Атака на NPM, позволяющая определить наличие пакетов в приватных репозиториях
В NPM выявлена недоработка, позволяющая определить существование пакетов в закрытых репозиториях. Проблема вызвана разным временем реакции при запросе существующего и несуществующего пакета сторонним пользователем, не имеющего доступа к репозиторию....
Читайте полный текст на сайте www.opennet.ru
SLAM - атака на CPU Intel, AMD и ARM, позволяющая определить содержимое памяти Группа исследователей из Амстердамского свободного университета представила новую технику атаки SLAM (Spectre Linear Address Masking), предлагающую новый способ эксплуатации микроархитектурных уязвимостей класса Spectre, в котором утечка данных прои...
144 000 вредоносных пакетов найдено в опенсорсных репозиториях Аналитики компаний Checkmarx и Illustria обнаружили, что неизвестные злоумышленники загрузили 144 294 фишинговых пакета в опенсорсные репозитории, включая NPM, PyPi и NuGet....
Преимущества Занятий с Инструктором по Горным Лыжам и Сноуборду 1. Безопасность в Первую Очередь Занятия с профессиональным инструктором гарантируют высший уровень безопасности. Инструкторы обучены предотвращать травмы, поддерживать контроль и обеспечивать безопасность на склонах. все предложения и услу...
В репозиториях PyPI и npm нашли более 200 пакетов с майнерами для Linux-систем Эксперты снова обнаружили малварь в репозиториях PyPI и npm. На этот раз выяснилось, что более 200 пакетов используют тайпсквоттинг и содержат криптовалютные майнеры для Linux-систем....
Атака на GitHub, приведшая к утечке приватных репозиториев и доступу к инфраструктуре NPM GitHub предупредил пользователей об атаке, нацеленной на загрузку данных из приватных репозиториев с использованием скомпрометированных токенов OAuth, сгенерированных для сервисов Heroku и Travis-CI. Сообщается, что в ходе атаки произошла утечка дан...
Залог квартиры как способ решения финансовых проблем Залог квартиры день в день может быть эффективным способом решения финансовых проблем Залог квартиры день в день: Полный гид Введение Залог квартиры - это один из способов получения финансовой поддержки в критической ситуации. В этой статье м...
Атака MacStealer, позволяющая перехватывать трафик в Wi-Fi Мэти Ванхоф (Mathy Vanhoef), автор атаки KRACK на беспроводные сети и 12 уязвимостей в стандартах IEEE 802.11, раскрыл сведения о новой уязвимости (CVE-2022-47522) в технологии буферизации пакетов Wi-Fi, затрагивающей различные устройства (Cisco, Ub...
Атака ReVoLTE, позволяющая перехватить зашифрованные звонки в LTE Группа исследователей из Рурского университета в Бохуме (Германия) представила технику атаки ReVoLTE (PDF), позволяющую перехватить зашифрованные голосовые звонки в сетях сотовой связи 4G/LTE, использующих для передачи голосового трафика...
Атака PMFault, позволяющая вывести из строя CPU на некоторых серверных системах Исследователи из Бирмингемского университета, ранее известные разработкой атак Plundervolt и VoltPillager, выявили уязвимость (CVE-2022-43309) в некоторых серверных материнских платах, позволяющую физически вывести из строя CPU без возможности его п...
BIAS - новая атака на Bluetooth, позволяющая подделать сопряжённое устройство Исследователи из Федеральной политехнической школы Лозанны выявили уязвимость в методах сопряжения устройств, соответствующих стандарту Bluetooth Classic (Bluetooth BR/EDR). Уязвимости присвоено кодовое имя BIAS (PDF). Проблема даёт возможность атак...
Продемонстрирована атака «браузер в браузере», позволяющая подделывать окна в Chrome ИБ-исследователь, известный под псевдонимом mr.d0x, представил новый метод атаки на браузеры, который позволит создавать фишинговые формы входа, используя для этого фейковые окна в браузере Chrome....
Новая атака на системы фронтэнд-бэкенд, позволяющая вклиниться в запросы Web-системы, в которых фронтэнд принимает соединения по HTTP/2 и передаёт бэкенду по HTTP/1.1, оказались подвержены новому варианту атаки "HTTP Request Smuggling", позволяющей через отправку специально оформленных клиентских запросов вклиниваться в ...
Атака на Intel SGX, позволяющая извлечь конфиденциальные данные или выполнить код в анклаве Исследователи из Оборонного научно-технического университета Народно-освободительной армии Китая, Национального университета Сингапура и Швейцарской высшей технической школы Цюриха разработали новый метод атаки на изолированные анклавы Intel SGX (So...
Уязвимость в systemd-coredump, позволяющая определить содержимое памяти suid-программ В компоненте systemd-coredump, обеспечивающем обработку core-файлов, генерируемых после аварийного завершения процессов, выявлена уязвимость (CVE-2022-4415), позволяющая непривилегированному локальному пользователю определить содержимое памяти приви...
Уязвимость в процессорах AMD Zen2, позволяющая определить содержимое регистров в других процессах Тэвис Орманди (Tavis Ormandy), исследователь безопасности из компании Google, выявил уязвимость (CVE-2023-20593) в процессорах AMD на базе микроархитектуры Zen2, которая может быть использована для отслеживания содержимого регистров во время выполне...
ВС разъяснил, как определить наличие трудовых отношений Подрядчик-физлицо погиб при проведении строительных работ. Его вдова потребовала компенсации от компании, в интересах которой он работал. Но суды отказались признать их отношения трудовыми. Верховный суд запретил подходить к таким ситуациям формальн...
Инфекционист рассказал, как определить наличие у человека коронавируса Заведующий кафедрой инфекционных болезней Медицинского университета имени Пирогова Владимир Никифоров рассказал, что без лабораторных исследований сложно определить наличие коронавируса, передает РИА "Новости". По его словам, ......
Как определить по сновидениям наличие порчи и сглаза рассказал экстрасенс Вычислив опасность, есть шанс спастись от врагов. Порча и сглаз имеют массу проявлений. В реальности можно распознать «чёрную магию» по скорлупе яиц, соли под порогом, клубом волос с иголками или разбросанных монет. Однако, часто Ангел-Хранитель и в...
Телескоп Hubble не смог определить наличие атмосферы у скалистой субземли Астрономы провели анализ потенциальной атмосферы планеты L98-59 b. Препринт статьи об этом опубликован в репозитории arxiv.org Небольшие планеты на близких к звезде орбитах в настоящий момент не доступны для прямого наблюдения в ......
Какие сведения нужны, чтобы определить наличие либо отсутствие признаков обособленных подразделений Письмо Федеральной налоговой службы от 17 сентября 2021 г. № АБ-4-14/13284@ О постановке организаций на учёт в налоговых органах по месту нахождения организации, месту нахождения её обособленных подразделений, а также по месту нахождения принадлежащ...
Fedora отказывается от использовании имени master в репозиториях Комитет FESCo (Fedora Engineering Steering Committee), отвечающий за техническую часть разработки дистрибутива Fedora, утвердил предложение о прекращении использовании имени master в git-репозиториях проекта, так как данное слово считается последнее...
В OpenSSF создали инструмент для поиска малвари в опенсорсных репозиториях Эксперты Open Source Security Foundation (OpenSSF), поддерживаемого Linux Foundation, анонсировали новый проект, целью которого является помощь в выявлении вредоносных пакетов в опенсорсных репозиториях....
В сеть утекли тысячи приватных чатов WhatsApp Очередной скандал по теме конфиденциальности: в сеть утекли тысячи приватных чатов WhatsApp. Всё дело в опциях мессенджера....
Данные тысяч приватных чатов WhatsApp утекли в сеть С помощью поисковика Google пользователи мессенджера WhatsApp могут находить ссылки, позволяющие им вступать в приватные чаты....
Стало известно об утечке данных тысяч приватных чатов WhatsApp Журналист Deutsche Welle Джордан Уилдон обнаружил утечку данных в мессенджере WhatsApp. В своём микроблоге в Twitter он рассказал, что при помощи поисковика Google пользователи могу находить ссылки, позволяющие им вступать в приватные чаты.Как отмет...
