Раскрыты подробности уязвимости браузеров Chromium
Были раскрыты детали уязвимости CVE-2022-3656, недавно обнаруженной командой Imperva Red Team. Уязвимость затрагивает более 2,5 миллиардов пользователей браузеров Google Chrome и браузеров на базе Chromium. При успешной эксплуатации злоумышленник может получить доступ к конфиденциальным файлам.
Браузеры взаимодействуют символическими ссылками, которые позволяют работать с файлами ОС. Но если символические ссылки не проверяются браузером должным образом, то возникает уязвимость, как в данном случае.
Исследователи изучили браузерные функции Drop Event и FIle Input, а также API для доступа к файловой системе. Было обнаружено, что при перетаскивании файла или папки в форму ввода на сайте, они обрабатываются по разному и являются основной причиной ошибки.
Ошибка полностью исправлена в Google Chrome 108. Рекомендуем обновиться как можно скорее.
🗞 Блог Кодебай
#news #browser #vulnerability
Были раскрыты детали уязвимости CVE-2022-3656, недавно обнаруженной командой Imperva Red Team. Уязвимость затрагивает более 2,5 миллиардов пользователей браузеров Google Chrome и браузеров на базе Chromium. При успешной эксплуатации злоумышленник может получить доступ к конфиденциальным файлам.
Браузеры взаимодействуют символическими ссылками, которые позволяют работать с файлами ОС. Но если символические ссылки не проверяются браузером должным образом, то возникает уязвимость, как в данном случае.
Исследователи изучили браузерные функции Drop Event и FIle Input, а также API для доступа к файловой системе. Было обнаружено, что при перетаскивании файла или папки в форму ввода на сайте, они обрабатываются по разному и являются основной причиной ошибки.
Ошибка полностью исправлена в Google Chrome 108. Рекомендуем обновиться как можно скорее.
🗞 Блог Кодебай
#news #browser #vulnerability
👍11🔥3🤯2👏1
📬 Mail.ru подтвердила утечку данных клиентов сервиса
Часть данных клиентов почтового сервиса Mail.ru попала в Интернет. Сообщается, что инцидент связан с утечкой данных стороннего сервиса в начале 2022 года.
"Пользователям Почты ничего не угрожает, сервис надежно защищен. Результаты проверки показали, что опубликованные данные связаны с утечкой стороннего сервиса в начале прошлого года. Специалисты дополнительно проводят тщательную проверку", - сообщили в компании
В открытый доступ попали почти 3,5 миллиона записей, содержащих ID, адреса электронной почты на доменах mail.ru, bk.ru, inbox.ru, номера телефонов, имена и фамилии, а также логины.
Роскомнадзор проверит информацию о возможной утечке персональных данных клиентов Mail.ru. В соответствии с законодательством, оператор должен будет уведомить надзорное ведомство о случившемся в течение 24 часов с момента инцидента.
🗞 Блог Кодебай
#news #mail #data
Часть данных клиентов почтового сервиса Mail.ru попала в Интернет. Сообщается, что инцидент связан с утечкой данных стороннего сервиса в начале 2022 года.
"Пользователям Почты ничего не угрожает, сервис надежно защищен. Результаты проверки показали, что опубликованные данные связаны с утечкой стороннего сервиса в начале прошлого года. Специалисты дополнительно проводят тщательную проверку", - сообщили в компании
В открытый доступ попали почти 3,5 миллиона записей, содержащих ID, адреса электронной почты на доменах mail.ru, bk.ru, inbox.ru, номера телефонов, имена и фамилии, а также логины.
Роскомнадзор проверит информацию о возможной утечке персональных данных клиентов Mail.ru. В соответствии с законодательством, оператор должен будет уведомить надзорное ведомство о случившемся в течение 24 часов с момента инцидента.
🗞 Блог Кодебай
#news #mail #data
👍7😁4🤯3🔥1🥴1
🔊 Яндекс рассказал о скандальной утечке: колонку "Алиса" не прослушивают
Яндекс опубликовал первые результаты внутреннего расследования утечки фрагментов кода некоторых своих сервисов.
Опубликованные фрагменты действительно были взяты из внутреннего репозитория компании - инструмента, используемого разработчиками для работы с кодом. Уточняется, что содержимое архива соответствует устаревшей версии репозитория.
Репозиторий использовался только для бета-версии голосового помощника, а участвовать в бета-версии могут только сотрудники "Яндекса". На смарт-колонках с "Алисой", которые тестировали сотрудники, была установлена специальная настройка, поэтому в записи диалогов попали неуместные высказывания.
