Внимание, обнаружена новая уязвимость на Wordpress

(adsbygoogle = window.adsbygoogle || []).push({}); Доброго времени суток, господа!
Обнаружена новая уязвимость в самой системе Wordpress. Суть заключается в том, что загружается в систему вредоносный код и автоматически удаляет важные файлы. Самое главное, что эта уязвимость существует на всех версиях Wordpress.


Также добавилась такая ерунда, что если ставишь пользователям права администратора, то автоматически они могут редактировать и управлять изображениями и смогут сами удалять любой код из важных файлов, а также удалять системные файлы. Это очень плохо влияет в дальнейшем на работоспособность и системы и в конечном итоге гарантированы сбои.
При нормальной работе, редактировать и управлять изображениями, а также изменять код в важных системных файлах могут лишь администраторы.
По словам экспертов даже достаточно иметь уровень User, чтобы уже ощутить уязвимость в системе.


Руководство Wordpress пока вообще никак не ответило… это странно. На чаще всего такую уязвимость создают различного рода плагины, дополнения.
Будьте очень внимательны при установки различных плагинов и дополнений. Обязательно читайте все нюансы, и все комплектующие которые входят в установку.
Наблюдайте за работой системы, потому как от всего этого зависит дальнейшая судьба Ваших проектов.

Снова утечка информации, кто виноват?

(adsbygoogle = window.adsbygoogle || []).push({}); Доброго времени суток, господа!
Снова, как оказалось, нашли утечку информации. В этот раз данные трех тысяч приложений просто утекли.


Причина — неверная настройка и синхронизация с системой Firebase.
Компания Appthority сделала проверка более двух миллионов приложений и из них нашла приложения, данные которых утекли.
Представьте себе на минуточку, ориентировочно 113 гб информации просто напросто утекло.
А из этой информации личные данные, платежные данные, сохраненные доступы и много другого чего. Это случилось якобы, из-за того, что неверно настроили базы в платформе Firebase. Самое интересное, что Firebase продвигает Google как полезный инструмент для веб приложений, их обслуживания.


Вообщем была серьезная проверка приложений на определенные запросы и ответы серверов. Много данных утекло. На самом деле, если посмотреть динамику 2016-го по 2018-й год, то стало достаточно много утечек.
Специалисты уведомили Google об утечке.
Из анализа стало известно, что двадцать тысяч приложений имеют потенциальную уязвимость.


Нам же обычным пользователям нужно минимум оставлять своих данных, а то вечно в каких-то программах они теряются, или кто-то продает их третьим лицам, или случается утечка.
Поэтому будем умнее, чем большие компании. Будем просто использовать недостоверную информацию.
Будем хитрее!

В Drupal обнаружена критическая уязвимость

(adsbygoogle = window.adsbygoogle || []).push({}); В коде системы управления контентом Drupal обнаружена критическая уязвимость – SA-CORE-2018-004. Об этом сообщается на официальном сайте компании.

Уязвимость позволяет хакерам удалённо выполнять код на сайте на базе Drupal через «несколько векторов атаки». В компании рекомендуют обновить ПО до последних версий Drupal 7 или 8. Атаки с использованием этой уязвимости пока не обнаружены, но обновиться нужно как можно быстрее.

Drupal опубликовал обновлённые версии ПО на своём сайте. Разработчики рекомендуют следующие решения:
  • При использовании версии 7.x, нужно установить Drupal59.
  • При использовании версии 8.5.x, нужно перейти на Drupal5.3.
  • При использовании 8.4.x, нужно обновиться до Drupal4.8.

Если возможность установить новую версию ПО отсутствует, то рекомендуется применить следующие патчи до полного обновления:

Однако все эти решения будут работать только в том случае, если было проведено обновление после сообщения о ранее выявленной уязвимости – SA-CORE-2018-002.

Сайты, которые не обновили ПО до 11 апреля 2018, могут быть скомпрометированными. Это та дата, когда стало известно о попытках автоматических атак. Предполагается, что эти атаки могли осуществляться и ранее.

Опубликован инструмент для поиска уязвимостей в Android-приложениях

(adsbygoogle = window.adsbygoogle || []).push({}); С помощью modjoda исследователи безопасности или разработчики смогут тестировать приложения на наличие уязвимости Java-десериализации и создать Proof-of-Concept эксплойт. Инструмент основан на ysoserial, но нацелен на платформу Android.

Уязвимость

Уязвимость в Java-десериализации — давно известная и изученная проблема. С помощью этой бреши можно выполнить код внутри приложения. На платформе Android эта проблема выражена более ярко из-за особых алгоритмов обмена данными. Между приложениями отправляются «сообщения» — intents.

Если приложение получает такое «сообщение» и имеет доступ к его данным, а также хотя бы один Java-класс, загруженный с помощью десериализации, то такое приложение уязвимо.

