Уязвимость в X.Org Server ставит под угрозу Linux- и BSD-системы

Для эксплуатации проблемы потребуется всего три команды. В ПО X.Org Server, реализованном в большом количестве дистрибутивов Linux и BSD, обнаружена уязвимость, с помощью которой локальный атакующий может повысить привилегии на системе и получить доступ с правами суперпользователя через терминал либо SSH сессию. Уязвимость (CVE-2018-14665) связана с некорректной обработкой двух командных опций — «logfile» и «modulepath»,…

Подробнее

Уязвимость в MS Word позволяет выполнить код через встроенное видео

Проэксплуатировать уязвимость можно, заставив жертву открыть документ и кликнуть на встроенное видео. Исследователи компании Cymulate обнаружили в Microsoft Word критическую уязвимость, позволяющую удаленно выполнить произвольный код. Проэксплуатировать уязвимость можно, заставив жертву открыть вредоносный документ и кликнуть на встроенное видео. Проблема связана с тем, как Office 2016 и более ранние версии обрабатывают видеоматериалы. Злоумышленники могут использовать…

Подробнее

РКН оштрафует Google за выдачу ссылок на запрещенный контент

Компании грозит штраф в размере от 500 тыс. до 700 тыс. рублей. Компания Google не подключилась в установленный срок к российской федеральной государственной информационной системе (ФГИС), содержащей перечень запрещенных интернет-ресурсов, и теперь будет оштрафована. Об этом сообщается в пресс-релизе Роскомнадзора. Поисковик в течение 30 дней должен был подключиться к ФГИС, а по истечении еще трех…

Подробнее

Британская спецслужба взломала бельгийского оператора связи Belgacom

Главным подозреваемым во взломе Belgacom является ЦПС, однако обвинения не были предъявлены за недостатком доказательств. В 2013 году спецслужбы Великобритании взломали крупнейшего в Бельгии оператора связи Belgacom с целью получения доступа к переписке европейских дипломатов и чиновников в Брюсселе за период с 2010-го по 2013 год. Об этом в четверг, 25 октября, сообщили журналисты бельгийского…

Подробнее

12-13 октября состоялась 14-я конференция SECR «Разработка ПО»

ECR — знаковое событие ИТ-отрасли России, ежегодно освещающее передовой опыт в самых различных направлениях разработки программного обеспечения. 12-13 октября в центре Digital October (Москва) прошла 14-я конференция SECR «Разработка ПО». SECR — знаковое событие ИТ-отрасли России, ежегодно освещающее передовой опыт в самых различных направлениях разработки программного обеспечения. С ключевыми презентациями на конференцию приехали Игорь Агамирзян…

Подробнее

Продавец шпионского ПО хранил все свои данные в открытом виде

Исследователи обнаружили 20 ГБ данных, в том числе с зараженных устройств, на октрытом сервере и в папке на Google Диске. Немецкий стартап, специализирующийся на продаже шпионского ПО спецслужбам по всему миру, оставил практически все свои данные (включая информацию, полученную с инфицированных устройств) в открытом доступе для всех желающих. Исследователи безопасности из CSIS Security обнаружили 20…

Подробнее

Google заставит производителей Android-гаджетов выпускать обновления безопасности

Согласно новым условиям, производители должны будут выпускать по меньшей мере 4 обновления в год. Каждый месяц инженеры Google выпускают обновления безопасности для операционной системы Android и каждый месяц многие операторы связи и производители Android-гаджетов запаздывают с их внедрением на устройства. Похоже, Google всерьез взялась за проблему и включила в OEM-соглашения условие, по которому вендоры обязаны…

Подробнее

Рекламщики используют новый способ отслеживания пользователей через TLS

Техника основывается на использовании механизма возобновления сеанса связи TLS Session Resumption. Опубликованное в прошлом месяце исследование специалистов Гамбургского университета проливает свет на новую технику отслеживания действий интернет-пользователей с помощью связанного с TLS легитимного механизма. Описанная исследователями техника основывается на использовании механизма возобновления сеанса связи TLS Session Resumption, разработанного в середине 2000-х годов. Благодаря ему TLS-серверы…

Подробнее

Apple закрыла полиции доступ к iPhone

С релизом финальной сборки iOS 12 правоохранители полностью утратили возможность доступа к данным на устройствах с помощью GrayKey. Несколько месяцев назад компания Apple реализовала в мобильной операционной системе iOS функцию USB Restricted Mode, позволяющую защитить iPhone от инструментов наподобие GrayKey, применяемых правоохранительными органами для доступа к данным на устройстве. Однако экспертам не потребовалось много времени…

Подробнее

Трамп игнорирует предупреждения спецслужб о прослушке Китая и РФ

Президент не желает расставаться с личным iPhone, несмотря на неоднократные предупреждения о его небезопасности. Китайские и российские шпионы часто прослушивают разговоры президента США, когда он использует свой незащищенный iPhone для того, чтобы «посплетничать» со старыми друзьями, пишет издание The New York Times со ссылкой на нынешних и бывших чиновников. О прослушке со стороны Китая также…

Подробнее