"Наша работа строится на принципах честности и прозрачности. Мы исходим из того, что любой внутренний диалог, документ или исходный код при определённых обстоятельствах может стать публичным. И если это случится, нам не должно быть стыдно", - гласит один из принципов компании
🗞 Блог Кодебай
#news #yandex #data
Яндекс опубликовал первые результаты внутреннего расследования утечки фрагментов кода некоторых своих сервисов.
Опубликованные фрагменты действительно были взяты из внутреннего репозитория компании - инструмента, используемого разработчиками для работы с кодом. Уточняется, что содержимое архива соответствует устаревшей версии репозитория.
Репозиторий использовался только для бета-версии голосового помощника, а участвовать в бета-версии могут только сотрудники "Яндекса". На смарт-колонках с "Алисой", которые тестировали сотрудники, была установлена специальная настройка, поэтому в записи диалогов попали неуместные высказывания.
"Наша работа строится на принципах честности и прозрачности. Мы исходим из того, что любой внутренний диалог, документ или исходный код при определённых обстоятельствах может стать публичным. И если это случится, нам не должно быть стыдно", - гласит один из принципов компании
🗞 Блог Кодебай
#news #yandex #data
🤣30👍5😱3🔥1
🎮 Вредоносные моды для Dota 2 обнаружены в магазине Steam
Специалисты из компании Avast Threat Labs выявили четыре вредоносных мода для игры Dota 2, которые размещены в онлайн-магазине игр Steam.
"Обнаруженные вредоносные моды размещены под именами Overdog no annoying heroes (id 2776998052), Custom Hero Brawl (id 2780728794) и Overthrow RTZ Edition X10 XP (id 2780559339)", - сообщают эксперты.
Злоумышленники используют вредоносные модификации для установки бэкдора на компьютеры геймеров. Вредоносная составляющая позволяет логгировать действия пользователя, удалённо выполнять произвольные команды, устанавливать дополнительные программы и посылать HTTP-запросы.
Чтобы защититься от этой угрозы рекомендуем быть осторожным при установке модов.
🗞 Блог Кодебай
#news #malware #game
Специалисты из компании Avast Threat Labs выявили четыре вредоносных мода для игры Dota 2, которые размещены в онлайн-магазине игр Steam.
"Обнаруженные вредоносные моды размещены под именами Overdog no annoying heroes (id 2776998052), Custom Hero Brawl (id 2780728794) и Overthrow RTZ Edition X10 XP (id 2780559339)", - сообщают эксперты.
Злоумышленники используют вредоносные модификации для установки бэкдора на компьютеры геймеров. Вредоносная составляющая позволяет логгировать действия пользователя, удалённо выполнять произвольные команды, устанавливать дополнительные программы и посылать HTTP-запросы.
Чтобы защититься от этой угрозы рекомендуем быть осторожным при установке модов.
🗞 Блог Кодебай
#news #malware #game
🔥16😁6👍5❤1
👨💻 Минцифры запускает багбаунти
Минцифры запустил проект по поиску уязвимостей на Госуслугах. Программа будет проходить в несколько этапов. На первом этапе планируется проверить портал Госуслуг и Единую систему идентификации и аутентификации (ЕСИА). На последующих этапах будет расширен список ресурсов и обновлены условия.
Исследователи смогут принять участие, зарегистрировавшись на одной из двух платформ: BI.ZONE или Standoff 365. После регистрации им будет необходимо ознакомиться и согласиться с условиями программы, найти уязвимость в соответствии с правилами и отправить информацию о ней через платформу.
Вознаграждение за найденную уязвимость зависит от степени её серьёзности:
🔹 низкая - подарки с символикой проекта
🔹 средняя - до 50 тыс. рублей
🔹 высокая - от 50 до 200 тыс. рублей
🔹 критическая - до 1 млн. рублей и благодарность от команды Минцифры.
🗞 Блог Кодебай
#news #bounty
Минцифры запустил проект по поиску уязвимостей на Госуслугах. Программа будет проходить в несколько этапов. На первом этапе планируется проверить портал Госуслуг и Единую систему идентификации и аутентификации (ЕСИА). На последующих этапах будет расширен список ресурсов и обновлены условия.
Исследователи смогут принять участие, зарегистрировавшись на одной из двух платформ: BI.ZONE или Standoff 365. После регистрации им будет необходимо ознакомиться и согласиться с условиями программы, найти уязвимость в соответствии с правилами и отправить информацию о ней через платформу.