Использование modjoda

В репозитории modjoda находятся два приложения: атакующее, которое отправляет intent с вредоносными данными, и уязвимое — для демонстрации работоспособности инструмента.

Для тестирования приложения необходимо выполнить несколько шагов:
  1. Скомпилировать в Android Studio папку с атакующим приложением.
  2. Установить полученный APK-файл на Android-устройство.
  3. Убедиться, что на устройстве установлено тестируемое приложение.
  4. Запустить тестируемое приложение.
  5. Запустить атакующее приложение.
  6. В атакующем приложении ввести название intent и нажать кнопку send.
Все полученные полезные данные появятся в атакующем приложении. Если удастся выполнить сторонний код в тестируемом приложении, оно отправит атакующему intent, и данные об этом появятся на экране.

В мессенджере Skype обнаружена очень опасная уязвимость

(adsbygoogle = window.adsbygoogle || []).push({});
Уязвимость позволяет хакерам получить неограниченный доступ к компьютеру своей жертвы

Эксперт по безопасности Стефан Кантака заявил о том, обнаружил опасную уязвимость в популярном мессенджере Skype.
Отыскал он ее еще в сентябре 2017 года и сразу же написал об этом в Microsoft, которой принадлежат права на Skype.

Выявленная уязвимость позволяет злоумышленникам внедрять вредоносный код в виде скриптов прямо в операционную систему любого пользователя. Он, в свою очередь, позволяет хакерам получить полный доступ к компьютеру своей жертвы с правами системного уровня, то есть абсолютно неограниченными.

По этой причине злоумышленники могут удалять файлы, показывать рекламу, воровать личные данные и выполнять множество других действий.

В ответ на информацию эксперта из Microsoft пришло письмо о том, что исправление критической дыры в Skype возможно только при полном написании всего исходного кода месседжера заново, на что нужно очень много времени.

Украсть трафик чужого сайта через «Яндекс.Вебмастер»

(adsbygoogle = window.adsbygoogle || []).push({});
С доступом к настройкам сайта на сервисе можно сманить весь его трафик на сайт-двойник.

Не так давно на «Хабрахабр» появилась статья, раскрывающая уязвимость сервиса «Яндекс.Вебмастер». С доступом к сервису как утверждает автор, можно сменить главное зеркало сайта на дубликат, на который в итоге пойдет весь трафик. Пока контент на зеркалах совпадает, размножить зеркала нельзя даже вручную, поэтому техподдержка «Яндекс» разводит руками.

Уязвимость яндекс

Предложения

Уведомлений на сервисе нет которое могло уведомить владельца сайта о смене главного зеркала, поэтому вмешательство может остаться незамеченным до того момента, как начнет падать трафик или вообще не будет. Автор статьи предложил несколько идей, чтобы закрыть уязвимость:

  • Давать преимущество старому зеркалу перед новым;
  • Присылать на почту письмо для подтверждения смены основного зеркала;
  • Уведомлять владельца сайта о смене зеркала по СМС.
Защита
Также предлагает проверять раздел «Пользователи, управляющие сайтом» что бы не было никого лишнего и просит распространить сообщение как можно шире, поскольку уязвимость еще активна.

Ответ «Яндекс»

Через Вебмастер, поиск или любой другой поисковый сервис Яндекса нельзя ни получить, ни передать права на домен или хостинг. То есть «угнать» сайт нельзя. Человек, у которого есть доступ к сайту через Вебмастер, может повлиять на его отображение в результатах поиска, так как это основная задача, которую решают через этот сервис. Поэтому важно следить за тем, кому и для чего выдаются доступы к нему. Но с доступом к сайту или его домену Вебмастер никак не связан.

По умолчанию считать основным всегда наиболее старый сайт (домен), по нашему опыту, некорректно. Часто владельцы хотят поменять домен на другой, поэтому мы учитываем при переезде не только этот фактор, но и множество других. Вернуть старое зеркало и расклеить сайты можно. Как – служба поддержки всегда рассказывает, это также есть в нашей Помощи.

Внимание! Обнаружена масштабная уязвимость процессоров

(adsbygoogle = window.adsbygoogle || []).push({}); Проблемы безопасности были обнаружены независимыми группами исследователей еще полгода назад, однако детали уязвимости были обнародованы только 4 января 2018 года.

Стало известно, что все процессоры, выпущенные компанией Intel за последнее десятилетие, имеют критическую уязвимость. Позднее было установлено, что уязвимость имеют процессоры AMD, а так же архитектуры, на которых работают не только Windows, Linux и macOS, но смартфоны в том числе. Обнаруженные проблемы безопаности особенно масштабны, поскольку ошибка содержится не в программном обеспечении, а в самих процессорах.

