Рубрика «security» - 26

в 11:42, , рубрики: iOS, iphone, security, Блог компании ESET NOD32

Издания Wired и The Hacker News пестрят заголовками сабжа. Нынешний директор ФБР решил позабавить общественность, намекнув на примерную сумму, которая была выплачена хакерам за эксплойт для iPhone 5c. Напомним, что с его помощью был подобран код разблокировки смартфона террориста Сан-Бернардино. Этот код используется iOS для формирования ключа при шифровании данных на устройстве. Иными словами, даже если попытаться разблокировать устройство, не подобрав к нему код разблокировки, доступ к данным будет отсутствовать, поскольку они зашифрованы.

ФБР щедро вознаградила хакеров за эксплойт для iPhone - 1

В общем, сумма значительная, и даже больше чем Zerodium предлагала за удаленный root-эксплойт для iOS 9. Приблизительная стоимость оценивается в $1,3 млн. Прочих деталей этого нашумевшего кейса по прежнему немного. Ранее мы писали про первую публичную информацию по этому кейсу: компания Cellebrite не имела отношения к нему, как и предполагавшийся ранее метод NAND Mirroring для получения правильного passcode.

Читать полностью »

в 11:57, , рубрики: css, edge, EdgeHTML, feedback, Fido, html, javascript, Microsoft Edge, security, uwp, Блог компании Microsoft, браузеры, куда сообщать о багах в Edge

Сразу после конференции Build (трансляцию открытия мы делали на Хабре: день 1 и день 2) наши коллеги провели в Сан-Франциско еще одну конференцию, но более фокусную — про клиентские веб-технологии и новинки в браузере Microsoft Edge.


Looking back: One year of Microsoft Edge

В рамках конференции Microsoft Edge Web Summit 2016 инженеры из Edge-команды делились опытом разработки нового браузера, рассказывали о новых поддерживаемых стандартах и планах на будущее.

Так же в рамках конференции был анонсирован ряд инструментов, делающих развитие Microsoft Edge и веб-платформы в нем более прозрачной для сообщества:

Читать полностью »

в 15:25, , рубрики: apple, security, Блог компании ESET NOD32

Компания Apple прекращает поддержку своего фирменного плеера QuickTime для Windows. Владельцам QuickTime Apple рекомендует удалить его из системы, в противном случае пользователи могут быть подвержены компрометации через 0day уязвимости, которые уже не будут никогда закрыты. Совсем недавно две такие RCE-уязвимости были обнаружены в проигрывателе (ZDI-16-241, ZDI-16-242). Они позволяют атакующим удаленно исполнить код в системе жертвы.

Читать полностью »

в 5:32, , рубрики: security, Windows 10, Блог компании ESET NOD32, информационная безопасность

Речь про тот же Windows 10 Insider Preview Build 14316, который упоминался нами несколько раз в предыдущих постах, посвященных подсистеме Ubuntu Linux. В новом билде Windows 10 изменения не обошли и ядро. Microsoft добавила туда новый объект ядра под названием RegistryTransaction с соответствующими API-функциями работы с ним вроде [NtCommit/NtCreate/NtOpen/NtRollback]RegistryTransaction. Как не трудно догадаться, речь идет об атомарных операциях с данными реестра.

Microsoft добавила в Windows 10 очередную функцию защиты от эксплойтов - 1

Другим улучшением стало появление долгожданной функции под названием Win32k syscalls filtering на уровне ядра Windows. Так как она все еще находится в предварительной сборке Windows 10, о ней известно не так много. Основное ее предназначение заключается в том, что она позволит полностью закрыть sandbox для процессов соответствующих приложений, типа браузеров и снимет вопрос эксплуатации LPE-уязвимостей в win32k.sys для них. На сегодняшний день такие уязвимости являются основной возможностью получения эксплойтом максимальных прав SYSTEM при проникновении в систему через веб-браузер.

Читать полностью »

в 8:37, , рубрики: java, security, Блог компании ESET NOD32

Oracle выпустила обновление для Java, которое закрывает опасную уязвимость в ПО с идентификатором CVE-2016-0636. Обновление адресуется платформе Java Standart Edition (SE), при этом увеличивая номер версии до 8u77 (актуальная версия). Уязвимость актуальна только для плагинов Java в веб-браузерах и не затрагивает прочие выпуски ПО, например, используемые для запуска standalone приложений в Windows.

