2, мощность атак, направленных на облачную инфраструктуру Goo...
Возможно Android 15 «подружится» с полноэкранным режимом работы Android Authority обнаружил обещающую функцию в бета-версии Android 14, которая может преобразить работу мобильных приложений в полноэкранном режиме
Добро пожаловаться: Сбер существенно расширил сервис «Сообщите о мошенничестве» Команда СберБанка сообщила о запуске обновления сервиса «Сообщите о мошенничестве» на своём сайте. Теперь в нём можно оставить жалобу сразу на несколько номеров, с которых позвонили злоумышленники, а также на звонки и сообщения из мессенджеров, адреса электр...
Toyota подтвердила звание производителя самых безопасных авто. Toyota Crown 2023 получила награду Top Safety Pick+ в США В США протестировали на безопасность Toyota Crown 2023, и этот приподнятый седан очень хорошо себя проявил. Ему присвоена награда награду Top Safety Pick+, что уже само по себе говорит о многом. Страховой институт дорожной безопасности США (Insurance Institute for High...
Обнаружена уязвимость в системе криптобиржи FTX перед ее крахом Уязвимость в системе криптобиржи FTX позволяла аффилированной компании Alameda Research иметь дебитовый баланс на сумму 65 млрд долларов.
Apple выпустила экстренные исправления для двух 0-day уязвимостей Компания Apple выпустила внеплановые патчи для двух уязвимостей нулевого дня, уже используемых в атаках (CVE-2023-42916 и CVE-2023-42917). Сообщается, что эти проблемы, обнаруженные в движке WebKit, затрагивают iPhone, iPad и Mac.
В кодировке интерфейса X.Org для Linux были обнаружены дыры, остававшиеся незаметными 35 лет Все уязвимости были закрыты, поэтому пользователей просят скачать последние обновления
Microsoft предупреждает об атаках на 0-day баг в Confluence Компания Microsoft предупреждает, что недавно обнаруженную критическую уязвимость в Atlassian Confluence Data Center and Server с середины сентября эксплуатируют «правительственные» хакеры из китайской группировки Storm-0062 (она же DarkShadow и Oro0lxy).
Apple выпустила macOS Sonoma 14.2 с новыми виджетами, автозаполнением PDF и прокачанной безопасностью Вместе с обновлением мобильных операционных систем Apple выпустила и новую версию для компьютеров — macOS Sonoma 14.2. Таким образом, компания продолжает доводить ее до ума и избавляться от небольших глюков и багов, с которыми столкнулись некоторые пользователи. Хотя ...
Microsoft будет платить до $15 000 за найденные в Bing AI уязвимости Microsoft объявила о запуске новой программы вознаграждения для исследователей по безопасности.
ГК «Солар» и сервис управления информационной безопасностью «Секъюритм» договорились о сотрудничестве для автоматизации консалтинговых услуг ГК «Солар» и компания «Секъюритм» подписали партнерское соглашение о взаимодействии. Его цель — совместное развитие консалтинговых услуг в области информационной безопасности и разработка совместных продуктов.
Топ некритичных ошибок в инфраструктуре, приводящих к критичным проблемам Допустить незначительную ошибку в конфигурации — очень просто. Однако, череда таких некритических уязвимостей может привести к компрометации системы. Поэтому, даже если других дел тоже очень много, нужно уметь не допускать таких ошибок, то есть изначально настраивать инфраст...
В Минцифры рассказали какие VPN-сервисы попадут под блокировку Министерство цифрового развития России сообщило, что страна может начать блокировать определенные VPN-сервисы, признанные экспертной комиссией угрозой для безопасности интернета, пишет РИА Новости.
Суд в Москве оштрафовал Zoom на 15 млн рублей за повторный отказ локализовать данные россиян В октябре суд рассмотрит ещё один протокол на сервис — ему грозит оборотный штраф.
Найдена скрывающаяся в нашей собственной галактике монструозная черная дыра Группа астрономов обнаружила «монстра», скрывающееся в Млечном Пути: самую массивную звездную черную дыру, когда-либо найденную в нашей галактике. Этот гигант, получивший название Gaia BH3 (или сокращенно BH3), в 33 раза превышает массу нашего Солнца, что намного больше, чем...
Найдены останки древней рыбы с самой длинной нижней челюстью Представьте себе рыбу с экстремальным прикусом. Знакомьтесь: Alienacanthus malkowskii, ископаемая рыба возрастом 365 миллионов лет с самым длинным прикусом из когда-либо обнаруженных, обнаруженная исследователями из Цюрихского университета и Лондонского музея естественной ис...
За пределами Солнечной системы найдены «планеты-глаза», на которых может существовать жизнь Существование таких планет было теоретически доказано давно, но только совсем недавно их удалось обнаружить при помощи современных технологий
Microsoft заплатит $20 000 за взлом встроенного в Windows антивируса Microsoft объявила о запуске новой программы вознаграждения за обнаружение уязвимостей в своей платформе безопасности Microsoft Defender.
Обновленный ключ безопасности Google Titan может хранить до 250 паролей Новый Titan key лучше приспособлен для работы в мире без паролей
Samsung Galaxy A52, Galaxy A23, Galaxy M13 5G получили Android 14 и One UI 6.0, а для Galaxy S22 вышел январский патч, закрывающий около 80 уязвимостей На этой неделе немалое количество смартфонов Samsung получило новейшую ОС Android 14. Мы уже рассказывали о Galaxy A72, но самая свежая ОС вышла не только для него: Android 14 получили также Galaxy A52, Galaxy A23, Galaxy M13 5G. Обновление для Galaxy A52 вышло в Росси...
Загадочное землетрясение в Марокко нарушило все правила Исследователи обнаружили потрясающую аномалию в недавнем землетрясении магнитудой 6,8 в Аль-Хаузе (Марокко). Вопреки ожиданиям, разрыв землетрясения произошел на глубине 25 километров под поверхностью земли, что противоречит нормам для землетрясений в этом регионе.
Microsoft не будет блокировать доступ к своим облачным сервисам для физлиц в России. А вот компаниям отключат практически всё Три дня назад Softline сообщила, что в России в связи с санкциями Евросоюза отключат облачные сервисы Microsoft, Amazon и Google, а сейчас появились новые подробности на этот счет. Оказывается, блокировка не коснется обычных пользователей — физических лиц. По край...
[Перевод] Потерян и не найден Салют! В этой статье я попытался разобрать назначение и основные сценарии использования директории lost+found в Linux. ❯ Обзор Если мы запустим fsck, команду проверки и восстановления файловой системы, она может найти фрагменты данных, на которые нет ссылок нигде в файло...
«Фродекс» представит на форуме «Территория безопасности 2024» новую систему управления уязвимостями больших инфраструктур На предстоящем форуме «Территория безопасности 2024: все pro ИБ» одним из ведущих отечественных разработчиков новых технологий и продуктов кибербезопасности, компанией «Фродекс», будет презентована новая разработка — Vulns.io Enterprise VM.Посетители нынешней выставоч...
Декабрьское обновление Windows 11 «сломало» работу Wi-Fi Выпущенное Microsoft на прошлой неделе традиционное ежемесячное «обновления по вторникам» (Patch Tuesday) оказалось не беспроблемным. Как сообщили пользователи, установившие апдейт Windows 11 под номером KB5033375, в ряде случаев обновление привело к нарушен...
Politico: Ле Пен прекратит помогать Украине и разрушит рынок ЕС, если станет лидером Франции Politico о том, что по мнению Брюсселя означало бы президентство Ле Пен для Франции – и для ЕС в целом. Ее политика также может нарушить законы ЕС о свободном передвижении и свободной торговле, угрожая разрушить единый рынок ЕС.
Найти работу без собеседований, заработать на нейро-картинках – эти и другие возможности от российских стартапов 12 участников 9-ого набора Product Radar. Битва за «Продукт недели» началась!Product Radar – здесь каждую неделю публикуются лучшие онлайн-сервисы и железки от русскоязычных команд. Читать далее
Вас забанила нейросеть: как новый алгоритм Яндекса постепенно выкидывает из поиска региональные СМИ Пару недель назад я совершенно случайно обнаружил в Яндекс Вебмастере плашку о фатальной ошибке. Там было написано, что мой сайт может угрожать безопасности пользователя, или на нём были обнаружены нарушения правил поисковой системы. Других ошибок не было: индекс качест...
РКН оштрафовал Google, TikTok, и Telegram и другие соцсети за нарушение закона «о самоконтроле» Роскомнадзор сообщил, что с 1 сентября 2023 года составил уже 14 протоколов в отношении зарубежных социальных сетей за нарушение закона «о самоконтроле». По шести протоколам уже назначены штрафы, а еще восемь протоколов рассмотрят в суде.
HTB Devvortex. Повышаем привилегии через уязвимость в Apport Для подписчиковВ сегодняшнем райтапе мы с тобой проэксплуатируем прошлогоднюю уязвимость в Apport — системе сообщений о неполадках в Ubuntu. Но чтобы получить доступ к ней, сначала проведем атаку на Joomla, получим сессию на сервере и найдем учетные данные пользователя.
