В середине ноября 2015 года специалисты компании FoxGlove Security выявили опасный баг в широко распространенной библиотеке, из состава Apache Commons. Теперь компания SourceClear сообщает, что данная уязвимость затрагивает не одну библиотеку, а более 40.
Для подписчиковПо данным cvedetails.com, с 1999 года в ядре Linux найдено 1305 уязвимостей, из которых 68 — в 2015-м. Большинство из них не несут особых проблем, помечены как Local и Low, а некоторые можно вызвать только с привязкой к определенным приложениям или настройкам ОС. В принципе, цифры небольшие, но ядро — это не вся ОС. Уязвимости находят и в GNU Coreutils, Binutils, glibs и, конечно же, в пользовательских приложениях. Разберем самые интересные.
Специалисты компании Recorded Future сообщают: у хакерской группы Armada Collective, зарабатывающей на жизнь вымогательством, появились последователи. Точно известно, что группа DD4BC (DDoS «4» Bitcoin) тоже наживается на DDoS-атаках и требует выкуп за их прекращение. Однако DD4BC не единственные, кто понял всю перспективность данной тактики.
Компания «Доктор Веб» сообщает, что хакеры определенно перестали обходить вниманием операционные системы семейства Linux. Вирусные аналитики обнаружили троян Linux.Rekoobe.1, способный обмениваться с C&C сервером различными файлами, а также взаимодействовать с командным интерпретатором Linux на инфицированном устройстве.
Король умер, да здравствует король! Компания Adobe понимает, что Flash пора на покой. Технологии Flash скоро исполнится 20 лет, и уже давно ее нельзя назвать безопасной. От поддержки Flash одна за другой отказываются крупные компании, а Facebook еще минувшим летом призывала Adobe закрыть проект навсегда. 1 декабря 2015 года Adobe наконец сделала первый шаг в нужном направлении. Нет, пока Flash не «убили», но проект Adobe Flash Professional переименовали в Adobe Animate.
Для подписчиковВ сегодняшнем обзоре мы рассмотрим получение привилегий в OS X с установленным Parallels Desktop. Разберем уязвимости в системе Kaseya, которая помогает не только управлять парком компьютеров в компаниях, но и обеспечивать безопасность. При этом она стала средством, с помощью которого атакующий может выполнить свой код на всех подчиненных устройствах. А также рассмотрим уязвимость в популярном NAS производства Western Digital.
Сотрудники VPN-провайдера Perfect Privacy обнаружили серьезную уязвимость в протоколах VPN. Баг получил имя Port Fail. Эксплуатируя брешь, можно легко выявить реальные IP-адреса пользователей BitTorrent и VPN-сервисов.
Эксперты компании Sec Consult провели исследование, в ходе которого были изучены более 4000 устройств 70 разных производителей. В основном анализу подверглись различные Internet of Things (IoT) девайсы, в том числе маршрутизаторы, предназначенные для домашнего использования. В итоге специалисты Sec Consult сделали неожиданное открытие: устройства разных компаний используют одинаковые криптографические ключи и сертификаты.
Фонд Raspberry Pi Foundation анонсировал новую модель Raspberry Pi, и на этот раз, вместо улучшенных характеристик и увеличенного числа портов, и то и другое уменьшится. Но уменьшится и цена, она составит всего $5.