На YouTube опубликовали тысячи приватных звонков из популярного на удаленке сервиса В Сеть утекли данные сервиса конференц-связи Zoom, который позволяет пользователям записывать переговоры без согласия собеседников....
Жена надоела... Тимур Еремеев не скрывает «приватных» звонков Сабине Пантус Работа в скандальном проекте «На самом деле» испортила порядочного семьянина. Амбициозный актёр и телеведущий Тимур Еремеев уже вполне спокойно чувствует себя на Первом канале, полностью сдружившись с коллективом шоу «На самом деле...
Apple заплатила женщине миллионы долларов за слив ее приватных фото в сеть Apple неоднократно заявляла, что заботится о приватности пользователей своих устройств. Однако недавно компании пришлось урегулировать скандал, связанный с вторжением сотрудников официального сервиса по [...]...
После взлома компании MSI Intel расследует утечку приватных ключей Intel Boot Guard Компания Intel расследует заявления хакеров, которые утверждают, что похитили у MSI приватные ключи, используемые Intel Boot Guard. Дело в том, что такая утечка может повлиять на возможность блокировки вредоносных версий UEFI на устройствах MSI....
В репозитории NPM выявлено 17 вредоносных пакетов В репозитории NPM выявлено 17 вредоносных пакетов, которые распространялись с использованием тайпсквоттинга, т.е. с назначением имён, похожих на названия популярных библиотек, с расчётом на то, что пользователь допустит опечатку при наборе имени или...
Из пластиковых пакетов создали баллистический щит Пуленепробиваемые щиты, используемые полицейскими, безусловно, спасают жизнь, однако они довольно тяжелые и громоздкие. Вдохновленный оригами щит Swift Shield предлагает альтернативу традиционному, поскольку он способен складываться в легкий конверт...
GitHub приобрёл менеджер пакетов npm Нат Фридман (Nat Friedman), генеральный директор сервиса GitHub, принадлежащего Microsoft, объявил о приобретении npm, самого популярного в мире менеджера пакетов для приложений jаvascript. На платформе Node Package Manager размещено более 1,3 милли...
«О’КЕЙ» первым полностью отказывается от пластиковых пакетов Вместо полиэтиленовых мешков из первичной нефти покупателям предложат десять видов упаковки для приобретенного товара....
Хакеры атакуют разработчиков пакетов из PyPI Администрация PyPI предупредила о фишинговой кампании, направленной на мейнтейнеров опубликованных в репозитории пакетов. Злоумышленники уже скомпрометировали сотни учетных записей сопровождающих и заразили малварью множество пакетов, включая популя...
Учёные создали щит для полиции из полиэтиленовых пакетов Обычные щиты для полицейских достаточно громоздкие и тяжёлые, поэтому американская компания ATCS создала лёгкий Swift Shield, который может складывать в конверт. Состоит он из формы полиэтилена — материала, из которого делают пакеты. Щит изобрели ещ...
Релиз системы самодостаточных пакетов Flatpak 1.10.0 Опубликована новая стабильная ветка инструментария Flatpak 1.10, который предоставляет систему для сборки самодостаточных пакетов, не привязанных к конкретным дистрибутивам Linux и выполняемых в специальном контейнере, изолирующем приложение от оста...
В NPM выявлено 15 тысяч пакетов для фишинга и спама Зафиксирована атака на пользователей каталога NPM, в результате которой 20 февраля в репозитории NPM было размещено более 15 тысяч пакетов, в README-файлах которых присутствовали ссылки на фишинговые сайты или реферальные ссылки, за переходы по кото...
Выпуск репозитория пакетов pkgsrc 2020Q1 Разработчики проекта NetBSD представили релиз репозитория пакетов pkgsrc-2020Q1, который стал 66 по счёту выпуском проекта. Система pkgsrc была создана 22 года назад на основе портов FreeBSD и в настоящее время используется по умолчанию для управлен...
В менеджере пакетов Composer исправлен критический баг Разработчики менеджера пакетов Composer, устранили критическую уязвимость, которая могла использоваться для выполнения произвольных команд и оснащения бэкдором каждого PHP-пакета, что привело бы к атаками на цепочку поставок....
Релиз системы самодостаточных пакетов Flatpak 1.12.0 Опубликована новая стабильная ветка инструментария Flatpak 1.12, который предоставляет систему для сборки самодостаточных пакетов, не привязанных к конкретным дистрибутивам Linux и выполняемых в специальном контейнере, изолирующем приложение от оста...
Релиз системы самодостаточных пакетов Flatpak 1.8.0 Опубликована новая стабильная ветка инструментария Flatpak 1.8, который предоставляет систему для сборки самодостаточных пакетов, не привязанных к конкретным дистрибутивам Linux и выполняемых в специальном контейнере, изолирующем приложение от остал...
WSJ: McDonald's столкнулся с дефицитом бумажных пакетов McDonald's в США столкнулся с дефицитом поставок бумажных пакетов, сообщает газета Wall Street Journal. Их используют для доставки и заказов навынос. При этом многие покупатели просят упаковать заказы в бумажные пакеты, когда обедают внутри ресторан...
Релиз системы самодостаточных пакетов Flatpak 1.14.0 Опубликована новая стабильная ветка инструментария Flatpak 1.14, который предоставляет систему для сборки самодостаточных пакетов, не привязанных к конкретным дистрибутивам Linux и выполняемых в специальном контейнере, изолирующем приложение от оста...
Выпуск системы глубокого инспектирования пакетов nDPI 4.4 Проект ntop, развивающий инструменты для захвата и анализа трафика, опубликовал выпуск инструментария для глубокого инспектирования пакетов nDPI 4.4, продолжающего развитие библиотеки OpenDPI. Проект nDPI основан после безуспешной попытки передачи и...
Саратовец написал главе ЦИК о ненадежности сейф-пакетов Лидер саратовского общественного движения "Жить здесь!" Александр Ермишин обратился к председателю Центризбиркома Элле Памфиловой по поводу зафиксированного в Саратове в ходе выборов инцидента с преждевременным вскрытием сейф-пакетов с бюллетенями.Р...
Как уже сейчас попробовать официальный менеджер пакетов для Windows 10 Менеджеры пакетов крайне распространены под Linux, где позволяют всего одной командой ставить нужный вам софт — не нужно искать официальный сайт разработчика в интернете, скачивать установщик и так далее. Очевидно, это удобный способ установки прогр...
Два смоленских «оптовика» попались с сотней пакетов наркотиков Двое смолян получали через интернет информацию о закладках оптовых партий наркотиков в Москве и Московской области. Затем они забирали их из тайников и распространяли в Ельне, Десногорске и Рославльском районе. Оперативники задержали «оптовиков...
Из полиэтиленовых пакетов научились готовить дизельное топливо Человечество не перестаёт удивлять количеством пластиковых отходов. По последним данным, их число достигло 300 млн тонн в год. Справиться с проблемой пытаются многие. Но свежая разработка учёных может совместить приятное с полезным. Исследователи из...
Google: уязвимость Log4j угрожает 35 000 пакетов Java Специалисты Google просканировали Maven Central, крупнейший на сегодняшний день репозиторий пакетов Java, и обнаружили, что 35 863 из них используют уязвимые версии библиотеки Log4j....
В Ростове у молодого человека изъяли 229 пакетов с наркотиками Ростовские полицейские пресекли факт сбыта наркотиков и изъяли у дилера 229 пакетов с мефедроном. Как сообщает пресс-служба МВД, наряд ППС патрулировал территорию города, в какой-то момент полицейские заметили молодого человека, который раскладывал ...
Россия выступила против запрета пластиковых пакетов Госкомитет Белоруссии по стандартизации ранее предложил отказаться на территории стран Евразийского экономического союза от пакетов толщиной до 50 микрометров, этикеток из поливинилхлорида на пластиковых бутылках и упаковки из вспененного полистирол...