Вознаграждение за найденную уязвимость зависит от степени её серьёзности:
🔹 низкая - подарки с символикой проекта
🔹 средняя - до 50 тыс. рублей
🔹 высокая - от 50 до 200 тыс. рублей
🔹 критическая - до 1 млн. рублей и благодарность от команды Минцифры.
🗞 Блог Кодебай
#news #bounty
👍21👎5🔥5😁4🤔3🥴2
🟣 Offensive Security выпустила Kali Purple - новый дистрибутив для Blue и Purple team
Компания Offensive Security выпустила первый релиз Kali Linux в 2023 году под номером 2023.1. В честь 10-летия проекта был создан дистрибутив «Kali Purple», предназначенный для синих и фиолетовых команд (Blue и Purple Team) в области кибербезопасности, занимающихся защитой систем от потенциальных атак.
Kali Purple уже включает в себя более 100 инструментов, таких как Malcolm, Surricata, Arkime, TheHive и Zeek. Кроме того, есть Wiki-страница, которая поможет всем заинтересованным специалистам начать работу с Kali Purple.
Кроме Kali Purple можно выделить ещё другие нововведения:
✔️ Восемь новых инструментов: Arkime, CyberChef, DefectDojo, Dscan, Kubernetes-Helm, PACK2, Redeye, Unicrypto
✔️ Обновлённые темы Kali
✔️ Предупреждение о проблемах с GPU Nvidia и PIP
"Для пользователей Nvidia этот релиз может оказаться не самым лучшим. Известно, что драйверы Nvidia серии 525 не работают с некоторыми моделями GPU", - сообщили в компании.
Команда разработчиков также предупреждает, что в предстоящий стабильный релиз Debian внесены многочисленные изменения, которые могут вызвать проблемы с PIP. Поэтому команда Kali представила временный патч, который предотвращает возможные «поломки» менеджера пакетов, а также поделилась другими методами обновления пакетов, которые предотвращают вероятные сбои.
Обновлённая версия уже доступна для скачивания: https://cdimage.kali.org/kali-2023.1/
🗞 Блог Кодебай
#news #linux #software
Компания Offensive Security выпустила первый релиз Kali Linux в 2023 году под номером 2023.1. В честь 10-летия проекта был создан дистрибутив «Kali Purple», предназначенный для синих и фиолетовых команд (Blue и Purple Team) в области кибербезопасности, занимающихся защитой систем от потенциальных атак.
Kali Purple уже включает в себя более 100 инструментов, таких как Malcolm, Surricata, Arkime, TheHive и Zeek. Кроме того, есть Wiki-страница, которая поможет всем заинтересованным специалистам начать работу с Kali Purple.
Кроме Kali Purple можно выделить ещё другие нововведения:
✔️ Восемь новых инструментов: Arkime, CyberChef, DefectDojo, Dscan, Kubernetes-Helm, PACK2, Redeye, Unicrypto
✔️ Обновлённые темы Kali
✔️ Предупреждение о проблемах с GPU Nvidia и PIP
"Для пользователей Nvidia этот релиз может оказаться не самым лучшим. Известно, что драйверы Nvidia серии 525 не работают с некоторыми моделями GPU", - сообщили в компании.
Команда разработчиков также предупреждает, что в предстоящий стабильный релиз Debian внесены многочисленные изменения, которые могут вызвать проблемы с PIP. Поэтому команда Kali представила временный патч, который предотвращает возможные «поломки» менеджера пакетов, а также поделилась другими методами обновления пакетов, которые предотвращают вероятные сбои.
Обновлённая версия уже доступна для скачивания: https://cdimage.kali.org/kali-2023.1/
🗞 Блог Кодебай
#news #linux #software
❤16👍12🔥5🤔2😢1
📊 Яндекс опубликовал исходный код своей платформы для работы с большими данными - YTsaurus
Яндекс опубликовал на GitHub исходный код своей платформы YTsaurus для обработки больших данных. Платформа, которая развёрнута на десятках тысяч серверов внутри компании и обрабатывает экзабайты данных, теперь доступна для использования и доработки под свои нужды всем желающим. Опубликованный исходный код распространяется под лицензией Apache 2.0.
Платформа YTsaurus применяется для широкого круга задач, от аналитики до обучения сложных моделей. Например, модель "Поиска" создаёт с помощью YTsaurus поисковый индекс, а беспилотные автомобили применяют платформу для обработки данных о поездках и улучшения своих алгоритмов. YTsaurus управляет суперкомпьютерами «Яндекса», распределяя нагрузку так, чтобы их вычислительные мощности использовались наиболее эффективно.