Раскрыта информация о работе функции ИИ-улучшения видео в Pixel 8 Pro Она будет заметно повышать динамический диапазон, детализацию и точность цветопередачи, но происходить всё это будет не в процессе съёмки и даже не на самом устройстве, а на серверах компании
Новый вид мобильного мошенничества на iPhone в России. Как злоумышленники обманывают пользователей iOS 17 Мошенники научились использовать постеры контактов в iOS 17 для обмана российских владельцев iPhone, о чем пишут «Известия», ссылаясь на команду разработки автоматического определителя номера Яндекс. С выходом iOS 17 у владельцев iPhone появилась возможность...
Новый личный кабинет, доступ по паролю, таймер: МТС Линк обновил сервис Доски «Вебинар Технологии», российская компания-разработчик платформы для бизнес-коммуникаций и совместной работы МТС Линк, провела серию обновлений сервиса Доски. Добавлены новые настройки доступа, личный кабинет с расширенными возможностями администрирования, инструмент «таймер»...
Cloud Spark от VK Cloud — простой доступ к инструментам анализа больших данных Cloud Spark — облачный сервис на основе Managed Kubernetes и Apache Spark для распределенной пакетной и потоковой обработки данных, работы с Machine Learning и аналитикой. С помощью сервиса вы можете структурировать данные из разрозненных источников для создания аналитич...
VK выплатила порядка 240 миллионов рублей исследователям безопасности VK обработала свыше 18 тысяч отчетов от багхантеров и выплатила более 236 миллионов рублей за 10 лет существования программы по поиску уязвимостей Bug Bounty.
REST API сервер на Bash с использованием сокетов и Apache Всем привет! Ранее рассказывал о том, как создать REST API и Web-сервер на PowerShell для Windows, а также упоминал, что подобный сервер будет работать и в системе Linux, благодаря кроссплатформенной версии PowerShell Core. Безусловно, для подобных целей лучше используются с...
Reuters: Еврокомиссия начала проверку TikTok на предмет нарушений нового закона о цифровых услугах Европейский Союз заявил в понедельник, что расследует, нарушил ли TikTok новые строгие цифровые правила блока по очистке социальных сетей и обеспечению безопасности интернет-пользователей.
Нашел способ проверить безопасность VPN на Android. Узнай, не опасен ли твой В 2022-м Россия вышла на второе место по числу скачиваний VPN в мире, а по итогам 2023 года количество загрузок сервисов маскировки в нашей стране увеличилось еще на 40%. Несмотря на бешенную популярность технологии, многие люди совершенно не задумываются об угрозах, которы...
Обзор OpenYard RS1B7I. Что скрывается в 1U сервере из семейства RS101? Хабр, привет! В лабораторию Центра компетенций «ИТ-инфраструктура» КРОК поступил новый пациент — 1U сервер OpenYard RS1B7I из семейства RS101.Результаты обследования тестирования сервера ждут вас под катом! Погнали! Читать далее
Масштабный сбой в интернете нарушил работу популярных онлайн-ресурсов Пользователи социальных сетей не могут зайти в свои аккаунты.
GNOME уязвим перед RCE-атаками из-за ошибки в библиотеке libcue Уязвимость CVE-2023-43641, обнаруженная в опенсорсной библиотеке libcue, позволяет злоумышленникам выполнять произвольный код в Linux-системах, использующих среду рабочего стола GNOME.
Русскоязычная APT28 использует баг в Outlook для атак на Microsoft Exchange Специалисты Microsoft Threat Intelligence предупредили, что русскоязычная хак-группа APT28 (она же Fancybear и Strontium) активно эксплуатирует уязвимость CVE-2023-23397, обнаруженную и исправленную в Outlook в этом году, для взлома учетных записей Microsoft Exchange и кражи...
FACEIT добавляют московские сервера, а также появятся локальный хаб и новые сервера для жителей СНГ Самое большое обновление в истории FACEIT.
Яндекс заплатит до 1 млн рублей за найденные уязвимости в умных устройствах В программу добавлены Станция Дуо Макс, Миди и ТВ Станция
Neuralink Илона Маска оштрафована за хранение опасных материалов без надлежащих протоколов Нарушения были обнаружены в ходе плановой проверки. Эти материалы вызывают потерю мышечной координации, спутанность сознания и головокружение.
Volvo отключила онлайн-сервисы в России. Дилеры не смогут выполнять некоторые работы Компания Volvo отключила российских пользователей от своих онлайн-сервисов, включая дилерскую программу VIDA и частично мобильный сервис Volvo On Call. Об этом сообщает auto.ru со ссылкой на портал Volvocars.club. Дилеры подтверждают, что не смогут выполнять некоторые р...
Уязвимость фреймворка Ray используется для взлома серверов Хакеры активно эксплуатируют уязвимость в опенсорсном ИИ-фреймворке Ray, предупредили исследователи. Этот инструмент обычно используется для разработки и развертывания масштабных приложений на Python, предназначенных для таких задач, как машинное обучение, научные вычисления...
Учёные обнаружили новые подробности о самой большой акуле в истории Ранее считалось, что Otodus megalodon (самая большая обнаруженная на сегодняшний день акула) был довольно коренастым. Однако новые данные ставят этот факт под сомнение. Вот что недавно узнали исследователи.
VDI откуда не ждали. Как мы тестировали протокол подключения к удаленным рабочим столам Loudplay С уходом иностранных вендоров большинство ИТ-компаний стали изучать возможности по замене зарубежного ПО отечественными аналогами. Конечно, системы VDI далеко не на первом месте в списке на импортозамещение, и более или менее серьезные проекты начинаются только сейчас. Мы те...
Selectel запускает бренд базовых инфраструктурных сервисов Vscale Компания Selectel объявила о запуске нового провайдера выделенных серверов и облачных услуг под брендом Vscale. Решения Vscale отличает простота использования: они ориентированы на аудиторию начинающих IT-специалистов, индивидуальных разработчиков, системных администраторов ...
Управление сервером для домохозяйки. Чего не умеет ispmanager Настройки доменных имён в ispmanager В наше время управление Linux-сервером считается вымирающим искусством. Но это одновременно один из самых полезных навыков, которому можно научиться в жизни. В блоге мы неоднократно рассказывали, насколько это полезное и выгодное дело — ...
В сеть утекли предположительные характеристки Surface Laptop 6 на базе Snapdragon X Уже в следующем месяце Microsoft представит ноутбук Surface Laptop 6 на базе ARM-процессоров Snapdragon X Elite в качестве версии для потребителей. Напомним, что модели для бизнеса по-прежнему оснащаются процессорами Intel, поскольку корпоративный сегмент не готов к экспери...
Уязвимость Slam угрожает безопасности процессоров Intel, AMD и Arm Исследователи выявили новую уязвимость Slam, которая затрагивает процессоры Intel, AMD и Arm
SpaceBilt и Phison направят мощный сервер на МКС Компания Spacebilt 8 апреля объявила о заключении соглашения с одним из ведущих мировых производителей контроллеров флэш-памяти Phison о сертификации мощного сервера данных для МКС. Запуск Large in Space Server (LiSS) запланирован на 2025 год. По словам технического дир...
Игроки Albion Online могут играть на европейском сервере В апреле разработчики Albion Online сообщили об ОБТ европейского сервера, который должен был присоединиться к американскому и азиатскому серверам. Теперь геймеры из Центральной России, Европы и даже Востока могут играть на новом сервере, не боясь сброса прогресса. В честь ...
Обнаружена уязвимость в Android TV, которая позволяет получить доступ к Gmail и Drive Google работает над исправлением критической ошибки на своей платформе Android TV, из-за которой пользователи могут лишиться своей учетной записи Gmail.
В Chrome исправили 0-day, обнаруженные на Pwn2Own На этой неделе компания Google устранила семь уязвимостей в браузере Chrome, в том числе две проблемы нулевого дня, использованные экспертами во время хакерского соревнования Pwn2Own Vancouver 2024.
Критическая уязвимость в WordPress-плагинге Forminator угрожает 300 000 сайтов В плагине Forminator для WordPress, который суммарно установлен на 500 000 сайтов, обнаружена критическая уязвимость, позволяющая злоумышленникам осуществлять беспрепятственную загрузку файлов на сервер.
Вымогатели взламывают серверы WS_FTP и требуют 0,018 BTC Исследователи предупреждают, что вымогатели начали атаковать свежую уязвимость в WS_FTP Server компании Progress Software. За взломами стоит неизвестная ранее группировка Reichsadler, которая требует у пострадавших выкуп в размере 0,018 биткоина (менее 500 долларов США по те...
OpenStreetMap в Flutter-проекте: что такое flutter_map, как его внедрить и чем дополнить Всем привет! Меня зовут Анна Ахлёстова, я Flutter-разработчик в Friflex. Ранее мы обсудили, как использовать инструменты yandex_mapkit в Flutter-проекте. В этой статье рассмотрим еще один плагин для работы с картографическими сервисами – flutter_map, изучим его возможности, ...
Сбербанк уже выпускает собственные серверы Сбербанк начал заниматься разработкой и производством собственных серверов, о чем сообщили «Ведомостям» три источника из компаний-производителей вычислительной техники, а также подтвердил представитель банка. Это оборудование используется для внутренних целе...
Сбер выпустил приложение SaluteSpeech App для Windows и macOS – лёгкая озвучка текста и распознавание речи Команда Сбербанка сообщила о выпуске отдельного приложения для работы с речевыми технологиями — SaluteSpeech App. Как отмечает пресс-служба, это новый удобный инструмент для распознавания аудио и озвучивания текста. Иллюстрация: СберБанк Приложение доступно...