10 вредоносных пакетов из PyPI воровали учетные данные Обнаружен еще один случай проникновения вредоносных пакетов в PyPI. Сразу 10 пакетов были удалены из репозитория, так как могли воровать у разработчиков данные, включая пароли и токены API....
В NPM планируют использовать Sigstore для подтверждения подлинности пакетов GitHub выставил на обсуждение предложение по внедрению сервиса Sigstore для верификации пакетов по цифровым подписям и ведения публичного лога для подтверждения подлинности при распространении релизов. Применение Sigstore позволит реализовать дополн...
Выпуск системы глубокого инспектирования пакетов nDPI 4.0 Проект ntop, развивающий инструменты для захвата и анализа трафика, опубликовал выпуск инструментария для глубокого инспектирования пакетов nDPI 4.0, продолжающего развитие библиотеки OpenDPI. Проект nDPI основан после безуспешной попытки передачи и...
Опубликован анализатор, выявивший 200 вредоносных пакетов в NPM и PyPI Фонд OpenSSF (Open Source Security Foundation), сформированный организацией Linux Foundation и нацеленный на повышение безопасности открытого ПО, представил открытый проект Package Analysis, развивающий систему анализа наличия вредоносного кода в па...
Компрометация пакетов ctx и phppass оказалась сомнительным «исследованием» Выяснилось, что недавняя компрометация пакетов ctx и phppass, которые воровали переменные среды в поисках учетных данных и ключей от Amazon AWS, была демонстрацией атаки, и никаких вредоносных действий автор этого «исследования» не планировал....
Нарушена работа поиска пакетов по Python-репозиторию PIP С 14 декабря перестал работать поиск ("pip search") в репозитории Python-пакетов PIP. Причиной является большой поток запросов XMLRPC, негативно влияющих на инфраструктуру....
В Петербурге шьют модные сумки из пакетов и батутов Metro продолжает рассказывать об интересных городских эко-инициативах. Наши новые герои рубрики придумали, как из мусора и отходов производства делать красивые вещи. Петербургский проект 99recycle занимается сразу двумя эконаправлениями – реса...
Ученые научились делать клей из полиэтиленовых пакетов В некоторых штатах США был введен запрет на одноразовую пластмассу, однако проблема засорения водоемов и свалок полиэтиленовыми пакетами все еще стоит достаточно остро....
Выпуск системы глубокого инспектирования пакетов nDPI 4.6 Проект ntop, развивающий инструменты для захвата и анализа трафика, опубликовал выпуск инструментария для глубокого инспектирования пакетов nDPI 4.6, продолжающего развитие библиотеки OpenDPI. Проект nDPI основан после безуспешной попытки передачи и...
Китай откажется от пластиковых пакетов и одноразовых трубочек Власти Китая планируют отказаться от одноразового пластика в течение пяти лет, пишет «Би-би-си». Пластиковые пакеты, одноразовые трубочки и посуда попадут под запрет. Так, пакеты из неразлагающегося пластика полностью запретят уже к 2022...
Десятки пакетов с наркотиками вынесло на пляжи Израиля На средиземноморском побережье Израиля были обнаружены десятки пакетов с наркотиками, пишет Times of Israel со ссылкой на полицию. Так, свёртки нашли на пляжах Нагарии, Хайфы, Тират-Кармеля, Зихрон-Яакова и Гаша....
НС Банк запустил универсальную линейку пакетов РКО для бизнеса В мае НС Банк представил обновленную линейку услуг по расчетно-кассовому обслуживанию для предпринимателей. Вместо шести тарифных планов были введены три пакета услуг — «Стартовый», «Оптимальный» и «Максимальный», которые содержат полный перечень не...
Red Hat прекратит подготовку rpm-пакетов с LibreOffice для RHEL и Fedora Маттиас Класен (Matthias Clasen), лидер Fedora Desktop Team и участник GNOME Release Team, сообщил о решении компании Red Hat прекратить поставку RPM-пакетов с LibreOffice в следующей значительной ветке дистрибутива Red Hat Enterprise Linux 10, а та...
Microsoft представила обновлённый менеджер пакетов для Windows 10 Сегодня Microsoft анонсировала выпуск нового диспетчера пакетов для операционной системы Windows 10, который облегчит разработчикам настройку рабочей среды. В прошлом Windows-разработчикам требовалось вручную загружать и устанавливать все необходимы...
В Воронеже в хлебе обнаружили несколько пакетов наркотиков Теперь задержанный 22-летний мужчина среднеазиатского происхождения обвиняется в незаконном хранении наркотиков. Ему грозит до 20 лет лишения свободы. Воронежские полицейские задержали мужчину, доставили его в отдел, где он и признался, что действит...
Репозиторий npm наводнили более 15 000 пакетов с реферальными ссылками Аналитики Checkmarx заметили, что репозиторий npm заполонили более 15 000 пакетов с «мусорными» ссылками. Злоумышленники использовали реферальные ссылки различных торговых сайтов, получая прибыль от их реферальных программ....
Сбербанк обновил линейку пакетов услуг РКО для бизнеса Сбербанк обновил линейку пакетов услуг расчетно-кассового обслуживания для предпринимателей. Теперь она включает четыре предложения — «Легкий старт», «Набирая обороты», «Полным ходом» и «ВЭД без границ», которые помогают малому бизнесу экономить на ...
Уязвимость в PHP, позволяющая обойти ограничения, заданные в php.ini Опубликован метод обхода в интерпретаторе PHP ограничений, заданных при помощи директивы disable_functions и других настроек в php.ini. Напомним, что директива disable_functions даёт возможность запретить использование в скриптах определённых внутре...
Разработана позволяющая ускорить компьютеры в 400 раз оптимизация Ученые предложили оптимизацию в составных частях компьютера, которая позволит ускорить устройство до 300-400 раз. Для этого физики предлагают использовать разработанные сверхпроводники, которые ранее считались невозможными. Об этом The Independent....
Обнаружена уязвимость, позволяющая прослушивать звонки Все мы пользуемся мобильными устройствами, но некоторые из них, как оказалось, подвержены серьезной уязвимости.Уязвимость, позволяющая прослушивать телефонные звонки, была обнаружена исследователями из Института Хорста Гертца Рурского университета в...
Уязвимость в процессорах AMD, позволяющая выполнить код на уровне SMM Компания AMD сообщила о работе над исправлением серии уязвимостей "SMM Callout" (CVE-2020-12890), позволяющей получить контроль над прошивкой UEFI и выполнить код на уровне SMM (System Management Mode). Для атаки необходим физический доступ к оборуд...
Ubuntu 21.10 переходит на использование алгоритма zstd для сжатия deb-пакетов Разработчики Ubuntu начали перевод deb-пакетов на использование алгоритма zstd, который позволит почти в два раза увеличить скорость установки пакетов, ценой небольшого увеличения их размера (~6%). Примечательно, что поддержка использования zstd был...
Microsoft выпустила менеджер пакетов Windows Package Manager Корпорация Microsoft анонсировала новый менеджер пакетов – Windows Package Manager. Этот инструмент позволяет пользователям Windows устанавливать свои приложения с помощью простой команды. В основном, он ориентирован на разработчиков, но другие поль...
RubyGems переходит на обязательную двухфакторную аутентификацию для популярных пакетов Для защиты от атак по захвату учётных записей, нацеленных на получение контроля над зависимостями, репозиторий пакетов RubyGems объявил о переходе к применению обязательной двухфакторой аутентификации для учётных записей сопровождающих 100 наиболее ...
Зафиксирован новый DDoS-рекорд: 809 миллионов пакетов в секунду Специалисты Akamai рассказали, что в этом месяце европейский банк стал мишенью для одной из мощнейших DDoS-атак в истории, чья мощность достигала 809 миллионов пакетов в секунду....
Trashbox провел независимое тестирование российских офисных пакетов Портал Trashbox.ru провел независимое тестирование отечественных офисных пакетов, сравнив российские редакторы с популярным зарубежным решением Microsoft Office. Тестирование было приурочено к вступившему 1 апреля в силу закону о предустановке...
