Для подписчиков
phpMyAdmin — популярнейший веб-менеджер для баз данных MySQL. Возможность его установки есть у большинства хостингов, и примерно на каждом втором сайте можно найти путь, по которому он установлен. Сам понимаешь, насколько это лакомый кусочек — уязвимость в таком продукте. Под угрозой — масса компаний от мала до велика.

https://xakep.ru/2018/07/04/phpmyadmin-lfi-rce/

Разработчики облачного сервиса Rainway обнаружили, что десятки тысяч игроков Fortnite заражены малварью, позволяющей читать, перехватывать и изменять HTTPS-трафик. Как оказалось, от этой проблемы пострадали лишь читеры.

https://xakep.ru/2018/07/04/fortnite-cheat-adware/

В официальном документе, который компания Facebook подготовила для Комитета Сената США по энергетике и торговле, сообщается, что социальная сеть предоставляла специальный доступ к пользовательским данным 61 сторонней компании и 52 производителям.

https://xakep.ru/2018/07/03/facbeook-report/

Релиз Chrome 67 вновь открыл возможность для использования против пользователей так называемых «download-бомб». Хуже того, по данным исследователей, аналогичная проблема угрожает пользователям браузеров Firefox, Vilvadi, Opera и Brave.

https://xakep.ru/2018/07/03/download-bombs-is-back/

Специалисты компании Symantec разработали инструмент, позволяющий обнаружить работу малвари VPNFilter, ранее уже заразившей более 500 000 IoT-девайсов по всему миру.

https://xakep.ru/2018/07/03/vpnfilter-check/

Торрент-трекер The Pirate Bay снова встроил в страницы своего сайта криптовалютный майнер. В ответ на жалобы пользователей администрация ресурса сообщила, что любой, кто проводит на TPB больше нескольких минут, пользуется трекером неправильно.

https://xakep.ru/2018/07/03/tpb-mining-again/

Для подписчиков
Парадоксально, но факт: при всем разнообразии мессенджеров выбирать их обычно не приходится — люди просто пользуются тем же, чем их друзья и знакомые. Но что, если секретность действительно важна? В этой статье мы пройдемся по списку современных мессенджеров и посмотрим, какие гарантии защиты есть у каждого из них.

https://xakep.ru/2018/07/03/messengers/

Сводная группа специалистов из Рурского и Нью-Йоркского университетов представила доклад о новых уязвимостях в стандарте LTE. Исследователи разработали три различных атаки, которые, в числе прочего, позволяют манипулировать трафиком в сетях 4G.

https://xakep.ru/2018/07/03/alter/

Начиная с прошлой недели известный защищенный почтовый сервис ProtonMail, а также принадлежащий ему ProtonVPN, подвергаются мощным DDoS-атакам. Официальные лица полагают, что за этой кампанией стоят российские хакеры, однако ответственность за атаки взяла на себя группировка Apophis Squad, которая отрицает возможные связи Россией.

https://xakep.ru/2018/07/02/protonmail-ddos-2/

Разработчики аппаратных криптовалютных кошельков Trezor предупреждают, что в минувшие выходные против посетителей официального сайта была организована фишинговая атака.

https://xakep.ru/2018/07/02/trezor-site-phishing/

Компания Zerodium готова заплатить до полумиллиона долларов за эксплоиты для критических 0-day уязвимостей в таких операционных системах, как OpenBSD, FreeBSD, NetBSD, Ubuntu, CentOS, Debian и Tails.

https://xakep.ru/2018/07/02/zerodium-linux-bsd/

Специалисты компании Aleph Security утверждают, что защитные механизмы некоторых современных браузеров, призванные обезопасить пользователей от проблемы Spectre, можно обойти.

https://xakep.ru/2018/07/02/browsers-spectre/

Для подписчиков
Сегодня в выпуске: выполнение shell-кода с помощью JIT-компилятора, рассказ о том, куда смартфоны сливают данные, десять самых популярных вопросов о Kotlin, рассказ о WorkManager и Slices, представленных на Google I/O, и, конечно же, подборка свежих инструментов и библиотек.

https://xakep.ru/2018/07/02/android-231/

Помнишь, когда-то на обложке ][ писали «журнал для компьютерных хулиганов»? Давай для разнообразия отвлечемся от компьютера и протестируем одну диковинную штуковину — моторизованные роликовые коньки Turbo Jetts фирмы Razor. На первый взгляд — потрясающий «хулиганский» аксессуар.

https://xakep.ru/2018/07/02/turbo-jetts/

24 мастер-класса от гуру в области ИБ, киберучения и приключения в горах и на море — такова программа сочинского «Кода ИБ ПРОФИ»», который состоится 26-29 июля 2018 года.

https://xakep.ru/2018/07/02/codib-sochi/

Специалисты опубликовали доклад об уязвимости RAMpage, получившей идентификатор CVE-2018-9442. Баг является новейшей вариацией атаки Rowhammer и угрожает всем устройствам на Android, произведенным после 2012 года.

https://xakep.ru/2018/06/29/rampage/

Разработчики пиратского джейлбрейка для Nintendo Switch, Team Xecuter, не только распространяют в сети платную версию своего решения, но и защищают ее от пиратства. Специальный «рубильник» в коде превратит консоль в кирпич, если пользователь попытается взломать платную версию прошивки.

https://xakep.ru/2018/06/29/sx-os/

Независимый ИБ-специалист обнаружил приложение NameTests, злоупотреблявшее данными пользователей Facebook. На этой находке эксперт заработал 8000 долларов, благодаря недавно внесенным в bug bounty программу социальной сети изменениям.

https://xakep.ru/2018/06/29/nametests-leak/

Для подписчиков
Я думаю, тебе хорошо известно о возможности выполнять скрипты в документах Microsoft Office и Google Drive. Но давай отвлечемся от злокозненных применений и посмотрим, как в электронных таблицах Google можно смастерить простейшую виртуальную машину, которая будет исполнять программы.

https://xakep.ru/2018/06/29/www-google-sheets-vm/

Компания Palo Alto Networks разоблачила деятельность кибершпионской группы RANCOR, атакующей компании и политические организации в Сингапуре, Камбодже и Таиланде.

https://xakep.ru/2018/06/29/rancor/