Специалисты Левенского католического университета представили на конференции Usenix Security Symposium доклад, посвященный способам обмана блокировщиков рекламы и защищающих от слежки механизмов.

https://xakep.ru/2018/08/20/new-tracking-bypasses/

Эксперт компании Imperva Рон Масас (Ron Masas) обнаружил уязвимость CVE-2018-6177 в браузере Chrome, позволяющую извлекать информацию с сайтов с помощью тегов HTML audio и video.

https://xakep.ru/2018/08/20/chrome-flaw/

Эксперты Trend Micro рассказали, что северокорейская хакерская группа Darkhotel эксплуатировала «свежую» 0-day уязвимость в VBScript.

https://xakep.ru/2018/08/20/new-darkhotel-0day/

Для подписчиков
Кажется, Microsoft все больше и больше любит Linux! Приложения ASP.NET Core теперь по-настоящему кроссплатформенны и могут запускаться в «никсах», а соответственно, и в Docker. Давай посмотрим, как их можно упаковать, чтобы развертывать на Linux и использовать в связке с Nginx.

https://xakep.ru/2018/08/20/aspnet-docker-nginx/

Специалист компании Secarma Labs обнаружил способ использования PHP-бага, связанного с десериализацией данных, против сайтов, работающих под управлением CMS WordPress. Исправления для этой проблемы по-прежнему нет.

https://xakep.ru/2018/08/20/php-vs-wordpress/

На ИБ-конференции USENIX Security Symposium представили доклад, описывающий весьма необычный способ атак на энергетические системы. Исследователи предположили, что для этих целей можно создать гигантский ботнет, объединяющий множество «умных» устройств с большим энергопотреблением, например, кондиционеров и обогревателей.

https://xakep.ru/2018/08/17/madiot/

На этой неделе компания Microsoft представила набор августовских обновлений для своих продуктов. Суммарно было устранено порядка 60 багов, включая две 0-day уязвимости, которые уже эксплуатируют злоумышленники.

https://xakep.ru/2018/08/17/august-patch-tuesday-2/

Аналитики компании Proofpoint сообщают, что один из крупнейших ботнетов в мире, Necurs, начал распространять новую угрозу, но это не шифровальщик и не банковский троян. Вместо уже привычной малвари Necurs распространяет дроппера Marap.

https://xakep.ru/2018/08/17/marap-dropper/

С 2010 года компания Google выплатила исследователям более 12 млн долларов по программе вознаграждения за обнаружение уязвимостей. Теперь представители Google сообщили, что компания в очередной раз расширяет bug bounty, и отныне программа будет распространяться и на системы защиты от фрода, спама и злоупотребления.

https://xakep.ru/2018/08/17/abuse-bug-bounty/

Для подписчиков
В то время как фильмы по комиксам бьют все возможные рекорды кассовых сборов, сами комиксы остаются для многих неизвестной культурой, к которой сложно подступиться. Мы подобрали десяток комиксовых сериалов, которые предназначены для взрослой аудитории, имеют структуру законченного произведения и могут хотя бы отдаленно считаться научной фантастикой.

https://xakep.ru/2018/08/17/10-comics/

Инженеры компании Mozilla исключили из официального каталога 23 дополнения для браузера Firefox. Все «проштрафившиеся» решения собирали информацию о пользователях и переправляли на удаленные серверы. Один из заблокированных аддонов, Web Security, насчитывал более 220 000 пользователей.

https://xakep.ru/2018/08/17/web-security-banned/

Австралийские издание The Age сообщило, что местные правоохранительные органы предъявили обвинения подростку (его имя не раскрывается), который неоднократно проникал в сеть компании Apple и скачивал оттуда данные.

https://xakep.ru/2018/08/17/hacky-hack-hack/

Эксперты из Рейнско-Вестфальского технического университета Ахена опубликовали очень интересную статистику. По их данным, всего 10 пользователей ответственны за размещение 85% ссылок, связанных с майнинговым сервисом Coinhive.

https://xakep.ru/2018/08/16/coinhive-stats/

Сотрудник Флоридского университета представил на конференции USENIX Security Symposium устройство SkimReaper, которое способно обнаруживать скиммеры на банкоматах и PoS-терминалах. Приборы уже протестировало и приняло на вооружение Полицейское управление Нью-Йорка, так как они срабатывают со стопроцентной точностью.

https://xakep.ru/2018/08/16/skimreaper/

25-26 августа, в последние выходные лета, в Санкт-Петербурге, традиционно пройдет фестиваль компьютерного искусства Chaos Constructions 2018. В этом году вас приятно обрадуют участники разных и очень популярных IT-направлений: электроника, интернет вещей, информационная безопасность, DevOps, 3D графика, разработка игр, электронная музыка, визуализации, AR/VR, роботы и многое, многое другое! Также пройдет более 30 творческих и технических конкурсов, рассчитанных на разные знания и умения.

https://xakep.ru/2018/08/16/chaos-constructions-2018/

Эксперты Check Point описали новый вектор атак на Android-устройства — Man-in-the-Disk (MitD). Данной проблеме могут быть подвержены самые разные приложения, включая, например, продукты Google и Яндекс.

https://xakep.ru/2018/08/16/man-in-the-disk/

Случившееся с Bitcoin-инвестором Майклом Терпином (Michael Terpin) ярко иллюстрирует, почему в вопросах двухфакторной аутентификации опасно полагаться на SMS-сообщения и конкретный телефонный номер. Из-за халатности сотрудников телекоммуникационного оператора AT&T и «угона» SIM-карты у Терпина похитили более 23 млн долларов в криптовалюте.

https://xakep.ru/2018/08/16/sim-swap-lawsuit/

Индийский Cosmos Bank взломали. Злоумышленники использовали клонированные карты для снятия наличных из банкоматов по всему миру и задействовали систему SWIFT. В итоге банк и его клиенты лишились более чем 13 млн долларов.

https://xakep.ru/2018/08/16/cosmos-bank-hacked/

Раскрыты подробности о трех новых уязвимостях класса Spectre, угрожающих процессорам Intel. Проблемы позволяют атаковать кэш L1 и извлечь данные.

https://xakep.ru/2018/08/15/foreshadow/

Сотрудникам китайской компании Tencent удалось превратить колонки Echo в подслушивающие устройства. Так, физически модифицировав один «умный» гаджет, специалисты сумели заставить остальные колонки в той же сети шпионить за своими владельцами.

https://xakep.ru/2018/08/15/amazon-echo-hack-2/