Для подписчиковСлучайным образом, копая очередной BugBounty, я натолкнулся на цепочку уязвимостей в достаточно популярном почтовом клиенте от IT-гиганта Mail.Ru. Эксплуатация уязвимостей из этой цепочки не требовала на устройстве особых прав и могла привести к полной компрометации содержимого почтового ящика жертвы или даже содержимого SD-карты. В статье я опишу методы, с помощью которых были найдены эти уязвимости, вспомогательные тулзы и финальный вектор с демонстрацией на видео.
Сразу несколько исследователей сообщают, что набор эксплоитов Angler, популярнейший инструмент среди киберпреступников, по всей видимости, свернул свою деятельность. Операторы серьезных вредоносных кампаний массово переходят на эксплоит киты Neutrino, RIG и Sundown.
Акция «Бандеролька Гаджетов» позволяет доставлять гаджеты из США по низким ценам. Мы решили разобраться, выгодно ли заказывать часы и фитнес-трекеры из Америки или же проще и дешевле купить в российских интернет-магазинах.
Разработчики сервиса Let’s Encrypt, предоставляющего бесплатные цифровые сертификаты для шифрования трафика по HTTPS всем и бесплатно, допустили досадную ошибку в ходе конфигурации почтовой рассылки. В результате почтовые ящики части пользователей стали известны другим адресатам.
Начало недели ознаменовалось еще одной крупной утечкой данных. Череду масштабных сливов информации продолжает популярный в начале 2000-х и недавно прекративший свою работу файлообменник iMesh. На торговой площадке The Real Deal в даркнете выставлены на продажу данные о 51 млн аккаунтов по цене 0,5 биткоина (порядка $335).
Федеральное управление авиации США (FAA) выпустило официальное предупреждение, призвав граждан не удивляться перебоям в работе GPS, которые могут возникнуть в ближайшие дни. Судя по всему, американские военные проводят испытания некоего прибора или приборов, которые способны «глушить» GPS-сигналы. В зоне испытаний оказалось почти все западное побережье, во главе с одной из баз военно-морского флота США в пустыне Мохаве.
Специалисты компании Imperva обнаружили ботнет, который в течение нескольких месяцев занимается автоматическим поиском уязвимых сайтов, а затем взламывает их и размещает там оптимизаторский спам — ссылки, призванные улучшить позиции заказчиков атаки в выдаче поисковых систем.
Корпорация Mozilla объявила о создании фонда Secure Open Source (SOS) . Его цель — финансирование профессионального аудита безопасности программного обеспечения с открытыми исходными кодами и устранение обнаруженных уязвимостей. На решение этой задачи Mozilla выделила грант величиной 500 тысяч долларов.
Программисты давно подозревали, что Visual Studio C++ добавляет в компилируемые программы вызовы функций, которые собирают данные телеметрии для Microsoft. На этот раз разработчики Visual Studio объяснили, что это за вызовы, зачем они нужны, что с ними делать, и когда же этому придёт конец.