кстати, пока я отсутствовал, там вышел апдейт Chrome, и, судя по комментариям, с него лучше съезжать тем, кто им активно пользуется. Гугл выкатила в апдейте рекламную платформу с ироническим названием Privacy Sandbox, которая будет следить за всеми страницами, которые посещают пользователи, и генерить список рекламных тем, и передавать их страницам, которые посещают пользователи.
https://privacysandbox.com/news/privacy-sandbox-for-the-web-reaches-general-availability
https://www.bleepingcomputer.com/news/google/google-rolls-out-privacy-sandbox-to-use-chrome-browsing-history-for-ads/
https://privacysandbox.com/news/privacy-sandbox-for-the-web-reaches-general-availability
https://www.bleepingcomputer.com/news/google/google-rolls-out-privacy-sandbox-to-use-chrome-browsing-history-for-ads/
Privacy Sandbox
Privacy Sandbox for the Web reaches general availability
The Privacy Sandbox for the Web has reached "general availability" on Chrome for relevance and measurement APIs
💩107🌚8😁6👍5❤3
Oh no!
CVE-2023-4863!
WebP!
Google Chrome, Microsoft Edge, Mozilla Firefox, Apple Safari!
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html
https://www.mozilla.org/en-US/security/advisories/mfsa2023-40/#CVE-2023-4863
и тд.
CVE-2023-4863!
WebP!
Google Chrome, Microsoft Edge, Mozilla Firefox, Apple Safari!
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html
https://www.mozilla.org/en-US/security/advisories/mfsa2023-40/#CVE-2023-4863
и тд.
Chrome Releases
Stable Channel Update for Desktop
The Stable and Extended stable channels has been updated to 116.0.5845.187 for Mac and Linux and 116.0.5845.187/.188 for Windows, which will...
😱37🍾7👍2🔥1😁1
Большой отчет Microsoft о том, какие проблемы привели к взлому китайскими хакерами большого количества правительственных имейлов. Если я все правильно понял, то вкрации ситуация такая:
внутренняя система Microsoft, которая отвечала за подписывание токенов, упала, а баг в генераторе дампов привел к. тому, что в дамп попал секретный ключ. Вторичная система проверки дампов не смогла определить наличие чувствительных данных в дампе, и перенесла его в корпоративную сеть из изолированной. параллельно китайские хакеры скомпроментировали учетку разработчика Microsoft, и получили доступ к дампу, в котором они и обнаружили ключ для подписывания токенов. Более того, они смогли также проэксплуатировать отдельный баг, чтобы получить возможность подписи корпоративных токенов. Огонь просто огонь.
Жду от конспирологов теории о том, как китайское правительство заставило сотрудников Microsoft допустить такую цепочку багов для того, чтобы получить доступ к данным правительства США.
https://msrc.microsoft.com/blog/2023/09/results-of-major-technical-investigations-for-storm-0558-key-acquisition/
внутренняя система Microsoft, которая отвечала за подписывание токенов, упала, а баг в генераторе дампов привел к. тому, что в дамп попал секретный ключ. Вторичная система проверки дампов не смогла определить наличие чувствительных данных в дампе, и перенесла его в корпоративную сеть из изолированной. параллельно китайские хакеры скомпроментировали учетку разработчика Microsoft, и получили доступ к дампу, в котором они и обнаружили ключ для подписывания токенов. Более того, они смогли также проэксплуатировать отдельный баг, чтобы получить возможность подписи корпоративных токенов. Огонь просто огонь.
Жду от конспирологов теории о том, как китайское правительство заставило сотрудников Microsoft допустить такую цепочку багов для того, чтобы получить доступ к данным правительства США.
https://msrc.microsoft.com/blog/2023/09/results-of-major-technical-investigations-for-storm-0558-key-acquisition/
🔥75👍7🤔6😁4❤3🏆2👏1
По поводу недавнего срочного апдейта iOS и zero-day, эксплуатируемых NSO — интересный комментарий про Lockdown, недооценный инструмент защиты в iOS. Но он вносит всякие ограничения и неудобства в привычную работу, что его мало кто готов включать
https://t.me/alexmakus/4802
https://t.me/alexmakus/4802
👍30🤡1
вот и я получил предложение от гугла. к счастью, от него можно отказаться в настройках: Settings>Privacy and Security>Ad Privacy и отключить все три опции там (Ad Topics, Site-suggested Ads, and Ad Measurement).