Meltdown позволяет разрушить изоляцию между пользовательскими приложениями и операционной системой, что позволяет программе-злоумышленнику получить несанкционированный доступ к памяти ядра и прочитать закрытые данные. Ей подвержены процессоры Intel (выпускаемые с 1995 года) и ARM64 (Cortex-A15/A57/A72/A75)

Spectre («Призрак») позволяет вредоносному считывать данные, к которым он не должен быть доступ. Этой атаке подвержены процессоры Intel, AMD (только при включенном eBPF в ядре) и ARM64 (Cortex-R7/R8, Cortex-A8/A9/A15/A17/A57/A72/A73/A75).

Уязвимость также позволяет получить доступ к чужой памяти в системах паравиртуализации и контейнерной изоляции (в том числе Docker, LXC, OpenVZ). Например, пользователь одной виртуальной машины может получить содержимое памяти хост-системы и других виртуальных машин.

Обновление для защиты от Meltdown уже выпущено для RHEL, CentOS и Fedora, Ubuntu (кроме некоторых дистрибутивов) и ожидается для Debian.

Так же, обратите внимание, что одним из инструментов совершения атаки может стать web-браузер (к примеру, через выполнение JavaScript-кода). Разработчики Google Chrome работают над интеграцией защиты прямо в браузер. Исправление будет доступно в релизе Chrome, назначенном на 23 января. Компания Mozilla внесла в Firеfox 57 временные исправления, затрудняющие атаку, ограничив точность работы таймера (performance.now) до 20µs и отключив SharedArrayBuffer.

Несколько дней назад пользователи начали сообщать, что на системах с некоторыми чипами AMD операционная система перестаёт загружаться после получения обновления KB4056892 для Windows. Сегодня Microsoft подтвердила, что проблема существует и приостановила выдачу обновлений для компьютеров с такими процессорами.

После применения обновления загрузка доходит только до логотипа Windows и не продолжается дальше. Примечательно, что контрольная точка не создаётся, поэтому восстановить систему к рабочему состоянию, которое было до установки обновления, не получится. Некоторые пользователи говорят, что переустановка Windows не решает вопрос.

Сообщается, что Microsoft совместно с AMD уже работают над решением проблемы. Точные сроки возобновления распространения обновлений неизвестны.

Пока что мы рекомендуем всем, кто пользуется Windows на машинах с AMD, временно отключить автоматическое применение обновлений. Если вы уже обновились и ОС не загружается, Microsoft рекомендует обратиться к этим материалам:

Troubleshoot blue screen errors in Windows 10.
Resolving Blue Screen errors in Windows 8.1.
Resolving stop (blue screen) errors in Windows 7.
Напомним, что ранее в начале этого года в процессорах Intel были найдены критические уязвимости, позволяющие любому приложению получать доступ к памяти ядра (их назвали Meltdown и Spectre). Далее выяснилось, что чипы от AMD также содержат ошибки в безопасности, однако в меньшей степени (только Spectre).

Космические лучи как причина зависания телефона

(adsbygoogle = window.adsbygoogle || []).push({}); Когда ваш мобильный ловит глюки и виснет, не стоит сразу грешить на производителей. Исследователи из Университета Вандербильта, выяснили, что причиной этому могут служить космические лучи.

Все знают, что в космосе большое количество всевозможной материи, а также различных полей, которые образуются не только вследствие природных процессов. Все виды излучений, независимо от происхождения, пагубно отражаются на производительности всех электронных приборов.

В космосе при любой звездной активности появляется особый вид материи – космические лучи, которые в своем составе имеют электромагнитное излучение. Когда эти лучи приближаются к планете, происходит определенное воздействие на электронику.Наука: Космические лучи как причина зависания телефона

Исследователями доказано, что кроме электромагнитного излучения, гаджетам угрожают различные высокоактивные частицы, иначе как космическая радиация. Это происходит, когда космические лучи соприкасаются с плотными слоями атмосферы и делятся на частицы, содержащие в себе и электрический заряд.

Возможно, многие осведомлены, как работают все ячейки памяти, хранящее данные о деятельности электроники. В отдельных ячейках меняется электрический заряд. То есть положение «0» значит, заряда нет, а «1» — он присутствует. Невероятно, но такая простая система должна иметь помехозащищенность. Только из наблюдений видно, что космические частицы могут менять положение ячеек памяти, и способны отразиться на деятельность электрических цепей. А это уже значительная угроза.Наука: Космические лучи как причина зависания телефона

Были случаи, когда из-за космических лучей происходили сбои. Впервые это произошло в Бельгии в 2003 году, с прибором для голосования. Тогда в данных было выявлено где-то 4000 неправильных голосов. Второй раз явление было замечено в 2008 году. Из-за активности космических лучей случился сбой в работе автопилота воздушного судна AirBus A330. Тогда пострадало 119 граждан.

