Mobile Vulnerability Reward Program: Google запустила программу Bug Bounty для своих Android-приложений
Участвуют следующие приложения:
📱Google Play Services
📱AGSA
📱Google Chrome
📱Google Cloud
📱Gmail
📱Chrome Remote Desktop
Подробнее
#news #bugbounty
Участвуют следующие приложения:
📱Google Play Services
📱AGSA
📱Google Chrome
📱Google Cloud
📱Gmail
📱Chrome Remote Desktop
Подробнее
#news #bugbounty
Хабр
Google запустила программу Bug Bounty для своих Android-приложений
Google объявила о запуске программы Bug Bounty для своих Android-приложений. Компания считает, что инициатива поможет ускорить процесс поиска ошибок и доработки ПО. Инициатива получила название...
👍3❤1🥱1
Команда GitLab выпустила патч, который закрывает уязвимость типа path traversal
Эксплуатация CVE-2023-2825 может привести к раскрытию конфиденциальных данных, включая код проприетарного ПО, учетные данные пользователя, токены, файлы и так далее.
И это в 2023 году, когда все path traversal уже переэксплуатировали... В общем, обновляйтесь до GitLab Community Edition (CE) / Enterprise Edition (EE) 16.0.1.
#CVE #bugbounty #pentest #news
Эксплуатация CVE-2023-2825 может привести к раскрытию конфиденциальных данных, включая код проприетарного ПО, учетные данные пользователя, токены, файлы и так далее.
И это в 2023 году, когда все path traversal уже переэксплуатировали... В общем, обновляйтесь до GitLab Community Edition (CE) / Enterprise Edition (EE) 16.0.1.
#CVE #bugbounty #pentest #news
XAKEP
GitLab выпустила экстренный патч для критической уязвимости
Разработчики GitLab выпустили срочной обновление безопасности (версия 16.0.1) для устранения критической проблемы, набравшей 10 баллов из 10 возможных по шкале оценки уязвимостей CVSS. Эксплуатация CVE-2023-2825 может привести к раскрытию конфиденциальных…
👍8
Очередная подборка новостей для этичного хакера:
⚡️ Представлен практический пример атаки с использованием домена .zip. В чем сыр-бор? 👇
В середине мая открылась свободная регистрация имен в доменных зонах .ZIP и .MOV. Эти TLD вошли в список из сотен коммерческих доменных зон, обслуживанием которых занимаются частные компании. Среди безопасников это сразу же вызвало опасения: кликабельные ссылки в мессенджерах и соцсетях, похожие на имена файлов, теоретически должны упростить кибератаки.
▫️Microsoft потребуется почти год, чтобы закончить исправление нового 0-day бага обхода Secure Boot
▫️В последнем выпуске Chrome 111 пользователи теперь могут переопределять заголовки ответов непосредственно на панели Network
▫️Алгоритм активации Windows XP удалось взломать
▫️Двухфакторная аутентификация станет обязательной в PyPI
▫️У сервиса Super VPN утекли более 360 млн записей
▫️PHDays 12 в Парке Горького | Взлом The Smashing Pumpkins | Судья сказал: хакер играл в Бога!: Security-новости от главреда секлаб
#news
В середине мая открылась свободная регистрация имен в доменных зонах .ZIP и .MOV. Эти TLD вошли в список из сотен коммерческих доменных зон, обслуживанием которых занимаются частные компании. Среди безопасников это сразу же вызвало опасения: кликабельные ссылки в мессенджерах и соцсетях, похожие на имена файлов, теоретически должны упростить кибератаки.
▫️Microsoft потребуется почти год, чтобы закончить исправление нового 0-day бага обхода Secure Boot
▫️В последнем выпуске Chrome 111 пользователи теперь могут переопределять заголовки ответов непосредственно на панели Network
▫️Алгоритм активации Windows XP удалось взломать
▫️Двухфакторная аутентификация станет обязательной в PyPI
▫️У сервиса Super VPN утекли более 360 млн записей
▫️PHDays 12 в Парке Горького | Взлом The Smashing Pumpkins | Судья сказал: хакер играл в Бога!: Security-новости от главреда секлаб
#news
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3👍3🔥3
Очередная подборка новостей для этичного хакера:
▫️Операция Триангуляция: целевая атака на устройства под управлением iOS
1 июня эксперты «Лаборатории Касперского» опубликовали первый отчет о новой целевой атаке на мобильные устройства Apple. Атаку обнаружили в корпоративной сети компании и назвали «Операция Триангуляция».