"Яндекс ведет разработку YTsaurus — или YT, как мы называем ее внутри — с 2010 г. Мы начали строить собственную экосистему для больших данных, потому что ни одно из имевшихся на рынке решений не удовлетворяло всем нашим требованиям. Сейчас YTsaurus — один из ключевых элементов внутренней инфраструктуры «Яндекса». Над платформой работают десятки разработчиков, и ее возможности постоянно расширяются", - рассказал руководитель отдела технологий распределённых вычислений Максим Бабенко.
🗞 Блог Кодебай
#news #analysis #software
Яндекс опубликовал на GitHub исходный код своей платформы YTsaurus для обработки больших данных. Платформа, которая развёрнута на десятках тысяч серверов внутри компании и обрабатывает экзабайты данных, теперь доступна для использования и доработки под свои нужды всем желающим. Опубликованный исходный код распространяется под лицензией Apache 2.0.
Платформа YTsaurus применяется для широкого круга задач, от аналитики до обучения сложных моделей. Например, модель "Поиска" создаёт с помощью YTsaurus поисковый индекс, а беспилотные автомобили применяют платформу для обработки данных о поездках и улучшения своих алгоритмов. YTsaurus управляет суперкомпьютерами «Яндекса», распределяя нагрузку так, чтобы их вычислительные мощности использовались наиболее эффективно.
"Яндекс ведет разработку YTsaurus — или YT, как мы называем ее внутри — с 2010 г. Мы начали строить собственную экосистему для больших данных, потому что ни одно из имевшихся на рынке решений не удовлетворяло всем нашим требованиям. Сейчас YTsaurus — один из ключевых элементов внутренней инфраструктуры «Яндекса». Над платформой работают десятки разработчиков, и ее возможности постоянно расширяются", - рассказал руководитель отдела технологий распределённых вычислений Максим Бабенко.
🗞 Блог Кодебай
#news #analysis #software
👍21🔥3❤2😁1😍1
🧑💻 Злоумышленники заражают разработчиков .NET через репозиторий NuGet
Эксперты компании JFrog сообщили о новых атаках на разработчиков .NET через пакеты из репозитория NuGet. Злоумышленники маскируют свои вредоносные пакеты под реально существующие инструменты, используя технику тайпсквоттинга. Некоторые из этих пакетов были загружены более 150 000 раз за месяц, что может указывать на большое количество скомпрометированных систем разработчиков.
Вредоносные пакеты содержат скрипт-дроппер на основе PowerShell, который настраивает зараженную машину на выполнение PowerShell без ограничений. На следующем этапе атаки запускается полезная нагрузка — полностью кастомный исполняемый файл Windows.
Эксперты отмечают, что такой подход к созданию вредоносных программ является необычным, поскольку обычно злоумышленники используют инструменты с открытым исходным кодом и стандартные вредоносные программы. Вредоносная программа, развернутая на скомпрометированных машинах, может быть использована для кражи криптовалюты, извлечения и выполнения вредоносного кода из архивов Electron, а также автоматического обновления с управляющего сервера.
Некоторые вредоносные пакеты не содержали явной вредоносной полезной нагрузки. Вместо этого они отмечали другие вредоносные пакеты как зависимости, которые уже содержали вредоносный скрипт. Советуем разработчикам .NET быть внимательными при загрузке пакетов из NuGet и следить за безопасностью своих систем.
🗞 Блог Кодебай
#news #programming #malware
Эксперты компании JFrog сообщили о новых атаках на разработчиков .NET через пакеты из репозитория NuGet. Злоумышленники маскируют свои вредоносные пакеты под реально существующие инструменты, используя технику тайпсквоттинга. Некоторые из этих пакетов были загружены более 150 000 раз за месяц, что может указывать на большое количество скомпрометированных систем разработчиков.
Вредоносные пакеты содержат скрипт-дроппер на основе PowerShell, который настраивает зараженную машину на выполнение PowerShell без ограничений. На следующем этапе атаки запускается полезная нагрузка — полностью кастомный исполняемый файл Windows.
Эксперты отмечают, что такой подход к созданию вредоносных программ является необычным, поскольку обычно злоумышленники используют инструменты с открытым исходным кодом и стандартные вредоносные программы. Вредоносная программа, развернутая на скомпрометированных машинах, может быть использована для кражи криптовалюты, извлечения и выполнения вредоносного кода из архивов Electron, а также автоматического обновления с управляющего сервера.
Некоторые вредоносные пакеты не содержали явной вредоносной полезной нагрузки. Вместо этого они отмечали другие вредоносные пакеты как зависимости, которые уже содержали вредоносный скрипт. Советуем разработчикам .NET быть внимательными при загрузке пакетов из NuGet и следить за безопасностью своих систем.
