Для подписчиковOAuth — это открытый протокол, который упрощает и стандартизирует безопасную авторизацию в вебе, на мобильных устройствах и в настольных приложениях. Он позволяет регистрироваться без указания имени пользователя и пароля и часто применяется для входа с помощью Facebook, Google, LinkedIn, Twitter и т. д. Уязвимости в OAuth, учитывая их распространенность, заслуживают обсуждения.
Кибербитва The Standoff пройдет 12-17 ноября 2020 года, в режиме онлайн. В программе мероприятия: масштабные киберучения и онлайн-конференция по кибербезопасности.
Инженеры компании Oracle были вынуждены выпустить «патч для патча», так как обнаружили, что недавно выпущенное исправление для критической уязвимости в WebLogic можно легко обойти.
«СёрчИнформ» после недавнего релиза DCAP-решения FileAuditor выпустила DAM-систему — DataBase Monitor. Теперь у вендора есть практически полная линейка для защиты информации от инсайдеров. Лев Матвеев, председатель совета директоров «СёрчИнформ», уверен, что выстраивание своей экосистемы вокруг DLP обеспечит компании преимущество на рынке.
Специалисты координационного центра CERT (CERT/CC) запустили специального Twitter-бота, который будет «придумывать» случайные и максимально нейтральные имена уязвимостям. Это сделано для того, чтобы специалисты не пугали пользователей громкими названиями вроде Dirty Cow или Heartbleed.
У многих системных администраторов выдались крайне нервные дни: из-за ложных срабатываний Microsoft Defender ATP якобы обнаруживал на устройствах заражение Mimikatz и Cobalt Strike.
Специалисты Palo Alto Networks рассказывают, что примерно 1% всех припаркованных доменов используется хакерами для распространения малвари и в рамках фишинговых компаний.
Специалисты Google Project Zero рассказали о проблеме нулевого дня в ядре Windows. Сообщается, что данный баг может использоваться для повышения привилегий и побега из песочницы, и его уже применяют в целевых атаках. Патча пока нет.
Эксперты Microsoft сообщают, что иранские правительственные хакеры успешно взломали учетные записи электронной почты ряда высокопоставленных лиц и потенциальных участников Munich Security Conference и саммита Think 20.