Samsung обновила Galaxy A53 в России: смартфон стал безопаснее Samsung выпустила октябрьские обновления безопасности для Galaxy A53. Соответствующий патч уже доступен для пользователей смартфона в России, а также ряде других стран: Казахстане, Украине, Нидерландах, Сингапуре, Вьетнаме, Австралии, Индонезии. Важное обновление вышло ...
Устройство TCP/Реализация SYN-flood атаки В данной статье мы поговорим об устройстве протокола TCP, самой популярной атаке на него – SYN-flood, а также реализуем её на практике и рассмотрим как от неё защититься. Изучить матчасть
В «Почте», «Заметках», «Календаре» и «Облаке Mail.ru» запустили нейросети для самых разных задач Компания VK (бывшая Mail.ru Group) объявила о запуске открытого бета-тестирования генеративных нейросетей для всех пользователей сервисов Mail.ru. На этапе закрытого тестирования возможности искусственного интеллекта уже смогли попробовать более миллиона пользователей. ...
Вышла macOS Sonoma 14.1 с исправлением ошибок и парочкой новых функций. Стоит ли ее устанавливать 26 сентября Apple выпустила macOS Sonoma для всех желающих. В отличие от iOS 17, которая продолжает собирать негативные отзывы пользователей, к macOS 14 претензий было значительно меньше, хоть без них и не обошлось. В течение месяца после релиза самой первой версии в Куперт...
Быстрый поиск подходящих вакансий в Мурманске В наши дни поиск работы - это далеко не самый простой процесс. Тот, кто сталкивался с этим, прекрасно понимает, о чём идёт речь. Нередко получается так, что даже достаточно квалифицированные и опытные специалисты в самых разных сферах, не один месяц сидят дома и не могут тру...
Apple снова заблокировала работу Android-приложений для обмена сообщениями с пользователями iMessage Проблему кросс-платформенных коммуникаций в известной степени решали сторонние приложения для работы с форматами и протоколами обмена информации, поддерживаемыми Apple, но саму компанию подобные компромиссы явно не устраивали.
Алексей Кузовкин: как снизить риски при работе с облаком Кузовкин Алексей Викторович – IT-предприниматель, экс-председатель совета директоров группы компаний «Армада». Алексей Викторович обладает колоссальным опытом управления инновационными и IT-проектами. “Облачными” сервисами в простонародье называют компании, которые готовы за...
Новые уязвимости Bluetooth позволяют проводить атаки "Man in the Middle" Исследователь Даниэле Антониоли обнаружил серьезные уязвимости в Bluetooth-соединениях, позволяющие проводить атаки "Man in the Middle"
Всё началось с кода 16-летнего подростка: новая попытка принести iMessage на Android действительно работает Молодая компания Beeper представила приложение Beeper Mini, которое позволяет владельцам Android обмениваться сообщениями с владельцами iPhone через iMessage. Прошлая попытка реализовать поддержку iMessage на Android просуществовала всего несколько дней. Тем не м...
Изгнание парламента Нидерландов из собственного здания продлится еще на год Стоимость реконструкции здания парламента Нидерландов составит 2 миллиарда евро, а срок ремонта продлится до 2028 года. Об этом сообщает «РГ» со ссылкой на министра внутренних дел страны Уго де Йонге. В процессе проведения работ в Бинненхофе строители обнаружили дополнительн...
Linux прекратил поддержку уязвимого протокола Microsoft для USB-устройств Ядро Linux прекратило поддержку протокола RNDIS от Microsoft из-за проблем безопасности, связанных с этим старым протоколом для USB-устройств.
Правительства сразу пяти стран стали жертвами хакеров В мире кибербезопасности разгорается новый скандал. Группа анализа угроз Google выявила серьёзную уязвимость в сервере электронной почты Zimbra, которая привела к краже данных у правительств Греции, Молдовы, Туниса, Вьетнама и Пакистана.
Десятки уязвимостей в Squid не могут исправить уже 2,5 года Еще в 2021 году ИБ-исследователь Джошуа Роджерс выявил 55 уязвимостей в Squid, популярном кеширующем прокси-сервере с отрытым исходным кодом. По словам эксперта, большая часть этих проблем не исправлена до сих пор, а большинству даже не присвоены идентификаторы CVE.
Азия была колыбелью выращивания куриц, но о древности ученые ошибались Исследователи с помощью биомолекулярного анализа яичной скорлупы, найденной в Центральной Азии, обнаружили самые ранние свидетельства существования домашних кур, специально выведенных для производства яиц.
Уязвимости водяных знаков ИИ: исследователи предлагают улучшенные методы Исследователи из Университета Мэриленда обнаружили уязвимости в водяных знаках, созданных с использованием ИИ, и предложили усовершенствованный метод, который затруднит их удаление или подмену
Специалисты Positive Technologies нашли уязвимость в устройствах Moxa Эксперт Positive Technologies обнаружил уязвимость в промышленных беспроводных преобразователях Moxa. Из-за бага атакующий мог получить полный доступ к оборудованию и вмешаться в технологический процесс.
Уязвимость KeyTrap, связанную с DNSSEC, называют худшей из всех DNS-атак Группа исследователей обнаружила связанную с DNS уязвимость (CVE-2023-50387), получившую название KeyTrap. По словам исследователей, эта проблема способна вывести из строя значительную часть интернета.
Сотрудник Microsoft из-за задержки соединения в Linux обнаружил серьёзный бэкдор Любопытный инженер Microsoft Андрес Фройнд случайно, но весьма кстати, обнаружил опасную уязвимость, идентифицированную как CVE-2024-3094. Этой уязвимостью оказался бэкдор, встроенный в ряд дистрибутивов Linux.
Студент взломал Apple Vision Pro в первый же день продаж Аспирант Массачусетского технологического института Джозеф Равичандран заявил, что смог обнаружить уязвимость в ядре visionOS — операционной системы для гарнитуры Vision Pro
Для вымогателя Rhysida появился бесплатный дешифровщик Южнокорейские исследователи обнаружили уязвимость в шифровальщике Rhysida, что позволило им создать бесплатный дешифратор для восстановления файлов в Windows. Другие специалисты считают, что исследователи зря раскрыли информацию о баге.
У машины не оказалось даже задних сидений. Странности базовой Toyota Tacoma 2024 Вчера мы рассказывали о Toyota Tacoma 2024, которая вышла на рынок США, а сегодня появились подробности о ее самой простой версии – SR. Оказалось, что при полуторной кабине сзади больше нет сидений. Вообще. У нынешней Tacoma с точно таким же кузовом сиденья есть....
Süddeutsche Zeitung: Украинский танкист обозначил главную уязвимость танка Leopard Но времени для устранения найденной проблемы остаётся всё меньше: ВС РФ уничтожили уже больше половины Leopard 2A6
Microsoft обвинила китайских «государственных» хакеров во взломе Atlassian Microsoft обнаружила, что китайская хакерская группа под ником Storm-0062 использует уязвимость нулевого дня в центре обработки данных и сервере Confluence компании Atlassian. При этом некоторые эксперты связывают действия группы с правительством страны.
ГК «Солар» запустила сервис постоянного контроля защищенности внешнего ИТ-периметра Solar CPT Сервис выявляет критические уязвимости и недостатки меняющегося внешнего ИТ-периметра, которыми могут воспользоваться хакеры.
В работе Telegram произошёл сбой Сервисы Downdetector и «Сбой.рф» вчера, 18 февраля, сообщили о возникновении неполадок в работе мессенджера Telegram. Согласно данным Downdetector, проблемы начались около 14:00 по московскому времени, когда пользователи стали сообщать о трудностях с обновле...
[recovery mode] Знакомство с IPv6 на практике В 2023 году люди боятся многих новых для них вещей, например, systemd, SELinux, IPv6 и др. От этих вещей люди стараются избавиться, отключить, удалить. Об этом написано во множестве любительских мануалов в интернете, коим может являться и этот. Далее речь пойдёт о протоколе ...
Основные возможности кластеризации Patroni в PostgresSQL Patroni – опенсоурсный инструмент, с которым можно подключить аварийное управление для кластеров Постгресе. Т.е можно автоматически преключать работу на резервный сервер в случае сбоя основного. Patroni может интегрироваться с различными системами распределенной конфигурации...
Раскрыты подробности о вирусе, из-за которого iPhone чуть не запретили в России «Лаборатория Касперского» поделилась подробностями об уязвимости «Операция триангуляция», которая была обнаружена в iOS и iPadOS несколько месяцев назад.
XSS-уязвимости в Joomla могли привести к выполнению произвольного кода В популярной CMS обнаружили и исправили сразу пять уязвимостей, которые могли использоваться для выполнения произвольного кода на уязвимых сайтах.
Как на Android проверить приложение на вирусы На прошлой неделе многие пользователи Android столкнулись с проблемой, когда Google Play назвал 2ГИС опасным приложением и призвал его удалить. Разработчики программы оперативно решили проблему, выпустив апдейт, устраняющий уязвимость. Но к тому моменту создатели 2ГИС уже у...
Linux-малварь GTPDOOR атакует телекомы Исследователи обнаружили ранее неизвестный бэкдор для Linux под названием GTPDOOR, который был разработан для скрытых операций в сетях мобильных операторов. Отличительной особенностью этой малвари является использование протокола GTP (GPRS Tunnelling Protocol) для связи с уп...