🗞 Блог Кодебай
#news #programming #malware
👍15🤔3😢3😁2
Beeline Cyber Day. Специалисты рассказали, как компании могут защитить себя от киберугроз
10 ноября в Бишкеке состоялся Beeline Cyber Day — первый в Кыргызстане B2B-ивент по информационной безопасности. Встреча собрала участников из бизнес-сектора, госструктур и международных специалистов. Соорганизаторами ивента выступили Beeline Kyrgyzstan и Axoft International. Корреспондент Tazabek посетил мероприятие и узнал, как компании, а также простые пользователи могут защитить свои данные и деньги от хакеров.
📌 Читать далее
#news
10 ноября в Бишкеке состоялся Beeline Cyber Day — первый в Кыргызстане B2B-ивент по информационной безопасности. Встреча собрала участников из бизнес-сектора, госструктур и международных специалистов. Соорганизаторами ивента выступили Beeline Kyrgyzstan и Axoft International. Корреспондент Tazabek посетил мероприятие и узнал, как компании, а также простые пользователи могут защитить свои данные и деньги от хакеров.
📌 Читать далее
#news
🔥14👍4😐3👎1
⚡️Уязвимость обхода экрана блокировки в девайсах с Android 13 и 14 может стать серьезной угрозой для безопасности пользователей
Исследователь Хосе Родригес обнаружил, что злоумышленники, имеющие физический доступ к устройству, могут получить доступ к чувствительным данным, таким как фотографии, контакты и история просмотров.
По словам Родригеса, он сообщил об уязвимости Google несколько месяцев назад, но компания до сих пор не решила проблему. Он даже опубликовал видео, демонстрирующее различные сценарии компрометации, чтобы привлечь внимание к проблеме.
Наконец, Google BugHunters уведомила исследователя о запланированной дате исправления уязвимости в рамках ежемесячного обновления, намеченного на февраль 2024 года. Однако, до тех пор пользователи устройств с Android 13 и 14 остаются под угрозой, пока компания не выпустит исправление.
#news #android #vulnerability
Исследователь Хосе Родригес обнаружил, что злоумышленники, имеющие физический доступ к устройству, могут получить доступ к чувствительным данным, таким как фотографии, контакты и история просмотров.
По словам Родригеса, он сообщил об уязвимости Google несколько месяцев назад, но компания до сих пор не решила проблему. Он даже опубликовал видео, демонстрирующее различные сценарии компрометации, чтобы привлечь внимание к проблеме.
Наконец, Google BugHunters уведомила исследователя о запланированной дате исправления уязвимости в рамках ежемесячного обновления, намеченного на февраль 2024 года. Однако, до тех пор пользователи устройств с Android 13 и 14 остаются под угрозой, пока компания не выпустит исправление.
#news #android #vulnerability
👍12🤔5🔥2❤🔥1
⚡️Palo Alto Networks разработала детектор вредоносных доменов на основе машинного обучения
Исследователи компании Palo Alto Networks создали точный детектор, который способен обнаруживать тысячи вредоносных доменов задолго до их использования в планируемых атаках или инцидентах.
Анализируя данные из журналов прозрачности сертификатов и пассивного DNS (pDNS), исследователи разработали алгоритм машинного обучения Random Forest, который показал впечатляющие результаты.
К июлю 2023 года разработанный детектор выявил 1 114 499 корневых доменов. Модель в среднем обнаруживает “зарезервированные” домены на 34.4 дня быстрее, чем VirusTotal. Для этого Unit42 создала более 300 инструментов для обработки терабайтов данных и миллиардов записей пассивного DNS и сертификатов. При обучении модели использовались миллионы примеров вредоносных и чистых доменов.
#news
Исследователи компании Palo Alto Networks создали точный детектор, который способен обнаруживать тысячи вредоносных доменов задолго до их использования в планируемых атаках или инцидентах.
Анализируя данные из журналов прозрачности сертификатов и пассивного DNS (pDNS), исследователи разработали алгоритм машинного обучения Random Forest, который показал впечатляющие результаты.
К июлю 2023 года разработанный детектор выявил 1 114 499 корневых доменов. Модель в среднем обнаруживает “зарезервированные” домены на 34.4 дня быстрее, чем VirusTotal. Для этого Unit42 создала более 300 инструментов для обработки терабайтов данных и миллиардов записей пассивного DNS и сертификатов. При обучении модели использовались миллионы примеров вредоносных и чистых доменов.
#news
👍16🔥2🏆2