▫️ Самые громкие события инфобеза за май 2023 года по версии компании T.Hunter
▫️ Специалисты из Microsoft нашли уязвимость в MacOS, которая позволяет обойти систему защиты целостности, известную как System Integrity Protection.
▫️Хакеры используют уязвимость CVE-2023-28771 брандмауэра Zyxel в продолжающихся атаках
▫️Популярный плагин Gravity Forms для Wordpress подвержен уязвимости PHP object injection
▫️Из-за уязвимости API у E-commerce платформы компании Honda утекали данные клиентов, дилеров и внутренние документы
▫️Аналитики из компании Elliptic считают, что недавняя атака на криптовалютные кошельки Atomic Wallet связана с северокорейской группировки Lazarus
▫️Ради доступа к GPT-4 люди воруют плохо защищенные API-ключи
▫️В Chrome исправлена третья 0-day уязвимость в этом году
#news
▫️Операция Триангуляция: целевая атака на устройства под управлением iOS
1 июня эксперты «Лаборатории Касперского» опубликовали первый отчет о новой целевой атаке на мобильные устройства Apple. Атаку обнаружили в корпоративной сети компании и назвали «Операция Триангуляция».
▫️ Самые громкие события инфобеза за май 2023 года по версии компании T.Hunter
▫️ Специалисты из Microsoft нашли уязвимость в MacOS, которая позволяет обойти систему защиты целостности, известную как System Integrity Protection.
▫️Хакеры используют уязвимость CVE-2023-28771 брандмауэра Zyxel в продолжающихся атаках
▫️Популярный плагин Gravity Forms для Wordpress подвержен уязвимости PHP object injection
▫️Из-за уязвимости API у E-commerce платформы компании Honda утекали данные клиентов, дилеров и внутренние документы
▫️Аналитики из компании Elliptic считают, что недавняя атака на криптовалютные кошельки Atomic Wallet связана с северокорейской группировки Lazarus
▫️Ради доступа к GPT-4 люди воруют плохо защищенные API-ключи
▫️В Chrome исправлена третья 0-day уязвимость в этом году
#news
securelist.ru
Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства
Эксперты "Лаборатории Касперского" обнаружили новую APT-атаку, нацеленную на устройства под управлением iOS. Мы называем ее "Операция Триангуляция" (Operation Triangulation).
👍4
Очередная подборка новостей для этичного хакера:
▫️ Опубликовано исследование о серьезной уязвимости в ПО для реестров доменных имен в таких зонах, как .ai, .ms и .td.
Уязвимость в обработчике XML-запросов позволяла перехватить контроль над целой доменной зоной и, например, менять записи для существующих доменных имен / создавать новые.
▫️ Из чего состоит Malware-as-a-Service: в новых публикациях эксперты «Лаборатории Касперского» описывают сервисы malware-as-a-service и анализируют вредоносное ПО для кражи криптовалют
▫️ Представлен релиз Kali Linux 2023.2 (Hyper-V & PipeWire)
▫️ ИБ-эксперт под ником Sh1ttyKids продемонстрировал способ выявления реальных IP-адресов серверов Tor
▫️ Критическая уязвимость в MOVEit Transfer наделала много шума
▫️ Хакеры выкладывают вредоносное ПО на GitHub, выдавая ее за эксплоиты: не открытие, но всегда надо проверять перед запуском
🌐 США колдуют с НЛО | Сисадминам придёт конец | Стивен Хокинг оказался прав: security-новости от главреда секлаб
#news
▫️ Опубликовано исследование о серьезной уязвимости в ПО для реестров доменных имен в таких зонах, как .ai, .ms и .td.
Уязвимость в обработчике XML-запросов позволяла перехватить контроль над целой доменной зоной и, например, менять записи для существующих доменных имен / создавать новые.