Дайджест научпоп-новостей за неделю, о которых мы ничего не писали • Древняя галактика, превышающая нашу по размерам, может перевернуть представление космологов об эволюции Вселенной• Растущая чёрная дыра — самый яркий объект, когда-либо наблюдавшийся астрономами• Микропластик обнаружен во всех протестированных человеческих плацентах• Астро...
Padding Oracle Attack на Wallet.dat расшифровка пароля для популярного кошелька Bitcoin Core В этой статье мы воспользуемся классификацией распространенных шаблонов атак из ресурса кибербезопасности [CAPEC™]. В первые об “Padding Oracle Attack” на Wallet.dat заговорили в далеком 2012 году (на платформе по управления уязвимостями и анали...
Проблема GoFetch угрожает процессорам Apple серии M, а патчи повлияют на производительность Группа ученых опубликовала информацию о side-channel атаке под названием GoFetch. Проблема связана с серьезной уязвимостью в процессорах Apple M1, M2 и M3, и позволяет похитить криптографическую информацию из кеша процессора: атакующее приложение может воссоздать криптографи...
Эксперт: Захваченная россиянами БМП Bradley M2A2 ODS-SA поможет найти уязвимости в конструкции За такой трофей российской армии командование ВСУ точно не погладят по головке в Пентагоне
Удалить нельзя эксплуатировать: как мы нашли уязвимость в установщике Битрикс Методология тестирования на проникновение предполагает разделение поиска уязвимостей на несколько этапов. Один из первых этапов заключается в поиске легаси с известными уязвимостями, популярных мисконфигов и других low hanging fruits на периметре. Их эксплуатация проста и за...
CSS и безопасность данных Различные компоненты фронтенда традиционно являются вотчиной веб разработчиков и дизайнеров и они не всегда задумываются о безопасности контента. В этой статье я предлагаю поговорить о безопасности CSS.Для начала вспомним, что такое кросссайтскриптинг (CSS). XSS это ти...
Tunnels Nightmare. Используем провайдерские протоколы для пивотинга Для подписчиковВ современном стеке протоколов TCP/IP есть множество протоколов туннелирования. Обычно они используются для расширения сетей продакшена, построения инфраструктуры. Но в моем исследовании я буду использовать их как пентестерский инструмент.
У устройств Apple на процессорах серии M научились красть ключи шифрования Исследователи безопасности обнаружили новую атаку по сторонним каналам, получившую название «GoFetch», которая представляет значительную угрозу для процессоров Apple серии M. Эта атака может извлечь ключи шифрования из систем, работающих на этих процессорах.
Apple приостанавливает продажи Apple Watch Series 9 и Apple Watch Ultra 2 в США Сегодня компания Apple объявила о прекращении продаж Apple Watch Series 9 и Apple Watch Ultra 2 в США. С полок магазинов часы начнут пропадать уже 21 декабря. Купертиновцы были вынуждены пойти на такой шаг после того, как проиграли патентный спор с Masimo. Суд постановил, чт...
В России массово сбоит интернет В России наблюдается масштабный сбой интернета с проблемами доступа к зоне .ru. Изначально пользователи начали массово жаловаться на сбои в работе мобильного интернета, причём сразу у всех операторов. Операторы быстро отреагировали на ситуацию, заявив, что пробле...
Россиянам рассказали об уязвимостях банковских приложений Директор компании "ИТ-Резерв" Павел Мясоедов в беседе с агентством "Прайм" поделился инсайдами о безопасности мобильных приложений, особенно банковских, и предостерег от возможных атак мошенников.
Кибератака нарушила работу крупной немецкой юридической фирмы Graf von Westphalen Адвокатская фирма Graf von Westphalen столкнулась с серьезной кибератакой, затронувшей ее IT-системы
Мобильные экранчики в ваших проектах: большой и понятный о гайд о различных дисплеях Пожалуй, немалая часть моих читателей так или иначе интересуется DIY-тематикой. И в различных самодельных девайсах порой есть необходимость вывести какую-либо информацию на дисплей, будь это текст, графики или даже какая-то анимация! Для разных задач существуют самые разны...
Google оперативно устраняет опасную уязвимость в Chrome, обнаруженную экспертами Эксперты Google выявили уязвимость нулевого дня в браузере Chrome, которая уже была использована хакерами в кибератаках
VK Cloud начала принимать оплату в Казахстане картами из стран СНГ Компания VK (бывшая Mail.ru Group) объявила о запуске новой возможности для оплаты VK Cloud. Появилась поддержка оплаты сервисов облачной платформы в Казахстане с помощью банковских карт из стран СНГ: Армении, Азербайджана, Беларуси, Кыргызстана, Узбекистана и Таджикист...
Linux отказался от общеизвестно небезопасного протокола Windows Протокол Remote Network Driver Interface Specification (RNDIS) компании Microsoft был отключен в ядре Linux из-за присущих ему уязвимостей. Изначально протокол RNDIS был создан для того, чтобы производители оборудования могли добавлять сетевую поддержку в USB-устройства, не ...
[Перевод] Hono vs. H3 vs. HatTip vs. Elysia — современные замены Express для сервера (или без сервера) H3 отмечает, что Express.js - старый и малоразвивающийся фреймворк, являющийся не оптимальным выбором для новых проектов из-за потенциальных проблем безопасности и утечек памяти, что, к слову, касается и Koa.В нашей статье мы сделаем акцент на фреймворках, поддерживающих зап...
Какие сервисы VPN заблокируют в РФ. Разъяснение от Минцифры В России будут подвергнуты блокировке конкретные VPN-сервисы, которые экспертная комиссия определит как потенциально угрожающие безопасности функционирования интернета. Эту информацию распространило Министерство цифрового развития, связи и массовых коммуникаций, как ука...
Для iPhone, iPad и Mac вышло срочное обновление безопасности Пользователи Apple, осторожнее. Технологический гигант выпустил критические обновления для iOS, iPadOS и macOS, чтобы устранить две серьезные уязвимости нулевого дня, которые, как сообщается, активно эксплуатируются.
Хакерская группа из России взломала почту руководства Microsoft Служба реагирования на киберугрозы Microsoft обнаружила несанкционированный доступ к своему серверу
Microsoft хочет отключить аутентификацию NTLM в Windows 11 Различные версии Windows используют Kerberos в качестве основного протокола аутентификации уже более 20 лет. Однако в определенных обстоятельствах ОС приходится использовать другой метод — NTLM (NT LAN Manager). Сегодня Microsoft объявила, что расширяет использование Kerbero...
Большое обновление iMessage: теперь мессенджер Apple круче WhatsApp, Telegram и Signal Несмотря на то что iMessage уже давно не пользуется былой популярностью, Apple не только не планирует сворачивать проект своего мессенджеры, но и продолжает его активно развивать. Мы уже знаем, что в планах у компании внедрение поддержки RCS. Новый протокол фактически сдела...
Зеленский сообщил о работе над гарантиями безопасности от США и помощью в течение 10 лет Украинский президент хочет получить от американцев «самый сильный документ» с учётом уже заключенных.
Поддельное ПО проникло в код крупных компаний: новые минусы ИИ Эксперимент исследователя безопасности выявил критическую уязвимость в процессе разработки программного обеспечения — возможность генеративного ИИ внедрять поддельные пакеты в реальный код.
Уязвимые гиганты: что общего между зулусским языком и LLM Сейчас, когда каждый чих в интернете может привести к новому стартапу или технологическому прорыву, большие языковые модели (LLM) занимают своё законное место на передовой научно-технического прогресса. Они умнее, быстрее и эффективнее человека в ряде задач: написание кода, ...
Security Week 2408: уязвимости в Microsoft Exchange и Outlook 13 февраля компания Microsoft выпустила очередной ежемесячный набор патчей для собственных продуктов. Всего было закрыто более 70 уязвимостей, наиболее опасные относятся к защитным механизмам в Windows, не позволяющим открывать сомнительные файлы из Сети без предупреждения. ...
3CX предупреждает: из-за уязвимости нужно отключить интеграции с базами данных SQL Компания 3CX, специализирующаяся на VoIP-коммуникациях, предупредила клиентов о необходимости отключить интеграцию с базами данных SQL из-за потенциальных рисков, связанных с недавно обнаруженной уязвимостью.
Security Week 2402: атака «Триангуляция» и аппаратная уязвимость в iPhone В конце прошлого года исследователи «Лаборатории Касперского» опубликовали новую статью, в которой разбирают детали атаки «Триангуляция» (см. также новость на Хабре и видео с конференции 37c3). Про эту атаку мы писали в прошлом году дважды. В июне был опубликован общий отчет...
Google исправила три опасные уязвимости Chrome Разработчики Google Chrome выпустили патч, устраняющий новую 0-day уязвимость
Вальяжной походкой по HTTP-заголовкам Статья по основам HTTP‑заголовков, обеспечивающим безопасность, а также методы их использования. То есть будем разбираться какие заголовки безопасности существуют, какие директивы у них есть, какие методы использования возможны, и от чего мы вообще можем ...
Airbnb и Spotify получили штрафы по 6 млн рублей за размещение данных россиян на серверах в США и Европе Это повторные штрафы для сервисов по этой статье.