Россияне лишились традиционного источника бесплатных пакетов для дома Если рестораны быстрого питания «Макдональдс», а теперь «Вкусно — и точка» для россиян являются не только сетью, где можно быстро перекусить, но еще и самой крупной в стране «сеткой» бесплатных туалетов…...
"Яндекс.Лавка" отказался от бумажных пакетов в пользу пластиковых Сервис "Яндекс.Лавка" принял решение отказаться от использования бумажных пакетов. Теперь доставка заказов будет осуществляться в полиэтиленовых пакетах. С чем это связано? Принятию данного решения предшествовало исследование о затратах ресурсов на ...
В каталоге Python-пакетов PyPI выявлены три вредоносные библиотеки В каталоге PyPI (Python Package Index) выявлены три библиотеки, содержащие вредоносный код. До выявления проблем и удаления из каталога в сумме пакеты успели загрузить почти 15 тысяч раз....
Китай сократит использование одноразовых трубочек и неразлагаемых пакетов Власти Китая обнародовали план по сокращению использования пластика по всей стране, сообщил телеканал BBC. Программа рассчитана на пять лет.Неразлагаемые пакеты в крупных городах будут запрещены к концу 2020 года, во всех городах и поселках — к 2022...
Red Hat ответил на критику изменений в распространении кода пакетов RHEL Майк МакГрэз (Mike McGrath), вице-президент компании Red Hat, отвечающий за разработку Fedora и CentOS, озвучил позицию компании в отношении прекращения публикации srpm-пакетов RHEL в репозитории git.centos.org и оставлении в качестве единственного ...
Гениально: американец создал ремень безопасности для пакетов и сумок Американец придумал крайне необычный, но полезный автомобильный ремень безопасности. Он не для людей, а для пакетов с завтраком или сумок с продуктами....
Минпромторг выступил против запрета пластиковых пакетов в ЕАЭС Госкомитет Белоруссии по стандартизации предложил запретить оборот некоторых видов пластиковой упаковки на территории Евразийского экономического союза (ЕАЭС, Россия, Армения, Белоруссия, Казахстан и Киргизия). Минпромторг России уже выступил против...
«Яндекс.Лавка» отказалась от бумажных пакетов в пользу пластиковых Сервис "Яндекс.Лавка" принял решение отказаться от использования бумажных пакетов. Теперь доставка заказов будет осуществлять в полиэтиленовых пакетах. С чем это связано? Принятию данного решения предшествовало исследование о затратах ресурсов на пр...
«Яндекс.Лавка» откажется от бумажных пакетов в пользу пластиковых Для доставки продуктов сервис экспресс-доставки продуктов «Яндекс.Лавка» решил отказаться от использования бумажных пакетов в пользу полиэтиленовых, сообщила экотренер Надежда Васякина на странице сервиса в Facebook. Решение было принято на основани...
СК начал проверку после обнаружения пакетов для перевозки тел умерших Следователи проводят доследственную проверку в связи с обнаружением пакетов, предназначенных для перевозки тел умерших от коронавирусной инфекции в Коммунарке. По словам источника в правоохранительных органах, никаких медкарт рядом с найденными паке...
На Брянщине Россельхознадзор снял с продажи 6 тысяч пакетов семян Управление Россельхознадзора по Брянской и Смоленской областям подвело итоги работы по контролю в сфере оборота семян и саженцев в первом квартале этого года. За три месяца инспекторы Россельхознадзора на Брянщине сняли с продажи более 6 тысяч пакет...
Обновление OpenWrt 19.07.1 с устранением уязвимости, допускающей подмену пакетов Опубликованы корректирующие выпуски дистрибутива OpenWrt 18.06.7 и 19.07.1, в которых устранена опасная уязвимость (CVE-2020-7982) в пакетном менеджере opkg, позволяющая осуществить MITM-атаку и подменить содержимое загружаемого из репозитория пакет...
Уязвимость в cgroups v1, позволяющая выйти из изолированного контейнера Раскрыты детали уязвимости (CVE-2022-0492) в реализации механизма ограничения ресурсов cgroups v1 в ядре Linux, которая может использоваться для выхода из изолированных контейнеров. Проблема проявляется начиная с ядра Linux 2.6.24 и устранена в выпу...
Уязвимость в утилите Warpinator, позволяющая удалить файлы В Warpinator, развиваемой проектом Linux Mint утилите для шифрованного обмена файлами между двумя компьютерами, выявлена уязвимость (CVE-2023-29380), позволяющая отправителю удалить произвольные файлы на компьютере получателя. Уязвимость устранена в...
Уязвимость в cups-filters, позволяющая выполнить код на сервере В пакете cups-filters, включающем компоненты для организации работы сервиса печати, найдена уязвимость (CVE-2023-24805), позволяющая удалённо выполнить произвольные команды на сервере печати через отправку специально оформленного задания вывода на п...
Уязвимость в репозитории NPM, позволяющая добавить сопровождающего без подтверждения В репозитории пакетов NPM выявлена проблема с безопасностью, позволяющая владельцу пакета добавить в число сопровождающих любого пользователя, без получения от этого пользователя согласия и без информирования о совершённом действии. Проблема усугубл...
Уязвимость в RubyGems.org, позволяющая подменить чужие пакеты В репозитории пакетов RubyGems.org выявлена критическая уязвимость (CVE-2022-29176), позволяющая без наличия должных полномочий подменить некоторые чужие пакеты в репозитории путём инициирования изъятия (yank) легитимного пакета и загрузки вместо не...
Уязвимость в KDE Ark, позволяющая перезаписать файлы при открытии архива В развиваемом проектом KDE менеджере архивов Ark выявлена уязвимость (CVE-2020-16116), позволяющая при открытии в приложении специально оформленного архива перезаписать файлы вне каталога, указанного для раскрытия архива. Проблема в том числе проявл...
Уязвимость в Android, позволяющая обойти блокировку экрана В платформе Android выявлена уязвимость (CVE-2022-20465), позволяющая отключить блокировку экрана путём перестановки SIM-карты и ввода PUK-кода. Возможность отключения блокировки продемонстрирована на устройствах Google Pixel, но так как исправление...
Уязвимость в Bitbucket Server, позволяющая выполнить код на сервере В Bitbucket Server, пакете для развёртывания web-интерфейса для работы с git-репозиториями, выявлена критическая уязвимость (CVE-2022-36804), позволяющая удалённому атакующему, имеющему доступ на чтение к приватным или публичным репозиториям, выполн...
Уязвимость в nftables, позволяющая повысить свои привилегии В Netfilter, подсистеме ядра Linux, используемой для фильтрации и модификации сетевых пакетов, выявлена уязвимость (CVE-2023-0179), потенциально позволяющая локальному пользователю поднять свои привилегии в системе и выполнить код на уровне ядра. Ис...
Уязвимость во Flatpak, позволяющая обойти режим изоляции В инструментарии для создания самодостаточных пакетов Flatpak выявлена уязвимость (CVE-2021-21261), позволяющая обойти режим sandbox-изоляции и выполнить произвольный код в окружении основной системы. Проблема устранена в версиях 1.10.0 и 1.8.5, но ...
Уязвимость в OverlayFS, позволяющая повысить свои привилегии В ядре Linux в реализации файловой системы OverlayFS выявлена уязвимость (CVE-2023-0386), которую можно использовать для получения root-доступа на системах, в которых установлена подсистема FUSЕ и разрешено монтирование разделов OverlayFS непривилег...
СУБД Dolt, позволяющая манипулировать данными в стиле Git Проект Dolt развивает СУБД, сочетающую поддержку SQL со средствами версионирования данных в стиле Git. Dolt позволяет клонировать таблицы, создавать форки и выполнять слияния таблиц, а также выполнять операции push и pull по аналогии с действиями в ...
Уязвимость в UEFI для процессоров AMD, позволяющая выполнить код на уровне SMM Компания AMD сообщила о работе над исправлением серии уязвимостей "SMM Callout" (CVE-2020-12890), позволяющей получить контроль над прошивкой UEFI и выполнить код на уровне SMM (System Management Mode). Для атаки необходим физический доступ к оборуд...
