Разработчики Discord исправили критическую уязвимость в декстопной версии своего приложения. Нашедший баг исследователь заработал на этом 5000 долларов США.

https://xakep.ru/2020/10/22/discord-rce/

На этой неделе Агентство национальной безопасности США опубликовало список с подробным описанием 25 уязвимостей, которые чаще всего используются «правительственными» хакерскими группами из Китая.

https://xakep.ru/2020/10/22/nsa-bugs-list/

Представители Qnap предупредили, что уязвимость Zerologon (CVE-2020-1472), исправленная Microsoft в рамках августовского «вторника обновлений», может представлять опасность для некоторых моделей устройств компании.

https://xakep.ru/2020/10/22/zerologon-qnap/

Для подписчиков
Когда читаешь дискуссии между сторонниками и противниками автоматического управления памятью, может сложиться впечатление, будто это какая-то единая технология, одинаково реализованная во всех языках программирования. В этой статье мы поговорим о сборке мусора — наиболее распространенном механизме управления памятью.

https://xakep.ru/2020/10/22/gc/

На крайние меры были вынуждены пойти разработчики WordPress на этой неделе. Более миллиона сайтов использовали версию плагина Loginizer, уязвимую перед SQL-инъекциями. Так как баг мог привести к полной компрометации этих ресурсов, команда безопасности WordPress принудительно обновила плагин для всех пользователей.

https://xakep.ru/2020/10/22/loginizer-forced-update/

Аналитики компании Rapid7 обнаружили, что семь популярных мобильных браузеров позволяют вредоносным сайтам изменять свой URL-адрес и показывать в адресной строке подделку.

https://xakep.ru/2020/10/22/address-bar-spoofing-2/

Нас часто спрашивают, как можно заполучить футболку с логотипом «Хакера». Обычно мы печатаем сувениры небольшими партиями к конференциям и там же распространяем. Это удобно не всем, к тому же с массовыми мероприятиями в этом году беда. Поэтому мы решили выпустить футболки «Хакера» в продажу через свой магазин.

https://xakep.ru/2020/10/22/xakep-store/

Два расширения для блокировки рекламы в Chrome (Nano Adblocker и Nano Defender) были удалены из Chrome Web Store так как собирали данные пользователей.

https://xakep.ru/2020/10/21/malicious-adblockers/

Недавно Microsoft, специалисты ряда других компаний и правоохранители провели операцию, направленную на ликвидацию ботнета TrickBot. И хотя эксперты активно противостоят попыткам возрождения малвари, ботнет все еще «жив».

https://xakep.ru/2020/10/21/trickbot-still-alive/

Для подписчиков
Каждый, кто работал в Linux, хотя бы однажды удалял ценный файл, а то и весь корневой каталог целиком! rm -rf живее всех живых, резервной копии нет (а должна бы быть!), времени на поиски и выбор утилит для восстановления — тоже. Как же быть?

https://xakep.ru/2020/10/21/extents-files-superblocks/

28 октября в 18:00 (по московскому времени) состоится бесплатный вебинар «Кто такие Security Champions, как им стать и причем здесь DevSecOps?». Речь пойдет о мире безопасности приложений, основных понятиях информационной безопасности и концепции разработки SSDLC.

https://xakep.ru/2020/10/21/security-champions-webinar/

Ответственность за атаку на компанию Barnes & Noble взяла на себя хак-группа, стоящая за разработкой вымогателя Egregor. Злоумышленники утверждают, что похитили финансовые и аудиторские данные.

https://xakep.ru/2020/10/21/barnes-and-noble-egregor/

Инженеры Google выпустили обновленную версию Google Chrome (86.0.4240.111), в которой исправили уязвимость нулевого дня, находящуюся под активными атаками.

https://xakep.ru/2020/10/21/chrome-0day-2/

Британское правительство сообщило, что хакерская группа Sandworm готовила атаки на Олимпийские игры в Токио, которые должны были состояться в 2020 году, но были отложены из-за пандемии коронавируса.

https://xakep.ru/2020/10/20/olympic-attacks/

Журналисты обратили внимание на интересный случай, произошедший в рамках bug bounty программы Monero на HackerOne. Исследователь выдал обнаруженную другим человеком уязвимость и эксплоит для нее за свою работу и получил вознаграждение.

https://xakep.ru/2020/10/20/wrong-bug-bounty/

Хакеры, стоящие за разработкой вымогателя Darkside, пожертвовали 10 000 долларов, полученных в качестве выкупов, в пользу организаций Children International и The Water Project.

https://xakep.ru/2020/10/20/darkside-charity/

Министерство юстиции США предъявило обвинения шести офицерам ГРУ, которые якобы являются членами правительственной хак-группы Sandworm.

https://xakep.ru/2020/10/20/sandworm-charges/

Шпионский вредонос GravityRAT, который используется для проведения целевых атак как минимум с 2015 года, теперь представляет собой мультиплатформенный инструмент и получил модули, направленные на операционные системы Android и macOS.

https://xakep.ru/2020/10/20/gravityrat/

Для подписчиков
Ты решил освоить ассемблер, но перед этим хочешь понять, что тебе это даст как программисту? Стоит ли входить в мир программирования через ассемблер, или лучше начать с какого-нибудь языка высокого уровня? И вообще, нужно ли знать ассемблер, чтобы стать полноценным программистом? Давай разберемся.

https://xakep.ru/2020/10/20/asm-course-8/

Британский ИБ-исследователь создал инструмент Gitjacker, который не только поможет найти в интернете общедоступные папки .git, но также позволит скачать чужой репозиторий, со всеми конфиденциальными файлами и исходным кодом.

https://xakep.ru/2020/10/19/gitjacker/