По мнению специалистов, влияние космоса постепенно растет и в будущем это приведет к плачевным последствиям. Может быть, это связано и с самим ростом, а также многофункциональностью электроники. Поправить положение можно, если мобильным устройствам создать высокую помехоустойчивость.
Читать дальше

Неисправленная уязвимость в Magento позволяет взламывать магазины через Vimeo-видео

(adsbygoogle = window.adsbygoogle || []).push({}); Специалисты компании DefenseCode раскрыли информацию об уязвимости в популярной e-commerce платформе Magento, которую им удалось обнаружить еще в ноябре 2016 года. Хотя исследователи немедленно сообщили о проблеме через Bugcrowd-трекер компании, патч до сих пор не был представлен, а разработчики Magento некоторое время назад перестали отвечать на вопросы и не сообщают о статусе исправления.

DefenseCode сообщает, что баг связан с функцией, позволяющей пользователям добавлять Vimeo-видео на страницы продуктов. После добавления такого ролика на сайт, Magento автоматически запрашивает превью-изображение для видео, используя для этого POST-запрос. Исследователи пишут, что POST можно заменить на GET, что позволит осуществить CSRF-атаку, загрузив на сайт произвольный файл. И хотя Magento не допустит использования некорректных файлов изображений, файл все-таки будет сохранен на сервере для проверки.

Интернет: Неисправленная уязвимость в Magento позволяет взламывать магазины через Vimeo-видео
После этого выяснить местоположение файла не составит труда, и атакующий сможет загрузить на сервер вредоносный PHP-скрипт. Чтобы добиться выполнения произвольного кода на стороне сервера, в ту же директорию нужно будет поместить файл .htaccess. Для реализации атаки злоумышленнику нужно будет использовать приемы социальной инженерии на одном из пользователей магазина, который имеет доступ к панели управления. Вне зависимости от прав и уровня доступа жертвы, посещение специально созданной вредоносной веб-страницы станет триггером для CSRF-атаки.

Исследователи предупреждают, что такая атака может привести к полной компрометации магазина: злоумышленники получат полный доступ к конфиденциальным пользовательским данным, но при этом им не понадобится полноценный административный доступ, достаточно будет скомпрометировать сотрудника магазина с низкими привилегиями. Уязвимость по-прежнему не исправлена. Последнее обновление для Magento было представлено в феврале 2017 года, тогда разработчики устранили опасную RCE-уязвимость.
Читать дальше

Найден способ бесплатно ездить на такси Uber

(adsbygoogle = window.adsbygoogle || []).push({});

Эксперт по кибербезопасности Ананд Пракаш нашел способ бесплатно ездить на такси в сервисе Uber, пишет TechCrunch. А другие специалисты выяснили, что компания годами обманывала правительства разных стран, предоставляя ложную информацию о своей работе — об этом рассказало издание The New York Times

На официальном сайте сервиса такси код способа оплаты кодируется определенной последовательностью символов. В августе 2016 года Пракаш установил, что если изменить этот код на любые другие символы, деньги за поездку не спишутся. Таким образом эксперт по кибербезопасности получил бесплатные поездки на такси Uber по Индии и США.

Плохая новость для пользователей: Пракаш передал описание бага специалистам поддержки Uber. В рамках запущенной программы вознаграждений для хакеров он получил 5 тыс. долларов, а уязвимость закрыли в тот же день. Представитель Uber подтвердил наличие бага и факт выплаты вознаграждения.
Читать дальше

В WordPress исправлены три опасные уязвимости

(adsbygoogle = window.adsbygoogle || []).push({});
Команда разработчиков WordPress, популярной системы управления сайтами (Content Management System, CMS), сообщила о выпуске обновления 4.7.2 и устранении трёх критических уязвимостей в коде платформы.
Первый баг позволял злоумышленникам получать доступ к компонентам пользовательского интерфейса CMS и был связан с функцией Press This, используемой для публикации постов. Вторая проблема была связана с классом WP_Query, используемым для получения доступа к переменным и функциям в ядре WordPress. Суть её заключалась в том, что при передаче «небезопасных» данных система становилась уязвимой для внедрения SQL-кода. Последняя брешь позволяла киберпреступникам использовать CMS для проведения атак типа XSS (Cross-Site Scripting — «межсайтовый скриптинг»).

Обновление безопасности системы вышло всего спустя две недели после выпуска патча под номером 4.7.1, исправившего восемь уязвимостей, которые могли позволить злоумышленнику осуществить удалённую атаку, включая баги, связанные с межсайтовым скриптингом, удалённым выполнением кода в PHPMailer и межсайтовой подделкой запросов.
WordPress 4.7.2 можно загрузить вручную или автоматически через панель управления системы. Также обновление автоматически устанавливается на сайты, поддерживающие такую функцию.
Читать дальше