В Fedora планируют предоставить возможность сборки пакетов в Clang вместо GCC Для реализации в Fedora 33 намечено изменение правил применения компиляторов в дистрибутиве, в соответствии с которым компилятор для сборки пакета сможет выбираться в зависимости от рекомендаций и предпочтений основного проекта (upstream). В настоящ...
Глава МЭР заявил о подготовке правительством новых пакетов поддержки экономики Кабмин занимается разработкой третьего и четвертого пакетов мер поддержки бизнеса в условиях пандемии коронавируса. Об этом, как передает ТАСС, заявил глава Минэкономразвития Максим Решетников в интервью программе «Право на справедливость» на Первом...
Медик новосибирской больницы показала бахилы из мусорных пакетов (фото) Персонал городской клинической больницы № 12 Новосибирской не полностью обеспечивают средствами защиты. Об этом рассказала одна из пациенток с подозрением......
Райффайзенбанк с 10 апреля прекратит подключение новых пакетов услуг "Зарплатный" В банке отметили, что это никак не скажется на привилегиях для тех клиентов, которые получают зарплату на карту в рамках зарплатного проекта работодателя...
Выпуск пакетного менеджера NPM 8.15 с поддержкой локальной проверки целостности пакетов Компания GitHub представила выпуск пакетного менеджера NPM 8.15, входящего в поставку Node.js и применяемого для распространения модулей на языке JavaScript. Отмечается, что ежедневно через NPM загружается более 5 миллиардов пакетов....
Из PyPI удалены 11 пакетов, похищавшие токены Discord, пароли и так далее Операторы официального репозитория Python Package Index (PyPI) избавились от 11 вредоносных библиотек, воровавших данные пользователей (включая токены Discord и пароли), а также устанавливавших шеллы в системах жертв (для удаленного доступа злоумышл...
В программу защиты Linux от патентных претензий включено 337 новых пакетов Организация Open Invention Network (OIN), ставящая перед собой цель защиты экосистемы Linux от патентных претензий, объявила о расширении списка пакетов, на которые распространяется соглашение о невыдвижении патентных претензий и предоставлении возм...
В программу защиты Linux от патентных претензий включено 520 новых пакетов Организация Open Invention Network (OIN), ставящая перед собой цель защиты экосистемы Linux от патентных претензий, объявила о расширении списка пакетов, на которые распространяется соглашение о невыдвижении патентных претензий и предоставлении возм...
Подкаст с разработчиком проекта Repology, анализирующего информацию о версиях пакетов В 118 выпуске подкаста SDCast (mp3, 64 MB, ogg, 47 MB) состоялось интервью с Дмитрием Маракасовым, разработчиком проекта Repology, который занимается агрегацией информации о пакетах из различных репозиториев и формированием полной картины о поддержк...
В каталоге PyPI (Python Package Index) выявлено 6 вредоносных пакетов В каталоге PyPI (Python Package Index) выявлено несколько пакетов, включающих код для скрытого майнинга криптовалюты. Проблемы присутствовали в пакетах maratlib....
В Raspberry Pi OS по умолчанию включены репозиторий и ключ заверения пакетов Microsoft Пользователи плат Raspberry Pi обсуждают включение в штатной операционной системе Raspberry Pi OS обращения к репозиторию компании Microsoft и добавление GPG-ключа Microsoft для доверительной установки пакетов. Репозиторий Microsoft добавляется паке...
В PyPI реализована возможность публикации пакетов без привязки к паролям и токенам API В репозитории Python-пакетов PyPI (Python Package Index) предоставлена возможность использования нового защищённого метода публикации пакетов, позволяющего обойтись без сохранения на внешних системах (например, в GitHub Actions) фиксированных пароле...
В каталоге Python-пакетов PyPI выявлена вредоносная библиотека pymafka В каталоге PyPI (Python Package Index) выявлена библиотека pymafka, содержащая вредоносный код. Библиотека распространялась с именем, похожим на популярный пакет pykafka с расчётом на то, что невнимательные пользователи перепутают подставной пакет с...
Уязвимость в специфичном для CPU AMD коде KVM, позволяющая выполнить код вне гостевой системы Исследователи из команды Google Project Zero выявили уязвимость (CVE-2021-29657) в поставляемом в составе ядра Linux гипервизоре KVM, позволяющую обойти изоляцию гостевой системы и выполнить свой код на стороне хост-окружения. Проблема присутствует ...
Новая версия Git 2.28, позволяющая не использовать имя "master" для основных веток Доступен выпуск распределенной системы управления исходными текстами Git 2.28.0. Git является одной из самых популярных, надёжных и высокопроизводительных систем управления версиями, предоставляющей гибкие средства нелинейной разработки, базирующиес...
Уязвимость в Wi-Fi чипах Cypress и Broadcom, позволяющая расшифровать трафик Исследователи из компании Eset раскрыли на проходящей в эти дни конференции RSA 2020 сведения об уязвимости (CVE-2019-15126) в беспроводных чипах Cypress и Broadcom, позволяющей дешифровать перехваченный Wi-Fi трафик, защищённый с использованием про...
В PlayStation 4 найдена уязвимость, позволяющая запускать пиратские игры Эксперт по безопасности Энди Нгуен опубликовал информацию о том, что в PlayStation 4 найдена уязвимость, позволяющая запускать пиратские игры. К сожалению для любителей нелицензионного софта, специалист поделился имеющимися у него данными с Sony. Из...
Уязвимось в Glibc, позволяющая вызвать крах чужого процесса В Glibc выявлена уязвимость (CVE-2021-38604), дающая возможность инициировать крах процессов в системе через отправку специально оформленного сообщения через POSIX message queues API. В дистрибутивах проблема не успела проявиться, так как присутству...
Уязвимость в Polkit, позволяющая повысить свои привилегии в системе В компоненте Polkit, используемом в дистрибутивах для организации выполнения непривилегированными пользователями действий, требующих повышенных прав доступа (например, монтирования USB-накопителя), выявлена уязвимость (CVE-2021-3560), позволяющая ло...
Триллион кадров в секунду: камера, позволяющая запечатлеть невидимок Ученые продолжают раздвигать границы возможностей современных камер. Недавно они разработали устройство, способное снимать с частотой до триллиона кадров в секунду....
Уязвимость, позволяющая обойти блокировку пакетным фильтром pf во FreeBSD Во FreeBSD выявлена уязвимость (CVE-2023-4809) в коде пакетного фильтра pf, позволяющая обойти заданные для IPv6 правила блокировки через манипуляцию с фрагментированными пакетами IPv6. Проблема проявляется при использовании pf для фильтрации трафик...
Критическая уязвимость в sudo, позволяющая получить привилегии root Исследователи безопасности из компании Qualys выявили критическую уязвимость (CVE-2021-3156) в утилите sudo, предназначенной для организации выполнения команд от имени других пользователей. Уязвимость позволяет получить доступ с правами root без про...
Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 без знания ключа В библиотеке GnuTLS, которая применяется по умолчанию во многих пакетах из состава Debian, включая пакетный менеджер APT и многие утилиты, выявлена уязвимость (CVE-2020-13777), позволяющая возобновить ранее остановленный сеанс TLS без знания сессион...
Уязвимость в Ghostscript, позволяющая выполнить код при открытии PostScript-документа В Ghostscript, наборе инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF, выявлена уязвимость (CVE-2020-15900), которая может привести к изменению файлов и запуску произвольных команд при открытии специальн...
Уязвимость в Timeshift, позволяющая поднять свои привилегии в системе В приложении Timeshift выявлена уязвимость (CVE-2020-10174), позволяющая локальному пользователю выполнить код с правами root. Timeshift представляет собой систему резервного копирования, использующую rsync с установкой жёстких ссылок или снапшоты B...
Уязвимость в cryptsetup, позволяющая отключить шифрование в LUKS2-разделах В пакете Cryptsetup, применяемом для шифрования дисковых разделов в Linux, выявлена уязвимость (CVE-2021-4122), позволяющая через модификацию метаданных добиться отключения шифрования в разделах в формате LUKS2 (Linux Unified Key Setup). Для эксплуа...