Простыми словами про обработку текстовых запросов пользователя в Телеграмм ботах на java Тем, кто так или иначе уже сталкивался с разработкой Telegram-ботов на java, известно, что бот должен уметь отправлять запросы Telegram-серверу и получать от него обновления (updates). В настоящее время существует два способа получения обновлений:- использование LongPolling ...
Мобильные приложения российских компаний защищены в два раза лучше веб-порталов Уязвимости с высоким уровнем критичности были обнаружены в 17% корпоративных веб-приложений, исследованных экспертами отдела анализа защищенности Solar JSOC группы компаний «Солар» в 2023 году.
В архиваторе WinRAR нашли дыру, которую активно используют хакеры из России и Китая Исследователи безопасности от Google обнаружили, что поддерживаемые государством хакерские группы, связанные с Россией и Китаем, эксплуатируют уязвимость в популярном архиваторе WinRAR для Windows.
ВТБ запустил СБП-переводы на устройствах Яндекса с «Алисой» Российский банк ВТБ запустил функцию переводов по СБП на умных устройствах с «Алисой» от Яндекса. Компания отмечает, что запустила такую возможность первой среди российских банков. Чтобы совершить СБП-перевод с помощью голоса, нужно попросить «Алису&ra...
Появились кадры Bradley, погруженной на ж\д платформу, "спешащей" на встречу к оружейникам РФ Глубокий реверс-инжиниринг даст важные ответы и позволит найти новые уязвимости заокеанской БМП
Apple исправила уязвимость в прошивке Bluetooth своей клавиатуры Magic Keyboard Apple сообщила об обновлении различных версий своей клавиатуры Magic Keyboard для устранения уязвимости в прошивке Bluetooth.
Microsoft исправляет две критические уязвимости в Hyper-V Эксплуатация обеих уязвимостей маловероятна, но исправления важны, заявила компания.
Настройка функциональности сервис деска в ZenTao Приветствую всех, кому интересна тема перехода с Jira на альтернативные решения. Совсем недавно мы, GlowByte Soft, рассказывали о том, какие бизнес-процессы компании могут автоматизировать на базе ITSM-платформы ZenTao. По откликам мы поняли, что нужно подробнее останов...
[Перевод] Terraform для инженерии данных Если перед нами стоит задача построить надёжную платформу для работы с данными, то для неё требуется предусмотреть множество компонентов: инструменты, логику обработки данных, методологии, архитектуру и инфраструктуру. Что касается инфраструктуры, здесь есть самые разные ва...
В прошлом году Google не допустила в Play Store 2,3 млн приложений Рекомендуем почитать: Xakep #299. Sysmon Содержание выпуска Подписка на «Хакер»-60% Компания Google сообщила, что в 2023 году заблокировала 2,28 млн приложений в магазине Google Play. В них были обнаружены различные нарушения правил, которые могли угрожать безопасности польз...
Аутентификация для WebSocket и SSE: до сих пор нет стандарта? WebSocket и SSE появились более десяти лет назад, однако до сих пор в стандартах отсутствуют рекомендации по решению задачи аутентификации для подобных соединений.В статье разберем особенности аутентификации применительно к протоколу WebSocket и технологии Server-Sent Events...
Daihatsu приостанавливает работу всех заводов в Японии Автомобильная компания Daihatsu (дочерняя компания Toyota, которая специализируется на производстве малолитражных автомобилей) в течение следующей недели приостановит работу всех своих четырёх заводов в Японии. Как мы уже писали, Daihatsu оказалась замешана в скандале с...
Microsoft и Amazon приостановят доступ к своим облачным сервисам в России Microsoft и Amazon приостанавливают доступ к своим облачным сервисам в России с 20 марта 2024 года, что может повлиять на работу тысяч российских компаний.
Cloudflare: гипробъемных DDoS-атак, использующих HTTP/2 Rapid Reset, стало больше Представители компании Cloudflare заявили, что в третьем квартале 2023 года они отразили тысячи гиперобъемных DDoS-атак, в которых использовалась недавно обнаруженная уязвимость HTTP/2 Rapid Reset. Мощность 89 из этих атак превысила 100 млн запросов в секунду (Requests per s...
Российские хакеры уничтожили практически все сервера «Киевстар» во время атаки Об этом сообщает Reuters со ссылкой на начальника департамента кибербезопасности Службы безопасности Украины Илью Витюка.
Upgradeable smart contracts. 5 способов обновить код смарт-контрактов на все случаи жизни Рассказываем, зачем нужны обновляемые смарт-контракты, какие методы обновления существуют, а также делимся примерами кода реализации. Это может оказаться must have технологией на старте проекта, которая поможет спасти ваш код от уязвимостей и критических ошибок. Читать далее
SSRF-уязвимость в Ivanti используется для установки бэкдора DSLog ИБ-эксперты обнаружили, что свежая 0-day уязвимость CVE-2024-21893, затрагивающая решения Ivanti Connect Secure, Policy Secure и шлюзы ZTA, используется для установки нового бэкдора DSLog на уязвимые устройства.
Айфон пишет: AirPods перемещаются вместе с вами. Что делать Аксессуары от Apple хороши практически всем, кроме своей цены. Однако за такой высокой стоимостью скрывается не только довольно качественное и красивое устройство, но и довольно функциональное. Взять те же AirPods: вы можете подключить их к любому устройству, даже если это ...
В App Store обнаружен поддельный «Сбер: Онлайн Банк», а старые версии «СберБанк Онлайн» для Android скоро перестанут работать В официальном онлайн-магазине Apple App Store обнаружено фейковое приложение под названием «Сбер: Онлайн Банк». Представители Сбербанка подтвердили, что это не настоящее приложение банка, а было создано мошенниками, его скачивание и установка создаёт угрозу ...
Эти два напитка разрушат ваш мозг Доктор Дэниел Амен, психиатр, специалист по заболеваниям головного мозга и директор клиники «Амен», предупредил, что два популярных утренних напитка могут нарушить работу мозга. Это фруктовые соки и кофе.
Ирландская полиция нашла в болоте останки древнего человека В ходе геологоразведки торфяного болота в североирландском графстве Лондондерри были обнаружены человеческие останки. Полиция графства сразу заинтересовалась находкой и приступила к расследованию, поскольку найденные останки могли быть результатом преступления.
Gryffine — история одного пет-проекта Как-то раз один знакомый сисадмин пожаловался мне на жизнь суровую. Он рассказал об одном инциденте в его конторе. Стоит оговориться, что контора небольшая и такой сущности как отдельный специалист по информационной безопасности там нет. Инцидент стандартный до банальности. ...
OnlyFake генерирует фальшивые документы всего за 15 долларов Журналисты издания 404 Media обнаружили сервис OnlyFake, который заявляет, что использует нейросети и ИИ для создания поддельных удостоверений личности. Исследователи протестировали OnlyFake и успешно прошли проверку KYC (Know Your Customer) на нескольких криптовалютных бирж...
Google говорит о 97 использованных в 2023 году уязвимостях нулевого дня Уязвимости программного обеспечения чаще всего встречаются в смартфонах, операционных системах и браузерах
Открытие, подрывающее безопасность космических путешествий: четыре бактерии, способные выжить на Марсе Специалисты из различных областей, таких как радиация, биология и инфекционные заболевания, сформировали международную группу и провели исследование, в результате которого было обнаружено, что существуют четыре типа бактерий, способных выживать в агрессивной марсианской...
В сентябре 17 000 сайтов на WordPress оказались заражены Balada Injector Специалисты Sucuri обнаружили несколько кампаний, связанных с малварью Balada Injector, в рамках которых хакеры скомпрометировали более 17 000 WordPress-сайтов. Большинство атак связано с использованием уязвимости в tagDiv Composer, популярном инструменте для тем tagDiv News...
Расходы на инфраструктуру для облачных сервисов превысили 100 млрд долларов О ситуации на рынке серверов и СХД для облачных сред рассказали аналитики IDC.
Yandex N.V. не сможет 5 лет создавать сервисы, конкурирующие с сервисами Яндекса Также Yandex N.V. не сможет нанимать на работу сотрудников российской компании в течение этого срока
Самая популярная GeForce RTX 40 в Steam — это мобильная видеокарта. Также свежая статистика сервиса показывает рост популярности восьмиядерных CPU Сервис Steam опубликовал свежую ежемесячную статистику, касающуюся оборудования и ПО. фото: Nvidia За прошедший месяц доля процессоров AMD выросла на 0,59 процентного пункта и теперь составляет 34,25%. Также можно выделить рост (на 0,51 п.п.) доли восьмиядерных C...
Найдена новая уязвимость в графических процессорах нескольких крупных компаний Используя данную лазейку, злоумышленники могут получить доступ к конфиденциальным данным
Эксперты МТУСИ исследовали уязвимость в процессорах Intel В процессорах семейства Intel, выпущенных за последние восемь лет, найдена уязвимость Downfall, позволяющая злоумышленникам похищать персональные данные пользователей, в том числе банковские, ключи шифрования и нарушать конфиденциальность.
Ультрабюджетный домашний сервер и что он может Давеча мне попалась интересная материнская плата на процессоре Celeron J1800 за цену аж в 850 рублей! В повседневном использовании этот процессор, мягко говоря, не очень хорош, а в роли домашнего сервера у него могут быть все шансы, особенно при такой цене. В статье провед...