Oracle выпустила экстренное обновление для Java - 1

Читать полностью »

в 10:07, , рубрики: android, security, Блог компании ESET NOD32

Наши специалисты обнаружили новую вредоносную кампанию по распространению банковского трояна для Android. Троян специализируется на компрометации пользователей больших банков в Австралии, Новой Зеландии и Турции за счет кражи учетных данных аккаунтов двадцати мобильных банковских приложений. Он обнаруживается нашими антивирусными продуктами как Android/Spy.Agent.SI.

Банковский троян для Android маскируется под проигрыватель Flash и обходит аутентификацию 2FA - 1

В список банков, на компрометацию пользователей которых рассчитан троян, входят крупнейшие банки вышеупомянутых стран. Благодаря функции перехвата SMS-сообщений, вредоносная программа может обходить защитный механизм двухфакторной аутентификации. Само приложение трояна маскируется под проигрыватель Flash Player, причем использует для этого такой же значок.

Читать полностью »

в 9:39, , рубрики: security, WhatsApp, Блог компании ESET NOD32

После предъявления претензий Apple по поводу невозможности юридически легитимного обоснования разблокировки iOS без знания passcode, спецслужбы США и Британии взялись за WhatsApp. Аудитория этого мессенджера огромна, количество активных пользователей приближается уже к миллиарду. Несколько лет назад WhatsUp считался небезопасным мессенджером, который вообще не использовал шифрование.

Правоохранители взялись за WhatsApp - 1

Ситуация с шифрованием изменилась во второй половине 2014 г., когда авторы WhatsApp начали сотрудничать с известной компанией Open Whisper Systems, специализирующейся на разработке защищенного мессенджера Signal. Тогда WhatsApp получил надежное end-to-end шифрование. Т. е. такое шифрование, при котором данные при пересылке не хранятся в расшифрованном виде на сервере. Это существенно усложнило работу спецслужб, которые уже не смогли получать такой беспрепятственный доступ к переписке пользователей.

Читать полностью »

в 4:19, , рубрики: laravel, no password, password, security

Недавно я работал над проектом, где одной из болевых точек был пароль пользователя. Администратор добавлял пользователей в приложение, поэтому они не имеют пароля, а заставлять их придумывать пароль при первом после регистрации входе было крайне неудобно.

Итак, мы решили попробовать метод беспарольного входа. Если Вы никогда не имели возможности работать с этим, мы расскажем как это работает:

На странице входа в систему пользователь вводит свой email-адрес, на который получит ссылку на вход. Переход по ссылке подтверждает личность пользователя без необходимости ввода пароля, так как ссылка для каждого входа пользователя уникальная.

Начнем творить!

image
Читать полностью »

в 14:20, , рубрики: android, security, Блог компании ESET NOD32

Авторы Android продолжают делать шаги навстречу пользователям, которые заботятся о конфиденциальности своих данных и используют шифрование. Недавно мы писали про инициативу Google, согласно которой компания настоятельно рекомендует производителям смартфонов включать настройку шифрования данных на устройстве по умолчанию. Такая настройка относится к функции Full Disk Encryption (FDE), т. е. полного шифрования данных на устройстве, которое появилось в Android 5.

Android N упростит работу с шифрованием - 1

Вчера компания Google представила предварительную Developer Preview версию Android N, в которой авторы продемонстрировали механизм Direct Boot. Он ускоряет загрузку устройства с включенной функцией шифрования и не требует дополнительного ввода PIN-кода после перезагрузки устройства для первоначальной расшифровки данных на смартфоне. Текущие версии Android требуют от пользователя ввести PIN-код сразу после перезагрузки зашифрованного устройства, а потом сделать это еще раз для его разблокировки.

Читать полностью »

в 7:13, , рубрики: microsoft, security, информационная безопасность, реклама, системное администрирование

В минувшие дни Microsoft объявили о выпуске новых бюллетеней безопасности в числе которых содержится MS16-023. Задачей данного обновления безопасности является устранение критических уязвимостей в Internet Explorer позволяющих осуществлять исполнение произвольного кода.

Однако, в Microsoft решили, что вместе с критическими обновлениями безопасности своим пользователям так же можно установить и что-нибудь еще…
Читать полностью »

1...1020...252627...3040...42
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js