▫️ Из чего состоит Malware-as-a-Service: в новых публикациях эксперты «Лаборатории Касперского» описывают сервисы malware-as-a-service и анализируют вредоносное ПО для кражи криптовалют
▫️ Представлен релиз Kali Linux 2023.2 (Hyper-V & PipeWire)
▫️ ИБ-эксперт под ником Sh1ttyKids продемонстрировал способ выявления реальных IP-адресов серверов Tor
▫️ Критическая уязвимость в MOVEit Transfer наделала много шума
▫️ Хакеры выкладывают вредоносное ПО на GitHub, выдавая ее за эксплоиты: не открытие, но всегда надо проверять перед запуском
#news
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6
Опубликован OWASP Top 10 API Security Risks – 2023
📌 Вот как распределился топ-10 рисков безопасности API в 2023 году:
1️⃣Broken Object Level Authorization
2️⃣Broken Authentication
3️⃣Broken Object Property Level Authorization
4️⃣Unrestricted Resource Consumption
5️⃣Broken Function Level Authorization
6️⃣Unrestricted Access to Sensitive Business Flows
7️⃣Server Side Request Forgery
8️⃣Security Misconfiguration
9️⃣Improper Inventory Management
1️⃣0️⃣Unsafe Consumption of APIs
#security #bestpractices #news
📌 Вот как распределился топ-10 рисков безопасности API в 2023 году:
1️⃣Broken Object Level Authorization
2️⃣Broken Authentication
3️⃣Broken Object Property Level Authorization
4️⃣Unrestricted Resource Consumption
5️⃣Broken Function Level Authorization
6️⃣Unrestricted Access to Sensitive Business Flows
7️⃣Server Side Request Forgery
8️⃣Security Misconfiguration
9️⃣Improper Inventory Management
1️⃣0️⃣Unsafe Consumption of APIs
#security #bestpractices #news
owasp.org
OWASP Top 10 API Security Risks – 2023 - OWASP API Security Top 10
The Ten Most Critical API Security Risks
❤4⚡2
Очередная подборка новостей для этичного хакера:
▫️ 11 июля Microsoft выпустила очередной ежемесячный набор патчей для своих продуктов: всего закрыли 132 уязвимости, из них 9 критических.
4 проблемы активно эксплуатировались на момент выпуска патчей, включая одну в Internet Explorer. Еще один zero-day патча не имеет, для него предложено лишь временное решение. Подробный обзор уязвимостей читайте в блоге «Лаборатории Касперского».
▫️ Apple выпустила быстрый патч-заплатку для устройств под управлением iOS и iPadOS вне регулярного графика обновлений ПО. Он закрывает уязвимость в браузерном движке WebKit, которая приводит к выполнению произвольного кода и уже используется в реальных атаках.
▫️ WordPress-плагин AIOS, используемый более чем миллионом сайтов, хранит пароли пользователей в открытом виде🤦♂️
▫️ Доступна превью-версия калькулятора CVSS v4.0.
🌐 КНДР vs Amazon: кто победит? | Как отомстить боссу? | Роналду в панике: хакер раскрыл его тайну: security-новости от главреда секлаб.
#news
▫️ 11 июля Microsoft выпустила очередной ежемесячный набор патчей для своих продуктов: всего закрыли 132 уязвимости, из них 9 критических.
4 проблемы активно эксплуатировались на момент выпуска патчей, включая одну в Internet Explorer. Еще один zero-day патча не имеет, для него предложено лишь временное решение. Подробный обзор уязвимостей читайте в блоге «Лаборатории Касперского».
▫️ Apple выпустила быстрый патч-заплатку для устройств под управлением iOS и iPadOS вне регулярного графика обновлений ПО. Он закрывает уязвимость в браузерном движке WebKit, которая приводит к выполнению произвольного кода и уже используется в реальных атаках.
▫️ WordPress-плагин AIOS, используемый более чем миллионом сайтов, хранит пароли пользователей в открытом виде
▫️ Доступна превью-версия калькулятора CVSS v4.0.
#news
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3👍2
Очередная подборка новостей для этичного хакера:
▫️ Умер Кевин Митник — один из самых известных хакеров в истории.
▫️ Citrix закрыла три уязвимости в корпоративных решениях Netscaler ADC и Netscaler Gateway, одна из которых (CVE-2023-3519) — RCE без авторизации. Угроза актуальна в случае, если решение Netscaler ADC/Gateway работает в определенной конфигурации.
▫️ Эксперты «Лаборатории Касперского» подробно разбирают атаки с использованием CVE-2023-23397 в Microsoft Outlook
▫️ Критическая уязвимость в плагине WooCommerce Payments для Wordpress используется в масштабных кибератаках, хотя была закрыта еще в марте.
▫️ Apple закрывает еще одну 0-day уязвимость, связанную с «Операцией Триангуляция»
▫️ Атака Zenbleed раскрывает конфиденциальные данные на процессорах AMD Zen2
▫️ У Flipper Zero теперь есть собственный магазин приложений
📺 Кевин Митник: вечная память | Никакого Treads в Европе | Чат-бот ворует наши грёзы: security-новости от главреда секлаб.
#чтопроисходит #news
▫️ Умер Кевин Митник — один из самых известных хакеров в истории.