Уязвимость в Android, позволяющая удалённо выполнить код при включённом Bluetooth В февральском обновлении платформы Android устранена критическая уязвимость (CVE-2020-0022) в Bluetooth-стеке, позволяющая организовать удалённое выполнение кода через отправку специально оформленного Bluetooth-пакета. Проблема может быть незаметно ...
Разработана платформа, позволяющая роботам использовать тактильные датчики Представлена платформа, позволяющая роботизированному захвату с сенсорным управлением с использованием тактильных датчиков. Чтобы успешно сотрудничать с людьми при выполнении ручных задач, роботы должны уметь хватать и манипулировать различными объе...
Уязвимость в systemd, потенциально позволяющая повысить свои привилегии В системном менеджере systemd выявлена уязвимость (CVE-2020-1712), которая потенциально позволяет добиться выполнения своего кода с повышенными привилегиями через отправку специально оформленного запроса по шине DBus. Проблема исправлена в тестовом ...
Уязвимость в firejail, позволяющая получить root-доступ в системе В утилите для изолированного выполнения приложений Firejail выявлена уязвимость (CVE-2022-31214), позволяющая локальному пользователю получить права root в основной системе. В открытом доступе имеется рабочий эксплоит, проверенный в актуальных выпус...
Уязвимость в VFS ядра Linux, позволяющая повысить свои привилегии В API Filesystem Context, предоставляемым ядром Linux, выявлена уязвимость (CVE-2022-0185), позволяющая локальному пользователю добиться получения прав root в системе. Выявивший проблему исследователь опубликовал демонстрацию работы эксплоита, позво...
Уязвимость в unrar, позволяющая перезаписать файлы при распаковке архива В утилите unrar выявлена уязвимость (CVE-2022-30333), позволяющая при распаковке специально оформленного архива перезаписать файлы вне текущего каталога, насколько это позволяют права пользователя. Проблема устранена в выпусках RAR 6.12 и unrar 6.1....
Локальная уязвимость в nftables, позволяющая повысить свои привилегии В Netfilter, подсистеме ядра Linux, используемой для фильтрации и модификации сетевых пакетов, выявлена уязвимость (CVE не назначен), позволяющая локальному пользователю выполнить код на уровне ядра и поднять свои привилегии в системе. Исследователя...
Уязвимость в платформе Mastodon, позволяющая выполнить код на серверах соцсети В Mastodon, платформе для создания децентрализованной социальной сети, объединяющей разрозненные серверы разных участников, выявлена критическая уязвимость (CVE-2023-36460), позволяющая создать или перезаписать произвольный файл в любом каталоге на ...
Уязвимость в XFS, позволяющая читать сырые данные блочного устройства В коде файловой системы XFS обнаружена уязвимость (CVE-2021-4155), позволяющая локальному непривилегированному пользователю читать данные неиспользуемых блоков напрямую с блочного устройства. Все значительные версии ядра Linux старше 5.16, содержащи...
Уязвимость в OpenSMTPD, позволяющая удалённо выполнить код с правами root В развиваемом проектом OpenBSD почтовом сервере OpenSMTPD выявлена критическая уязвимость (CVE-2020-7247), позволяющая удалённо выполнить shell-команды на сервере с правами пользователя root. Уязвимость выявлена в ходе повторного аудита, проведённог...
Уязвимость в мессенджере Dino, позволяющая обойти проверку отправителя Опубликованы корректирующие выпуски коммуникационного клиента Dino 0.4.2, 0.3.2 и 0.2.3, поддерживающего чат, аудиовызовы, видеовызовы, видеоконференции и обмен текстовыми сообщениями с использованием протокола Jabber/XMPP. В обновлениях устранена у...
На сайте Xiaomi появилась игра, позволяющая собрать смартфон Компания Xiaomi добавила на свой официальный сайт специальную игру, позволяющую собрать собственный смартфон....
Уязвимость в Samba, позволяющая поменять пароль любому пользователю Опубликованы корректирующие выпуски пакета Samba 4.16.4, 4.15.9 и 4.14.14 с устранением 5 уязвимостей. Выпуск обновлений пакетов в дистрибутивах можно проследить на страницах: Debian, Ubuntu, RHEL, SUSE, Arch, FreeBSD....
Полезное изобретение для автовладельцев: как американец придумал ремень безопасности для сумок и пакетов Мужчина создал крайне необычный, но полезный автомобильный ремень безопасности. Он не для людей, а для пакетов с завтраком или сумок с продуктами....
СКА отказался от полиэтиленовых пакетов и начал сотрудничать с Фондом друзей балтийской нерпы СКА начал реализацию программы, связанной с экологией. «С февраля 2020 года СКА в своих фирменных магазинах Hockey Club отказался от использования полиэтиленовых пакетов для покупок, теперь вместо пластиковых покупатели смогут приобрести новые эколо...
MCN Telecom расширил линейку тарифов и пакетов на номера и звонки внутри России Запущены пять новых тарифов на виртуальные номера для малого и среднего бизнеса в 64 крупных регионах страны...
В Fedora Linux 37 намерены прекратить сборку необязательных пакетов для архитектуры i686 Для реализации в Fedora Linux 37 намечено принятие предписания, рекомендующего сопровождающим прекратить сборку пакетов для архитектуры i686, если необходимость в подобных пакетах сомнительна или приводит к заметным затратам времени или ресурсов. Ре...
Отказ от пластиковых пакетов ударит по экономике России и взвинтит цены на продукты Рост цен на молочные продукты, мясо, рыбу, бакалею и хлебобулочные изделия ожидает Россию в случае введения запрета на пластиковую упаковку. Об этом предупредили эксперты Высшей школы государственного администрирования (ВШГА) МГУ им. Ломоносова. Отк...
«Бесплатный» российский сотовый оператор расширил линейку пакетов интернет-трафика Российский виртуальный мобильный оператор DANYCOM.Mobile, известный в первую очередь тем, что в его арсенале имеются совершенно бесплатные тарифы, анонсировал новую линейку пакетов интернет-трафика. Начиная с текущей недели клиентам компании, помимо...
С начала года в поездах ЦППК пассажиры забыли более 200 пакетов и сумок В электропоездах компании в январе - июне 2020 года были обнаружены диплом, редкие монеты и надувной бассейн...
CentOS Stream станет единственным публичным источником кода пакетов RHEL Компания Red Hat объявила об изменении подхода к публикации исходных текстов пакетов дистрибутива Red Hat Enterprise Linux и прекращении публикации кода пакетов в Git-репозитории git.centos.org. Единственным публично доступным источником исходных те...
Итоги полугода работы проекта Repology, анализирующего информацию о версиях пакетов Прошли очередные полгода и проект Repology публикует очередной отчёт. Проект занимается агрегацией информации о пакетах из максимального числа репозиториев и формированием полной картины о поддержке в дистрибутивах по каждому свободному проекту с це...
Уязвимость в беспроводных точках доступа, позволяющая организовать перехват трафика Группа исследователей из университетов Цинхуа (Китай) и Джорджа Мейсона (США) раскрыла информацию об уязвимости (CVE-2022-25667) в беспроводных точках доступа, позволяющую организовать перехват трафика (MITM) в беспроводных сетях, защищённых с испол...
0-day уязвимость в устройствах Netgear, позволяющая удалённо получить root-доступ В http-сервере, применяемом в SOHO-маршрутизаторах Netgear, выявлена уязвимость, позволяющая без прохождения аутентификации удалённо выполнить свой код с правами root и получить полный контроль за устройством. Для атаки достаточно возможности отправ...
Триллион кадров в секунду: как снимает камера, позволяющая запечатлеть невидимок Ученые продолжают раздвигать границы возможностей современных камер. Недавно они разработали устройство, способное снимать с частотой до триллиона кадров в секунду....
В Google обнаружилась лазейка, позволяющая попадать в закрытые чаты в WhatsApp Журналисты обратили внимание на тот факт, что поисковые алгоритмы Google индексируют попавшие в открытый доступ ссылки-приглашения в групповые чаты мессенджера. Таким образом, любой пользователь может попасть в некоторые закрытые группы....