Krasue RAT атакует серверы Linux и использует руткиты Специалисты Group-IB обнаружили трояна удаленного доступа Krasue, нацеленного на Linux-системы телекоммуникационных компаний. Малвари удавалось остаться незамеченной с 2021 года.
Открыто девять новых горячих юпитеров. Старейшим около 8 млрд лет Группа астрономов обнаружила девять новых горячих юпитеров, используя данные Transiting Exoplanet Survey Satellite (TESS). Результаты исследования были опубликованы на сервере препринтов arXiv.
Обзор Протокола ISO-TP [ISO 15765-2] Как известно канальные CAN пакеты могут быть размером максимум 8 байт. Одновременно с этим, с более высоких уровней модели OSI могут поступить запросы передать огромные пакеты [ jumbo frame(ы) ]. Как же разрешить это противоречие? Эту ситуацию призван распетлять проток...
Исследователи нашли критические уязвимости в виртуальных машинах VMware Компания VMware призывает всех клиентов немедленно исправить критические уязвимости в своих продуктах ESXi, Workstation, Fusion и Cloud Foundation. Эти уязвимости могут позволить злоумышленникам обойти меры безопасности и получить несанкционированный доступ к важным системам...
Устаревшие суперкомпьютеры помешали миссиям NASA Недавний аудит, проведенный Управлением генерального инспектора NASA (OIG), рисует тревожную картину суперкомпьютерных возможностей агентства. В отчете говорится о критических проблемах, которые приводят к задержкам в выполнении миссий, уязвимости системы безопасности и неэф...
Чем заменить Microsoft Word и Заметки на iPhone. Обзор текстовых редакторов OfficeSuite и Р7-Офис Практически каждый день мне приходится работать с текстом на iPhone, что-то записывать или править. Стандартные Заметки в iOS я так и не смог полюбить за несколько лет, так как это больше обычный блокнот, куда можно закинуть какие-то мысли на ходу, но уж точно не править ст...
9 сервисов для доставки товаров в Россию в 2023 году. Разбираю риски Сейчас сервисов, которые привозят товары в Россию – как грибов после дождя. Среди них много мошенников. Я сам дважды натыкался.За полтора года я поработал с 12 мейлфорвардерами – сервисами по доставке товаров из стран Европы, США, Турции и ОАЭ. Более менее приличные описал н...
Как найти своего IT-ментора — о сервисах Хабр Карьеры В прошлом году мы запустили сервис Хабр Эксперты — платформу для IT-менторов и менти, которая помогает специалистам найти наставника, вместе с ним развиваться и двигаться вверх по карьерной лестнице. Вот уже год платформа даёт возможность гуру IT делиться опытом с начинающим...
Умная техника и сервисы Xiaomi вновь заработали в России Специалисты компании Xiaomi успешно устранили проблемы, возникшие с работой их устройств и сервисов на территории России.
Домашний сервер GameDev разработчика. Где найти железо? Всем привет, меня зовут Иван, я программист C++ в области GameDev'а и в момент написания статьи специализируюсь на Unreal Engine.Тема домашних серверов, конечно, не нова, но у всех есть свои требования и подход к решению этой задачи. Вот и я после успешного запуска подобного...
Tinder прекратит работу в Белоруссии с 15 февраля Популярное приложение для знакомств Tinder в течение ближайшего месяца прекратит работу в Белоруссии. По сообщению белорусского портала Myfin, пользователи уже начали получать уведомления об этом. «С 15 февраля вы не сможете пользоваться сервисами Tinder или войти...
В «МТС Travel» запустили бронирование отелей в командировках «Еду по работе» Оператор МТС объявил о запуске полезного нововведения в фирменном сервисе бронирования отелей «МТС Travel». С помощью функции «Еду по работе» пользователь сможет найти отель рядом с местом работы в командировке, выбрать жилье на основании оценок ...
Деплой .NET приложений для самых маленьких. Часть 0 Давным-давно, когда Linux был ещё на ядре 2.6, а PHP5 был глотком свежего воздуха, я впервые заинтересовался миром веб-технологий. Читал учебники, статьи, зависал на форумах, но все равно мало мог понять как код, который я вижу на экране, превращается в волшебные сайты с кно...
Хакеры похитили данные у правительств пяти стран, используя уязвимость почтового сервиса Первый раз эксплойт был использован в конце июня в Греции
Можно заработать миллион рублей: Минцифры запускает второй этап проверки электронного правительства «белыми хакерами» Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (Минцифры России) сообщило о запуске второго этапа поиска уязвимостей в структуре электронного правительства. Сгенерировано нейросетью Midjourney Как отмечает пресс-служба, принят...
Россия и страны ЕС в опасности: в OwnCloud найдена серьезная уязвимость OwnCloud, популярное серверное приложение для обмена файлами с открытым исходным кодом, столкнулось с серьезной угрозой безопасности, поскольку уязвимость максимальной степени тяжести (CVE-2023-49103) «массово эксплуатируется».
Бэкдор-аккаунт обнаружен в 90 000 NAS D-Link В нескольких моделях NAS компании D-Link обнаружена уязвимость, связанная с инъекцией произвольных команд, а также жестко закодированный бэкдор-аккаунт.
HTB RegistryTwo. Эксплуатируем уязвимости Java RMI для полного захвата хоста Для подписчиковВ этом райтапе я покажу эксплуатацию нескольких уязвимостей в Java RMI, но сначала проведем атаку на Docker Registry, которая позволит нам получить доступ к файлам сайта.
Какие смартфоны vivo обновят до Funtouch OS 14. Официальный список В новой версии уделят внимание возможностям персонализации, продуктивности, многозадачности, плавности работы и отзывчивости, а также безопасности и приватности. Читать полную статью
Новая кибератака обнажила уязвимости GPU от ведущих производителей Исследователи обнаружили новый тип кибератаки GPU.zip, направленный на графические процессоры от крупных производителей
Работа «умной» техники и сервисов Xiaomi в России восстановлена Сегодня утром мы писали о крупномасштабном сбое в работе экосистемы компании Xiaomi: со вчерашнего вечера пользователи из различных регионов России жаловались на прекращение работы бытовой техники — роботов-пылесосов, чайников, лампочек и других компонентов «...
В морских глубинах найдена отдельная «экосистема», питаемая подводными вулканами Представьте себе Байкальский заповедник, скрытый под многокилометровой толщей океана, — это Сендеро-дель-Кангрехо, недавно обнаруженная цепь гидротермальных источников, кишащих жизнью в Галапагосском центре спрединга. Эта цепь, названная так в честь ракообразных, которые при...
Чем опасен VPN, и что Google делает для нашей защиты Для многих пользователей VPN является ежедневной частью жизни. Они читают через него новости, пользуются приложениями и листают социальные сети. Но полностью доверять этим сервисам нельзя, ведь ваши запросы и часто даже данные проходят через сторонние серверы, где с ними мо...
В Microsoft нашли уязвимость в генераторе изображений создателей ChatGPT Главный специалист Microsoft по разработке программного обеспечения Шейн Джонс обнаружил уязвимость в генераторе изображений DALL-E 3 от OpenAI, позволяющую пользователям создавать откровенные и жестокие изображения в обход мер безопасности.
Обзор инструмента DefectDojo: почему его выбирают? Практика ASOC (Application Security Orchestration and Correlation, оркестрация и корреляция безопасности приложений), интегрирующая инструменты анализа защищенности со стеком разработки ПО, сегодня широко известна в сфере безопасной разработки. О ней много писали мы и другие...
Цифра дня: сколько россиян сталкивались с мошенниками в соцсетях Массовые атаки мошенников в сети угрожают безопасности пользователей, предупреждают эксперты. Исследование, проведенное сервисом Работа.ру и социальной сетью Одноклассники, показало, что 67% россиян сталкивались с попытками взлома своих аккаунтов в интернете. Чаще всего атак...
Ethernet Abyss VIP. Пентестим Ethernet по всем правилам Для подписчиковАтаки на Ethernet в рамках пентеста дают значительный импакт, однако при атаках на канальном уровне есть большая вероятность ошибиться и нарушить нормальную работу сети. В этой статье я расскажу о нюансах сбора информации, техниках MITM и Ethernet-пивотинге.
Android Auto против Apple CarPlay: сравниваем автомобильные сервисы Apple CarPlay и Android Auto представляют собой сервисы для передачи и отображения информации со смартфона на экране информационно-развлекательной системы автомобиля. Они призваны повысить безопасность вождения, чтобы водитель мог пользоваться смартфоном за рулем без самого ...
Представлен Nissan X-Trail 2024: новое «лицо» и сервисы Google В США представили кроссовер Nissan Rogue 2024 модельного года. Во многих других странах (в том числе в Европе) эта модель известна как X-Trail. Самое главное новшество автомобиля, которое легко оценить визуально, — это новое «лицо»: бампер и решетка ра...
Биткоин-надписи несут угрозу кибербезопасности Национальная база данных уязвимостей США (NVD) признала, что токены стандарта BRC-20 используют уязвимость в коде Bitcoin Core и засоряют блокчейн первой криптовалюты
BSCP — разгадываем тайны сертификации от академии PortSwigger Привет, Хабр! Меня зовут Никита, я пентестер, специализируюсь на веб-тестировании. Наверняка многие из вас задумывались о подтверждении своей экспертизы с помощью некоторых сертификаций. Сегодня хочу поговорить о популярной сертификации от академии PortSwigger — BSCP, посвящ...
