Рубрика «security» - 21

в 12:11, , рубрики: php, security, Блог компании Mail.Ru Group, информационная безопасность

image

Big Five Part 3 by CrazyAsian1

Привет. Меня зовут Саша Баранник. В Mail.Ru Group я руковожу отделом веб-разработки, состоящим из 15 сотрудников. Мы научились создавать сайты для десятков миллионов пользователей и спокойно справляемся с несколькими миллионами дневной аудитории. Сам я занимаюсь веб-разработкой около 20 лет, и последние 15 лет по работе программировать приходится преимущественно на PHP. Хотя возможности языка и подход к разработке за это время сильно изменились, понимание основных уязвимостей и умение от них защититься остаются ключевыми навыками любого разработчика.

В интернете можно найти много статей и руководств по безопасности. Эта книга показалась мне достаточно подробной, при этом лаконичной и понятной. Надеюсь, она поможет вам узнать что-то новое и сделать свои сайты надёжнее и безопаснее.

P. S. Книга длинная, поэтому перевод будет выкладываться несколькими статьями. Итак, приступим…
Читать полностью »

в 20:59, , рубрики: security, Yahoo, Блог компании ESET NOD32, информационная безопасность

Компания Yahoo сообщила в своем блоге о масштабной компрометации учетных данных пользователей своих сервисов. Результаты расследования инцидента показали, что компрометация имела место в конце 2014 г. и ее результатом стала утечка 500 млн. аккаунтов. Особенность этой ситуации еще и в том, что Yahoo заверяет о компрометации своих сервисов со стороны state-sponsored кибергруппировки.

Учетные записи пользователей Yahoo оказались скомпрометированы - 1

We have confirmed that a copy of certain user account information was stolen from the company’s network in late 2014 by what we believe is a state-sponsored actor. The account information may have included names, email addresses, telephone numbers, dates of birth, hashed passwords (the vast majority with bcrypt) and, in some cases, encrypted or unencrypted security questions and answers.

Читать полностью »

в 11:37, , рубрики: Firefox, security, Tor, Блог компании ESET NOD32, информационная безопасность

Пользователям веб-браузера Tor рекомендуют обновить его как можно скорее - 1Пользователям веб-браузера Tor рекомендуют обновить его как можно скорее до актуальной версии 6.0.5. Новая версия веб-браузера включает в себя исправление серьезной уязвимости Firefox с внутренним идентификатором ESR-45, которая позволяет атакующим, получившим в распоряжение действительный или фальшивый цифровой сертификат TLS для веб-сайта addons.mozilla.org, удаленно устанавливать вредоносное ПО через доставку вредоносного обновления для расширения NoScript.

This release features important security updates to Firefox including the recently disclosed extension update vulnerability. All users should upgrade as soon as possible.

Читать полностью »

в 10:50, , рубрики: iOS, security, Блог компании ESET NOD32, информационная безопасность

Apple выпустила iOS 10.0.1 - 1Не все пользователи iOS 10, которые обновили недавно свои устройства iDevice, заметили, что они обновились сразу до версии 10.0.1. Apple довольно тихо решила выпустить обновление для iOS 10 в тот же самый день, когда была выпущена версия 10.0.0. Существует несколько причин, по которым Apple вынуждена была выпустить обновление прошивки. Первая заключается в том, что некоторые пользователи iOS 10 столкнулись с ошибками при обновлении до новой ОС через OTA на своих устройствах. Другая причина менее заметная, но не менее важная. В iOS 10.0.1 Apple во второй раз закрыла ставшую известной уязвимость CVE-2016-4655, которая была «исправлена» в iOS 9.3.5 и использовалась злоумышленниками в сложной направленной атаке Trident для удаленного jailbreak. В частности, уязвимость используется для обхода Kernel ASLR в iOS и делает возможным эксплуатацию другой LPE уязвимости для получения прав root.

Читать полностью »

в 15:10, , рубрики: patch tuesday, security, Блог компании ESET NOD32, информационная безопасность

Microsoft выпустила обновления для своих продуктов - 1Microsoft обновила свои продукты, выпустив 14 обновлений, 7 из которых получили статус Critical. Обновления адресуются веб-браузерам Internet Explorer и Edge, различным компонентам Windows, Office, а также Exchange Server. Закрытая обновлением MS16-104 уязвимость CVE-2016-3351 типа Information Disclosure в веб-браузере Internet Explorer 9-11 используется злоумышленниками в направленных атаках. Одно из обновлений MS16-111 исправляет Local Privilege Escalation (LPE) уязвимости в загрузчике Windows (Winload.efi), а также в файлах ядра ntoskrnl и ntdll. Уязвимости позволяют атакующему получить максимальные права SYSTEM в системе.