Уязвимость в подсистеме eBPF, позволяющая выполнить код на уровне ядра Linux В подсистеме eBPF, позволяющей запускать обработчики внутри ядра Linux в специальной виртуальной машине с JIT, выявлена уязвимость (CVE-2021-4204), дающая возможность локальному непривилегированному пользователю добиться повышения привилегий и выпол...
Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и получить файлы web-приложений Исследователи из китайской компании Chaitin Tech выявили уязвимость (CVE-2020-1938) в Apache Tomcat, открытой реализации технологий Java Servlet, JavaServer Pages, Java Expression Language и Java WebSocket. Уязвимости присвоено кодовое имя Ghostcat ...
Вышла утилита, позволяющая полноценно установить Windows 10X на любой компьютер Энтузиасты успели запустить ещё не выпущенную официально Windows 10X на самых разных устройствах. Операционная система была протестирована на смартфоне Microsoft Lumia 950XL, планшетах Surface Pro 6 и Pro 7, а также MacBook с чипом M1. Теперь появил...
Уязвимость в подсистеме Linux-ядра USB Gadget, потенциально позволяющая выполнить код В USB Gadget, подсистеме ядра Linux, предоставляющей программный интерфейс для создания клиентских USB-устройств и программной симуляции USB-устройств, выявлена уязвимость (CVE-2021-39685), которая может привести к утечке информации из ядра, краху и...
Создана батарея для электрокаров, позволяющая проезжать 2000 километров без подзарядки Австралийская компания Brighsun New Energy заявила о готовности начать промышленные испытания литий-серных аккумуляторов, разработка которых велась последние восемь лет. Плотность хранения энергии в таких батареях превышает стандарты литий-ионных ис...
Уязвимость в драйвере NTFS-3G, потенциально позволяющая выполнить код с правами root В утилите ntfs-3g из набора NTFS-3G, предлагающего работающую в пространстве пользователя реализацию файловой системы NTFS, выявлена уязвимость....
Уязвимость в подсистеме netfilter, позволяющая выполнить код на уровне ядра Linux В Netfilter, подсистеме ядра Linux, используемой для фильтрации и модификации сетевых пакетов, выявлена уязвимость (CVE-2022-25636), позволяющая выполнить код на уровне ядра. Заявлено о подготовке примера эксплоита, позволяющего локальному пользоват...
Уязвимость StackRot в ядре Linux, позволяющая повысить свои привилегии Выполненный в ядре Linux 6.1 перевод VMA (Virtual Memory Area) со структуры данных "red-black tree" на "maple tree" привёл к появлению уязвимости (CVE-2023-3269), позволяющей непривилегированному пользователю добиться выполнения своего кода с правам...
Уязвимость в Firefox для Android, позволяющая управлять браузером через общий Wi-Fi В Firefox для Android выявлена серьёзная уязвимость в реализации протокола SSDP, применяемого для обнаружения сетевых сервисов в локальной сети. Уязвимость позволяет атакующему, находящемуся в той же локальной или беспроводной сети, ответить на пров...
Уязвимость в ядре Linux, позволяющая обойти ограничения режима Lockdown В ядре Linux выявлена уязвимость (CVE-2022-21505), позволяющая легко обойти механизм защиты Lockdown, который ограничивает доступ пользователя root к ядру и блокирует пути обхода UEFI Secure Boot. Для обхода предлагается использовать подсистему ядра...
Уязвимость в чипсетах Intel, позволяющая извлечь корневой ключ платформы Исследователи из компании Positive Technologies выявили уязвимость (CVE-2019-0090), позволяющую при наличии физического доступа к оборудованию извлечь корневой ключ платформы (Chipset key), используемый в качестве корня доверия при проверке подлинно...
Около 10 лет существовала позволяющая взломать любой аккаунт Facebook уязвимость Исследователь Амол Байкар (Amol Baikar), работающий в сфере информационной безопасности, обнародовал данные о существующей в течение десяти лет уязвимости в протоколе авторизации OAuth, используемом в социальной сети Facebook. Эксплуатация данной уя...
Уязвимость в ядре Linux 6.2, позволяющая обойти защиту от атак Spectre v2 В ядре Linux 6.2 выявлена уязвимость (CVE-2023-1998), приводящая к отключению защиты от атак класса Spectre v2, позволяющих получить доступ к памяти других процессов, выполняемых в разных потоках SMT или Hyper Threading, но на одном физическом ядре ...
В Steam обнаружена уязвимость, позволяющая пополнить кошелек на любую сумму Исследователь в сфере информационной безопасности под никнеймом DrBrix рассказал на форуме HackerOne об уязвимости в игровом сервисе Steam — она позволяла пополнить свой кошелек на любую сумму. Впоследствии сотрудник компании ......
В MIUI 12.5 появилась долгожданная функция, позволяющая скрывать ненужные приложения Чем больше времени проходит с момента выхода MIUI 12.5, тем больше мы открываем для себя новых функций, интегрированных Xiaomi в это обновление — такие, к примеру, как новая информация о батарее. Пройдут еще месяцы, прежде чем мы увидим его стабильн...
Уязвимость в прокси-сервере Squid, позволяющая обойти ограничения доступа Раскрыты сведения об уязвимостях в прокси-сервере Squid, которые без лишней огласки были устранены ещё в прошлом году в выпуске Squid 4.8. Проблемы присутствуют в коде обработки блока "@" в начале URL ("user@host") и позволяют обойти правила огранич...
Уязвимость в pppd и lwIP, позволяющая удалённо выполнить код с правами root В пакете pppd выявлена уязвимость (CVE-2020-8597), позволяющая выполнить свой код через отправку специально оформленных запросов на аутентификацию к системам, использующим протокол PPP (Point-to-Point Protocol) или PPPoE (PPP over Ethernet). Данные ...
Уязвимость в ядре Linux, позволяющая повысить свои привилегии через BPF Опубликованы сведения об уязвимости (CVE-2020-8835) в ядре Linux, которая была использована в соревновании Pwn2Own 2020 при демонстрации взлома Ubuntu. Уязвимость позволила непривилегированному пользователю получить права root. Рабочий эксплоит суще...
Уязвимость в Python, позволяющая вызвать системные команды из изолированных скриптов Опубликован метод обхода систем изолированного выполнения кода на языке Python, основанный на использовании давно известной ошибки, появившейся в Python 2.7, выявленной в 2012 году и до сих пор не исправленной в Python 3. Ошибка позволяет при помощи...
В Ужурском районе внимательный полицейский нашел в сельском сарае несколько пакетов с марихуаной В Красноярском крае полицейский случайно нашел почти 7 кг конопли. Ее хранила у себя местная жительница....
SpaceX выделила $250 000 на покупку рекламы для Starlink в Twitter – это один из крупнейших рекламных пакетов Компания SpaceX приобрела у Twitter один из самых больших рекламных пакетов для продвижения сервиса спутникового интернета Starlink....
Azercell предлагает своим абонентам широкий спектр интернет-пакетов для высокоскоростной связи! ООО «Azercell Telecom» представляет широкий спектр интернет-пакетов с учетом индивидуальных потребностей каждого абонента. В зависимости от используемого устройства и объема трафика лидирующий оператор мобильной связи предлагает своим клиентам выбра...
Уязвимость в подсистеме iSCSI ядра Linux, позволяющая поднять свои привилегии В коде подсистемы iSCSI из состава ядра Linux выявлена уязвимость (CVE-2021-27365), позволяющая непривилегированному локальному пользователю выполнить код на уровне ядра и получить root-привилегии в системе. Для тестирования доступен рабочий прототи...
Уязвимость в устройствах на базе SoC Realtek, позволяющая выполнить код через отправку UDP-пакета Исследователи из компании Faraday Security представили на конференции DEFCON детали эксплуатации критической уязвимости (CVE-2022-27255) в SDK для чипов Realtek RTL819x, позволяющей выполнить свой код на устройстве через отправку специально оформлен...