Предполагаемый Realme GT Neo 6 обнаружен на сайте сертификации с номером модели RMX3993 Данный смартфон может быть самым доступным устройством с чипом Snapdragon 8 Gen 2.
В нашей галактике обнаружен крупнейший коллапсар — он весит в 33 раза больше Солнца Исследователи обнаружили в нашей галактике самую массивную черную дыру, образовавшуюся в результате коллапса звезды
Как выбрать правильный сервер c подходящими для ваших нейросетей CPU/GPU С развитием генеративного искусственного интеллекта (ИИ) и расширением сфер его применения создание серверов с искусственным интеллектом стало критически важным для различных секторов — от автопрома до медицины, а также для образовательных и государственных учреждений.Эта ст...
Обнаружено вирусное ПО, маскирующееся под обновление Visual Studio Новое вредоносное ПО угрожает безопасности пользователей macOS.
Исследователь безопасности обнаружил 34 ошибки в драйверах Windows которые позволяют полностью контролировать систему
Стали известны некоторые нововведения предстоящей HyperOS 2 компании Xiaomi Среди них можно выделить усовершенствования в плане безопасности и конфиденциальности, расширенные возможности оптики, а также оптимизации, направленные на повышение производительности и плавности работы устройств.
Samsung представила свой новый фитнес-браслет Galaxy Fit3 Samsung представила Galaxy Fit3, который отличается от предыдущих моделей более широким экраном, улучшенными функциями безопасности и здоровья, а также длительным временем работы от одного заряда.
Для Heartopia проходит ОБТ в Китае на iOS и Android О китайском клоне Animal Crossing — Heartopia — не было слышно с октября 2022 года. Теперь же игра «восстала из мёртвых», так как для неё начался открытый бета-тест на iOS и Android в Поднебесной. Чтобы участвовать надо перейти в китайский TapTap и нажать на кнопку «Примите ...
Вот вам и «люкс»: масштабный отзыв автомобилей Lexus и Toyota из-за проблем с безопасностью Toyota отзывает 1 миллион легковых автомобилей и внедорожников по всей территории США из-за критического дефекта, который может привести к отказу пассажирских подушек безопасности во время аварии.
Security Week 2350: подробности атаки LogoFAIL Об этой работе компании Binarly мы уже упоминали на прошлой неделе: исследователи нашли нетривиальный и довольно опасный способ атаки на ПК путем подмены логотипа, сохраняемого в UEFI — прошивке, ответственной за первоначальную загрузку компьютера. Ранее была известна только...
Действительно ли C++ — лучший язык, чтобы выстрелить себе в ногу? В 2023 году одной из главных IT-новостей стала публикация гайда от Агентства национальной безопасности (NSA) США, в котором языки С/C+ признавались «опасными» и требующими перехода на «безопасные» C#, Go, Java, Ruby и Swift. В этой статье я с позиции Security Champion в Ka...
Потерянный Android-смартфон теперь можно найти без интернета Google выпустила новую версию сервиса Find My Device («Найти мое устройство»). Теперь функция объединяет 1 миллиард устройств Android в единую сеть, благодаря которой девайсы помогут отследить друг друга без интернета и с разрядившейся батареей. Новая услуга сначала будет…
У GeForce RTX 3080 и RTX A6000 обнаружили протечки в испарительных камерах, что привело к окислению меди Видеокарты GeForce RTX 30 в своё время были достаточно беспроблемными, в отличие от тех же RTX 4090. Однако теперь сообщается, что, возможно, как минимум у RTX 3080 FE могут быть проблемы с системой охлаждения. Один из участников форума Quasarsone обнаружил значи...
Айтишники и нефтяники: россиянки выбрали самые привлекательные профессии мужчин Согласно исследованию сервиса «Работа.ру», большинство россиянок (52%) хотели бы найти себе жениха в сфере IT. Чуть менее привлекательными оказались мужчины, занятые в нефтегазовой отрасли (47%), пишет Лента.ру.
Binance полностью уходит из России Binance заключила соглашение о продаже всего своего российского бизнеса компании CommEX. Компания гарантирует плавный процесс для существующих российских пользователей, процесс займет до одного года. Binance заверила, что все активы существующих российских пользова...
Павел Дуров и Илон Маск похвастали, что у Telegram и X всё хорошо на фоне массового сбоя в YouTube, Google, Facebook*, Instagram* Основатель Telegram прокомментировал сегодняшнюю ситуацию, при которой миллионы пользоватлей столкнулись с проблемами в работе популярных сайтов и сервисов. Миллионы людей регистрировались и делились контентом в Telegram за последний час, пока Instagram* и Facebook* не ...
Apple практически не уделяет внимания Apple Arcade Несколько лет назад компания Apple представила свой фирменный игровой сервис под названием Apple Arcade. На старте многие полагали, что купертиновцам удастся развить свой новый сервис. Однако сейчас разработчики полностью разочаровались в Apple Arcade. Есть мнение, что в буд...
MEGANews. Самые важные события в мире инфосека за октябрь В этом месяце: уязвимость HTTP/2 Rapid Reset стала причиной мощнейших DDoS-атак, в тысячах устройств на Android нашли бэкдор, разработчика вымогателя Ragnar Locker арестовали, устройства Cisco IOS XE подвергаются массовым атакам, ученые разработали атаку side-channel iLeakag...
Security Week 2343: новый инцидент в компании Okta На прошлой неделе стало известно о новом серьезном инциденте в компании Okta, которая предоставляет организациям ряд сервисов для аутентификации пользователей. Учетные записи Okta используют для внутренних сервисов множество компаний; подробности об инциденте сообщили две из...
Эксперты советуют клиентам из РФ срочно переносить свои данные с серверов Microsoft, Amazon и Google Зарубежные поставщики облачных сервисов и ПО сообщают о заморозке сотрудничества с клиентами, зарегистрированными в России.
Хакеры могут удаленно получить root-доступ к 90 000 телевизоров LG Уязвимости в умных телевизорах LG, работающих под управлением WebOS, позволяют злоумышленниками обойти авторизацию и получить root-доступ к устройству, предупредили специалисты Bitdefender. По данным Shodan, в сети можно обнаружить 91 000 телевизоров, уязвимых для таких атак...
Microsoft предупредила о критическом баге в Perforce Helix Core Специалисты Microsoft обнаружили четыре уязвимости в популярной системе контроля версий Perforce Helix Core, которая широко используется в правительственном, военном, технологическом и многих других секторах. Один из багов имеет статус критического и позволяет неаутентифицир...
ИБ-эксперта, нашедшего ряд уязвимостей в продуктах Apple, обвинили во взломе Apple Исследователя, который не раз сообщал компании Apple об уязвимостях, обвиняют в том, что он взломал систему, подключенную к бэкенду Apple. Якобы специалист получил доступ к подарочным картами и товарам на сумму более 2,5 млн долларов США.
«Яндекс» увеличивает награды за уязвимости в умных устройствах до миллиона рублей Компания «Яндекс» сообщила о расширении bug bounty программы «Охота за ошибками» для умных устройств, в которую теперь входят новинки прошлого года — «Станция Дуо Макс», «Станция Миди» и «ТВ Станции». Максимальная сумма вознаграждения за найденные уязвимости выросла с 600 00...
Уязвимости 5Ghoul угрожают 5G-устройствам с модемами Qualcomm и MediaTek Исследователи обнаружили множество проблем в 5G-модемах Qualcomm и MediaTek, и эти баги получили общее название 5Ghoul. Сообщается, что уязвимости представляют угрозу для 714 моделей смартфонов 24 брендов, устройств Apple, многочисленных маршрутизаторов и USB-модемов.
Недавно найденный вариант гена - ключ к борьбе с ожирением Ученые из Weill Cornell Medicine обнаружили решение, который может стать ответом на вопрос о борьбе с ожирением. Доклиническое исследование раскрывает необычайный потенциал особого генетического варианта рецептора глюкозозависимого инсулинотропного полипептида (GIP) человека...
SSRF-уязвимость в продуктах Ivanti массово атакуют хакеры Свежую 0-day уязвимость, затрагивающую решения Ivanti Connect Secure и Policy Secure, уже массово эксплуатирую хакеры. Уязвимость позволяет обходить аутентификацию и получать доступ к определенным ресурсам на уязвимых устройствах.
В CrushFTP срочно патчат 0-day уязвимость и призывают всех обновиться Разработчики CrushFTP уведомили клиентов в письме об активно эксплуатируемой уязвимости нулевого дня, исправленной в новых версиях программы. Они призывают всех срочно установить исправления на свои серверы.
Десктопные процессоры Intel и AMD, серверные ARM-платформы и диски: что показали производители в январе Вендоры в январе почти не отдыхали и готовили новинки. Среди них — 24-ядерные процессоры Intel, серверы для работы с большими языковыми моделями, СХД на 3,36 ПБ и другие устройства. Самое время продолжить нашу традиционную рубрику по обзору серверного железа и познакомиться...
Хакеры проникли в популярный VPN-клиент и заразили устройства Хакеры, предположительно работающие на китайское правительство, активно используют две критические уязвимости в устройствах виртуальных частных сетей (VPN) Ivanti. Компания Censys обнаружила 492 зараженных VPN-устройства Ivanti из 26 000 устройств, подключенных к Интернету.