Читать полностью »

в 11:15, , рубрики: backdoor, cloud storage, DropBox, mac os x, MacOS, Malware, osx, security, информационная безопасность, Разработка под OS X

Если у вас установлен Dropbox, загляните в Системные настройкиЗащита и безопасностьКонфиденциальность.

Dropbox на macOS использует приёмы malware, чтобы получить привилегии, которые ему не нужны - 1

TL;DR: Dropbox

  • Показывает фальшивое системное окно macOS, чтобы получить пароль пользователя
  • Добавляет себя в привилегированные процессы без обязательного для всех разрешения
  • Ставит в систему backdoor, чтобы восстановить разрешения, если их явно отберут
  • Эти разрешения толком не использует <irony/> Читать полностью »

в 21:48, , рубрики: apple, iOS, Privacy, security, Блог компании ESET NOD32, информационная безопасность

Настройки безопасности iOS 10, на которые следует обратить внимание - 1Сегодня Apple выпустила iOS 10. Пользователи iPhone 5+, iPad mini 2+, iPad 4, iPad Air 1/2, iPad Pro, а так же iPod touch 6 уже могут установить обновление на свои устройства. О функциях этой новой версии мобильной ОС от Apple уже достаточно написано в различных обзорах, так что не будет повторять эту информацию еще раз. Вместо этого, остановимся более детально на ее настройках конфиденциальности и безопасности. Отметим, что в iOS 10 Apple переключилась на более безопасный механизм доставки обновлений — протокол HTTPS. Этой новой security функцией Apple исправляет уязвимость с идентификатором CVE-2016-4741, которая позволяла атакующим удаленно блокировать доставку обновлений устройству с iOS. Apple также исправила проблему с OTA-обновлением iOS 10 для устройств, на которую уже успели пожаловаться некоторые владельцы устройств iDevice.

Читать полностью »

в 11:35, , рубрики: arm security extenions, OP-TEE, security, security extensions, SMC, smm, TEE, TrustZone, информационная безопасность, программирование микроконтроллеров, системное программирование

О чем эта статья

На Хабре уже несколько раз упоминали о SMM — режиме процессора x86/64 который имеет больше привилегий чем даже режим гипервизора. Нечто подобное есть и в процессорах архитектуры ARMv7 и ARMv8. Вычислительные ядра этих архитектур могут иметь опциональное расширение под названием ARM Security Extensions, которое позволит разделить исполняемый код, память и периферию на два домена — доверенный и недоверенный. Официальное маркетинговое название этой технологии — ARM TrustZone. Но технари чаще предпочитают говорить о security extensions.

Это будет обзорная статья, поэтому я не буду вдаваться в глухие технические дебри. Тем не менее технические детали будут присутствовать. Первая часть статьи будет посвящена вопросу зачем это всё вообще нужно, а вторая — как это работает в общих чертах. Если общество заинтересуется — следующая статья будет содержать больше технических деталей. Кому интересно — добро пожаловать под кат.

Читать полностью »

в 13:19, , рубрики: android, security, Блог компании ESET NOD32, информационная безопасность

Новые функции безопасности Android 7 - 1 Google уже выпустила Android 7. В ближайшее время владельцы различных устройств под управлением Android получат обновление прошивки. Одними из первых новую версию получат пользователи фирменных устройств Google Nexus 6P, 5X, 6, 9, Google Pixel C, Nexus Player, Android One. Так как Google распространяет обновления Android волнами, не все пользователи этих устройств смогут оперативно получить обновление. Android 7 также смогут получить флагманские модели устройств таких вендоров как Samsung (Galaxy S6 и S7), HTC (HTC 10, One A9 и One M9), Sony (Xperia Z3+, Xperia Z4 Tablet, Xperia Z5, Xperia X), LG (V20), Huawei. В новой версии Android появился ряд новых серьезных функций безопасности (security features), о некоторых из которых мы писали в предыдущих постах. Первый был посвящен функции Direct Boot, которая упростит владельцам устройств работу с шифрованием. Второй содержал информацию об улучшениях безопасности ядра Linux, на котором основана Android.

Читать полностью »

в 10:34, , рубрики: arp poison, intercepter-ng, mitm, protocols, security, spoofing, SSL, информационная безопасность

После 10 лет разработки (именно столько стукнуло проекту) наконец-то индекс версии Intercepter-NG дошел до 1.0. По сложившейся традиции выход обновлений под Windows происходит раз в году, и юбилейный релиз действительно удался. Хочется поблагодарить всех людей, которые за все эти годы оказывали помощь в тестировании, давали обстоятельный фидбек и идейно вдохновляли. Начнем обзор с мелочей и в конце рассмотрим наиболее вкусную фичу Intercepter-NG 1.0.

image


Читать полностью »

1...10...202122...3040...42
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js