Уязвимость в модуле ksmbd ядра Linux, позволяющая удалённо выполнить свой код В модуле ksmbd, включающем встроенную в ядро Linux реализацию файлового сервера на базе протокола SMB, выявлена критическая уязвимость, позволяющая удалённо добиться выполнения своего кода с правами ядра. Атака может быть проведена без аутентификаци...
Уязвимость в реализации протокола MCTP для Linux, позволяющая повысить свои привилегии В ядре Linux выявлена уязвимость (CVE-2022-3977), которая потенциально может использоваться локальным пользователем для повышения своих привилегии в системе. Уязвимость проявляется начиная с ядра 5.18 и устранена в ветке 6.1. Появление исправления в...
В менеджере паролей KeePass обнаружена уязвимость, позволяющая извлечь мастер-пароль В популярном менеджере паролей KeePass обнаружена уязвимость, эксплуатация которой позволяет извлечь мастер-пароль из памяти приложения. За счёт этого злоумышленники, которым удалось скомпрометировать устройство жертвы, могут похить все хранящиеся в...
В новом контракте Хави с «Аль-Саддом» есть опция, позволяющая уйти в «Барселону» Главный тренер «Аль-Садда» Хави продлил контракт с клубом до 2021 года. В контракте 40-летнего каталонца, по данным Mundo Deportivo, есть пункт, который позволит ему уйти в «Барселону». Хави возглавил «Аль-Садд» летом прошлого года. Ранее сообщалось...
Не пой, не бойся, не кричи: Названа минимальная дистанция, позволяющая избежать контакта с коронавирусом Эксперты призывают выдерживать безопасное расстояние между людьми в общественных местах, чтобы снизить риск заражения...
В смартфонах Apple обнаружена новая уязвимость, позволяющая украсть любые данные Подробным описанием данной уязвимости поделился программист Томми Миск, который ее и обнаружил.По словам программиста, злоумышленник, воспользовавшийся данной дырой, может получить доступ к любым данным iPhone, включая пароли к банковским картам. Уя...
Создана система, позволяющая «умной» колонке звучать из любой точки в доме Создана система, позволяющая «умной» колонке звучать из любой точки в доме. Проект назвали «Цифровое чревовещание» (Digital Ventriloquism). «Умные» колонки поставляются с голосовыми помощниками, а те соответственно «привязаны» к этим устройствам. Од...
Критическая уязвимость в загрузчике GRUB2, позволяющая обойти UEFI Secure Boot В загрузчике GRUB2 выявлено 8 уязвимостей. Наиболее опасная проблема (CVE-2020-10713), которой присвоено кодовое имя BootHole, даёт возможность обойти механизм UEFI Secure Boot и добиться установки неверифицированного вредоносного ПО. Особенностью д...
У Apple теперь есть технология, позволяющая превратить iPhone в платежный терминал Apple приобрела канадский стартап Mobeewave, который разрабатывает технологию, позволяющую использовать смартфоны в качестве мобильных платёжных терминалов, пишет Bloomberg со ссылкой на источники. По данным издания, Apple заплатила за сделку около ...
Уязвимость в ядре Linux, позволяющая изменить содержимое tmpfs и разделяемой памяти В ядре Linux выявлена уязвимость (CVE-2022-2590), позволяющая непривилегированному пользователю изменить отражённые в память файлы (mmap) и файлы в tmpfs, не имея прав на запись в них, и поднять свои привилегии в системе. По своему типу выявленная п...
Уязвимость в чипах Qualcomm и MediaTek, позволяющая перехватить часть трафика WPA2 Исследователи из компании Eset выявили новый вариант (CVE-2020-3702) уязвимости Kr00k, применимый к беспроводным чипам Qualcomm и MediaTek. Как и первый вариант, которому были подвержены чипы Cypress и Broadcom, новая уязвимость позволяет дешифроват...
Уязвимость, позволяющая обойти блокировку экрана в дистрибутивах с рабочим столом Cinnamon Раскрыта информация об уязвимости в хранителе экрана cinnamon-screensaver, развиваемом дистрибутивом Linux Mint, которая позволяет войти в заблокированный сеанс пользователя без ввода пароля на системах с несколькими раскладками клавиатур. Проблема ...
Уязвимость в ядре Linux, позволяющая исказить файлы, доступные только для чтения В ядре Linux выявлена уязвимость (CVE-2022-0847), позволяющая перезаписать содержимое страничного кэша для любых файлов, в том числе находящихся в режиме только для чтения, открытых с флагом O_RDONLY или размещённых в файловых системах, примонтирова...
Уязвимость в сетевых библиотеках языков Rust и Go, позволяющая обойти проверку IP-адресов В стандартных библиотеках языков Rust и Go выявлены уязвимости, связанные с некорректной обработкой IP-адресов с восьмеричными цифрами в функциях разбора адреса. Уязвимости позволяют обойти проверки допустимых адресов в приложениях, например, для ор...
0-day уязвимость в IPv6-стеке Linux, позволяющая удалённо вызвать крах ядра Раскрыты сведения о неисправленной (0-day) уязвимости (CVE-2023-2156) в ядре Linux, позволяющей остановить работу системы через отправку специально оформленных пакетов IPv6 (packet-of-death). Проблема проявляется только при включении поддержки прото...
Разработана технология, позволяющая сохранить стабильность оптических кубитов при комнатной температуре В квантовых технологиях достаточно широко используются оптические квантовые биты, кубиты, на основе единичных фотонов света. Такие фотоны достаточно легко получить в нужных количествах, ими достаточно просто управлять и запутывать с другими фотонами...
В России появилась тест-система, позволяющая выявить коронавирус на ранних стадиях В Центре молекулярной диагностики Роспотребнадзора начнут проводить тестирование, позволяющее выявить коронавирус на ранних стадиях. Об этом сообщается на сайте ведомства. Тестирование было разработано учеными Центрального НИИ Эпидемиологии....
Информационная атака Курянам сообщают о том, что сбежали бойцы ЧВК «Вагнер» и нападают на жителей. Также несколько дней иностранные спецслужбы работают на создание паники в приграничных районах. В дело идут фейковые ролики о работе ДРГ, найденных сухпайках противника и ...
Компания ИВК представила стратегию развития российского репозитория программных пакетов на XXII Ежегодной конференции АДЭ «Информационная внедренческая компания» причиняла участие в XXII Ежегодной конференции «Состояние и развитие ИКТ-инфраструктуры», которая прошла в Москве 12-13 октября 2022 года. Организатор мероприятия — Ассоциация …...
Бардак на каждом шагу: Клиентка «Магнита» пожаловалась на отсутствие пакетов на кассе и нерабочие терминалы Посетителя очень возмутило, что сотрудники магазина не предупреждали о предстоящих проблемах на кассе. Постоянные посетители «Магнита» в Белгороде не могут понять, что происходит с супермаркетом и почему наблюдается бардак на каждом шагу. Неравнодуш...
Поглощение должно быть аккуратным // Минэкономики реформирует правила приобретения крупных пакетов акций Минэкономики предлагает существенно реформировать институт поглощений — покупки крупных пакетов акций. “Ъ” ознакомился с разработанным ведомством проектом изменений в закон «Об акционерных обществах (АО)» для устранения накопившихся в практике пробл...
«Яндекс.Лавка» откажется от бумажных пакетов в пользу пластиковых — сервис посчитал их более экологичными Сервис сравнил затраты ресурсов на производство и транспортировку, возможность повторного использования и утилизацию....
Ещё одна уязвимость в Apache httpd, позволяющая обратиться за пределы корневого каталога сайта Найден новый вектор атаки на http-сервер Apache, который остался неисправленным в обновлении 2.4.50 и позволяет получить доступ к файлам из областей вне корневого каталога сайта. Кроме того, исследователями найден способ, позволяющий при наличии опр...
Обнаружена лазейка в системе безопасности, позволяющая использовать Wi-Fi, чтобы видеть сквозь стены Исследовательская группа из Университета Ватерлоо разработала устройство на базе дронов, которое может использовать сети Wi-Fi, чтобы видеть сквозь стены. Устройство по прозвищу Wi-Peep может пролететь рядом со зданием, а затем использовать сеть Wi-...