Почему соединения WPA3 разрываются через 11 часов В 2018 году началась сертификация первых устройств Wi-Fi с поддержкой нового протокола безопасности WPA3, а в последующие года WPA3 стал привычной функцией для всего нового оборудования, включая маршрутизаторы, одноплатники вроде Raspberry Pi и т. д. Но иногда технология вы...
Уборщики в Лондоне обнаружили под завалами коробок два экземпляра первого в мире серийного персонального компьютера Q1 Лондонская компания Just Clear, занимающаяся сбором мусора, во время очередной уборки очередного дома обнаружили под коробками два компьютера. Оказалось, это самые первые серийные ПК. Сотрудники компании не знали, что нашли, и даже не смогли найти информацию в Се...
Сервера Robot Warfare не работают уже 4 дня на iOS и Android Мобильная игра Robot Warfare не получает обновления в Google Play уже 7 месяцев, а в App Store и того больше — 2 года. Такое может быть нормальным для премиальных и одиночных проектов, но для мультиплеерной игры — нет. Также 4 дня назад пользователи Reddit начали жаловаться ...
Telegram не работает сегодня? Проверить сбои в работе Telegram Рассказываем, как и где получать актуальную информацию о сбоях в работе Telegram. Иногда можно столкнуться с тем, что чаты в Telegram перестали загружаться, не открываются фотографии, видео или истории, через мессенджер не получается позвонить. Прежде чем искать причины в с...
Сбер открыл доступ к самой мощной своей нейросети – GigaChat Pro Команда Сбербанка открыла компаниям и разработчикам GigaChat API для доступа к двум моделям фирменной генеративной нейросети — GigaChat Lite и GigaChat Pro. Как отмечают в пресс-службе, GigaChat Lite подойдёт для решения более тривиальных задач, требующих при это...
Космический телескоп «Джеймс Уэбб» запечатлел самую удалённую гравитационную линзу — в 21 миллиарде световых лет Кольцо Эйнштейна — это редкий тип гравитационно линзированных объектов, который был предсказан теорией относительности Альберта Эйнштейна. Гравитационное линзирование происходит, когда гравитация массивного объекта, такого как скопление галактик или чёрной дыры, и...
Более 5300 серверов GitLab уязвимы перед проблемой захвата учетной записи Исследователи предупреждают, что более 5300 установок GitLab, которые можно обнаружить в интернете, по-прежнему уязвимы перед проблемой CVE-2023-7028, связанной с захватом учетной записи, о которой разработчики сообщали ранее в этом месяце.
Список приложений, из-за которых Windows 11 может не обновиться до версии 24H2 В преддверии релиза Windows 11 2024 Update (версия 24H2) Microsoft расширила список приложений, которые не позволят обновиться до новой версии системы, пока вы не удалите их со своего компьютера. Информация об этих изменениях обнаружена в файле appraiser.sdb, о чём сообщил ...
Так выглядят камни и песок, которым 4,5 млрд лет. NASA опубликовало фото образца грунта астероида Бенну На прошлой неделе инженеры NASA открыли крышку капсулы TAGSAM, в которой на Землю доставили образцы астероида Бенну, а сейчас на сайте Национального управления по аэронавтике и исследованию космического пространства США появилось высококачественное фото, демонстрир...
[Перевод] 10 тяжёлых истин о работе программиста, про которые никто не предупреждает В прошлые выходные мне представилась возможность пообщаться с только что выпустившимися студентами. Сейчас они ищут свою первую работу в разработке ПО. В разговоре с ними я понял, что они довольно ошибочно воспринимают эту работу.Причина этого в том, что реальность для этих ...
Новый iPad Pro получит OLED-дисплей нового поколения Сегодня западным журналистам удалось найти явные доказательства существования новой технологии дисплея в новых планшетных компьютерах компании Apple — специалистам пришлось заняться изучением операционной системы iPadOS 17.5, в рамках которой были обнаружены интересные данны...
Почти в каждом китайском приложении для клавиатуры нашли «шпионскую» брешь Миллионы пользователей популярных китайских клавиатурных приложений подвергаются риску слежки за нажатиями клавиш, говорится в новом отчете MIT Technology Review. Исследователи из Citizen Lab, группы кибербезопасности при Университете Торонто, обнаружили критический недостат...
[recovery mode] Kubeshark — мониторинг и анализ Kuberneres Wireshark - это хорошо известный инструмент для захвата пакетов, анализа и устранения неполадок. Он может перехватывать текущий сетевой трафик и анализировать его в режиме реального времени на микроскопическом уровне, а также считывать и обрабатывать сохраненные файлы захват...
Реализация кодека 66b/64b на языке VHDL В протоколах передачи данных для стабильной работы используются кодеки, выбранные разработчиками с учётом следующих требований:равномерное распределение 0 и 1 в каналепростота кодирования/декодированияиметь небольшую избыточностьОдин из самых распространённых протоколов, о к...
В Минцифре раскрыли суммы вознаграждений для «белых хакеров» За найденные уязвимости в официальных порталах полагаются вознаграждения на сумму до 1 миллиона рублей.
Apple выпустила iOS 17.4.1 с исправлением ошибок. Нужно ли скачивать ее на Айфон Apple продолжает совершенствовать iOS 17, делая все, чтобы пользователи обновили свои Айфоны. Наверняка вы и сами заметили, что новая версия стала работать очень хорошо, но купертиновские инженеры исправляют мелкие недоработки. Именно по этой причине время от времени выходя...
Consumer Reports: Найдена критическая уязвимость в приложении Aiwit для умных дверных звонков Умные дверные звонки, которые продаются на Amazon и других бюджетных сайтах, могут быть серьезно скомпрометированы.
Ученые изучили нервные клетки: среди них найдены особые «долгожители» Новое исследование ставит под сомнение представление о том, что нервные клетки полностью «молоды душой». Хотя большинство нервных клеток человека живут всю жизнь и не заменяются, ученые обнаружили интересный факт: некоторые важнейшие компоненты этих клеток также могут быть н...
В Android найдена странная пасхалка. Найдут только самые внимательные Намек поняли
Планшет iPad Mini 7 не получит 120-герцовый экран Прошло уже какое-то время с момента выхода новых iPad, однако Apple скоро может нарушить тишину новой моделью — iPad Mini 7.
Для игры Starstride начался бета-тест, но только на 1 платформу Сначала разработчики Starstride сказали, что актуальный бета-тест пройдёт не только на смартфонах, но и на PC. После шаткого старта серверов — многие жаловались на невозможность играть во время создания персонажа и входа на сервера — разработчики Starstride сообщили, что п...
Yield Protocol прекратит работу в декабре 2023 года Команда протокола Yield объявила о закрытии проекта, программы лендинга и кредитования будут остановлены 29 декабря текущего года
Домашняя виртуальная лаборатория. Готовим собственный сервер виртуализации для обучения. 2. Выбираем сервер В предыдущем уроке мы проговорили для чего может понадобиться домашняя лаборатория и самое главное — кому она нужна. Допустим вы решили, что вам она нужна. Тут же встанет вопрос: «На чем строить эту виртуальную лабораторию?». Вопрос не такой про...
Космический телескоп «Евклид» вернулся к работе после успешной процедуры удаления льда на зеркале Космический телескоп «Евклид» снова функционирует в полную мощность после успешной процедуры удаления льда с его зеркала. Работа некоторых инструментов телескопа была нарушена из-за накопления водяного льда, который образовался на зеркале во время строительс...
Positive Technologies помогла устранить уязвимость в системе видеоконференций Yealink Специалисты Positive Technologies рассказали об обнаружении критической уязвимости BDU:2024-00482 в системе видеоконференцсвязи Yealink Meeting Server.
Китайские хакеры используют уязвимость нулевого дня в Atlassian Китайская хакерская группа Storm-0062 успешно воспользовалась уязвимостью нулевого дня в программном обеспечении Confluence от Atlassian
Microsoft выплачивает вознаграждение в размере до 15 000 долларов тем, кто нашел уязвимость Bing AI Размер премии зависит от серьезности уязвимости и простоты взлома.
P2P-форум с нуля | от NAT hole punching до автономной и полностью децентрализованной сети Многие, кто работают с интернет-сокетами в любой сфере IT, задаются вопросом о пробросе портов. Связано это с тем, что практически во всех домашних/общественных/корпоративных роутерах реализован механизм NAT, который перекрывает прямой доступ к устройствам в этих подсетях и...
Создан Альянс постквантовой криптографии Появление квантовых компьютеров грозит нарушить существующие методы шифрования, что может поставить под угрозу конфиденциальные данные и инфраструктуру. Чтобы решить эту надвигающуюся проблему, Linux Foundation собрала коалицию — Альянс постквантовой криптографии (PQCA).
Взлом Seedr. Райтап — победитель Pentest Award в номинации «Пробив» Для подписчиковВ этой статье я расскажу о том, как я связал в цепочку несколько проблем безопасности с целью удаленного выполнения кода (RCE) на серверах компании VK. Я описал свои шаги в подробностях, чтобы показать, как исследователь мыслит во время обнаружения необычных у...
В Wildberries наблюдается технический сбой: пользователи сообщают о проблемах Wildberries сообщает о техническом сбое на своем сайте и активно работает над восстановлением сервиса, как сообщили в пресс-службе компании РИА Новости. В официальном заявлении говорится: «На сайте Wildberries наблюдается технический сбой. Мы работаем над оператив...