▫️ Citrix закрыла три уязвимости в корпоративных решениях Netscaler ADC и Netscaler Gateway, одна из которых (CVE-2023-3519) — RCE без авторизации. Угроза актуальна в случае, если решение Netscaler ADC/Gateway работает в определенной конфигурации.
▫️ Эксперты «Лаборатории Касперского» подробно разбирают атаки с использованием CVE-2023-23397 в Microsoft Outlook
▫️ Критическая уязвимость в плагине WooCommerce Payments для Wordpress используется в масштабных кибератаках, хотя была закрыта еще в марте.
▫️ Apple закрывает еще одну 0-day уязвимость, связанную с «Операцией Триангуляция»
▫️ Атака Zenbleed раскрывает конфиденциальные данные на процессорах AMD Zen2
▫️ У Flipper Zero теперь есть собственный магазин приложений
📺 Кевин Митник: вечная память | Никакого Treads в Европе | Чат-бот ворует наши грёзы: security-новости от главреда секлаб.
#чтопроисходит #news
👍2🙏2❤1
#чтопроисходит #news
Очередная подборка новостей для этичного хакера:
🔸 Исследователь из команды Google Information Security опубликовал подробности новой уязвимости в процессорах AMD поколения Zen 2.
🤷♂ Любопытно, что Тавис Орманди обнаруженил уязвимость Zenbleed с помощью фаззинга.
❕ На GitHub уже выложен работающий poc. При удачном стечении обстоятельств Zenbleed позволяет извлекать информацию, хранящуюся в регистрах процессора, надежно и быстро: до 30 килобайт в секунду на каждое ядро.
⚡MEGANews. Самые важные события в мире инфосека за июль:
1. Root-доступ к 900 тысячам маршрутизаторов MikroTik
2. У Flipper Zero появился магазин приложений
3. Хакеры атаковали «Хеликс»
4. На VirusTotal попали данные сотрудников спецслужб и крупных компаний
5. В стандарте TETRA нашли множество проблем
6. Илья Сачков приговорен к 14 годам тюрьмы
7. Google создает «DRM для интернета»
8. Сертификаты Let’s Encrypt перестанут работать в Android 7
9. У Microsoft украли важный криптографический ключ
10. WormGPT помогает устраивать фишинговые атаки
🔸 Более 50% устройств Citrix Gateway еще не исправлены и находятся под атаками злоумышленников
🔸 Отчет об эволюции таргетированных атак за второй квартал 2023 года от «Лаборатории Касперского».
🔸 Отчет об уязвимостях zero-day (проблемы, которые активно эксплуатируются на момент обнаружения) с данными за 2022 год от команды Google Threat Analysis Group
🔸 Критическая уязвимость (CVE-2023-30799, рейтинг CVSS 9,1 балла) закрыта в роутерах Mikrotik.
🌐 За обман — платит банк! | УРАЛ: новая долина для ЦОД | Дрель + Чип = русский Илон Маск: security-новости от секлаб.
Очередная подборка новостей для этичного хакера:
🔸 Исследователь из команды Google Information Security опубликовал подробности новой уязвимости в процессорах AMD поколения Zen 2.
🤷♂ Любопытно, что Тавис Орманди обнаруженил уязвимость Zenbleed с помощью фаззинга.
⚡MEGANews. Самые важные события в мире инфосека за июль:
1. Root-доступ к 900 тысячам маршрутизаторов MikroTik
2. У Flipper Zero появился магазин приложений
3. Хакеры атаковали «Хеликс»
4. На VirusTotal попали данные сотрудников спецслужб и крупных компаний
5. В стандарте TETRA нашли множество проблем
6. Илья Сачков приговорен к 14 годам тюрьмы
7. Google создает «DRM для интернета»
8. Сертификаты Let’s Encrypt перестанут работать в Android 7
9. У Microsoft украли важный криптографический ключ
10. WormGPT помогает устраивать фишинговые атаки
🔸 Более 50% устройств Citrix Gateway еще не исправлены и находятся под атаками злоумышленников
🔸 Отчет об эволюции таргетированных атак за второй квартал 2023 года от «Лаборатории Касперского».
🔸 Отчет об уязвимостях zero-day (проблемы, которые активно эксплуатируются на момент обнаружения) с данными за 2022 год от команды Google Threat Analysis Group
🔸 Критическая уязвимость (CVE-2023-30799, рейтинг CVSS 9,1 балла) закрыта в роутерах Mikrotik.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7