🤡55👏5👍3👻3
Microsoft вместе с тренировочными данными для ИИ опубликовала массу данных сотрудников, включая их пароли к сервисам компании, секретные ключи, и внутреннюю переписку в Teams. (ссылка на данные содержала в себе информацию о полном доступе в хранилище, где и хранилась частная информация)
https://techcrunch.com/2023/09/18/microsoft-ai-researchers-accidentally-exposed-terabytes-of-internal-sensitive-data/
https://techcrunch.com/2023/09/18/microsoft-ai-researchers-accidentally-exposed-terabytes-of-internal-sensitive-data/
TechCrunch
Microsoft AI researchers accidentally exposed terabytes of internal sensitive data | TechCrunch
Microsoft AI researchers accidentally exposed tens of terabytes of sensitive data, including private keys and passwords, while publishing a storage bucket
🤡90🥰48👏14🔥12🙈11😁8🍾4🐳3❤2🥴2👍1
В Лас Вегасе уже несколько дней продолжается история со взломом трех крупных казино — Aria, Bellagio и MGM Grand. (совершенно “обычная” тема с ransomware — Caesars быстро заплатили выкуп в 15 млн и вернулись к работе, другие сопротивляются).
собственно, по ссылке — отчет о том, как оно там сейчас, насколько все плохо, и что не работает.
https://www.404media.co/inside-mgms-hacked-casinos/
собственно, по ссылке — отчет о том, как оно там сейчас, насколько все плохо, и что не работает.
https://www.404media.co/inside-mgms-hacked-casinos/
404 Media
I Gambled in MGM's Hacked Casinos
At the Aria, Bellagio, and MGM Grand, evidence of the massive ransomware hack is everywhere, if you're looking for it.
🤔26😁21👍9👾5🔥3❤1👏1🤯1😱1
https://support.apple.com/en-us/HT213926
https://support.apple.com/en-us/HT213927
еще три zero day, которые исправляются в iOS 17, iOS 16.7 и в других апдейтах
https://support.apple.com/en-us/HT201222
Apple is aware of a report that this issue may have been actively exploited against versions of iOS before iOS 16.7.
https://support.apple.com/en-us/HT213927
еще три zero day, которые исправляются в iOS 17, iOS 16.7 и в других апдейтах
https://support.apple.com/en-us/HT201222
Apple is aware of a report that this issue may have been actively exploited against versions of iOS before iOS 16.7.
Apple Support
About the security content of iOS 17.0.1 and iPadOS 17.0.1
This document describes the security content of iOS 17.0.1 and iPadOS 17.0.1.
🥴20🔥8👍4👏1🤯1🎃1
Forwarded from 42 секунды
Ведомости: «Рутек» начал производство антишпионского защищенного смартфона «Р-фон»
– Работать смартфон «Р-фон» будет на системе «Роса Мобайл»
– «ИТ Роса» анонсировал выпуск первого смартфона еще летом
– Монтаж плат и прошивку смартфона будут делать в Саранске
– Выход «Роса Мобайла» на рынок запланирован уже на 2024
– Но для корп. сектора и госзаказчиков система выйдет в 2023
– Сам «Р-фон» собираются включить в реестр Минпромторга
– Уже идет его экспертиза на предмет соответствия критериям
@ftsec
– Работать смартфон «Р-фон» будет на системе «Роса Мобайл»
– «ИТ Роса» анонсировал выпуск первого смартфона еще летом
– Монтаж плат и прошивку смартфона будут делать в Саранске
– Выход «Роса Мобайла» на рынок запланирован уже на 2024
– Но для корп. сектора и госзаказчиков система выйдет в 2023
– Сам «Р-фон» собираются включить в реестр Минпромторга
– Уже идет его экспертиза на предмет соответствия критериям
@ftsec
🤡123🤣34😁16👍10✍7👎2❤1🤔1🎅1
Хакеры, действующие в интересах Украины, взломали базу данных российской компании «Сирена-Трэвел» с данными о пассажирах авиакомпаний и их страховках. Сообщение об этом появилось в телеграм-канале хакерского сообщества KibOrg, заметили «Важные истории».
Утверждается, что за взломом стоит неизвестная группировка Muppets, которая связана с KibOrg. Какие правительственные и силовые структуры могут стоять за самой группировкой — доподлинно неизвестно.
https://storage.googleapis.com/istories/news/2023/09/22/ukrainskie-khakeri-vzlomali-bazu-rossiiskoi-seti-sirena-trevel-s-informatsiei-ob-aviapereletakh-s-2007-po-2023-godi/index.html
Утверждается, что за взломом стоит неизвестная группировка Muppets, которая связана с KibOrg. Какие правительственные и силовые структуры могут стоять за самой группировкой — доподлинно неизвестно.
https://storage.googleapis.com/istories/news/2023/09/22/ukrainskie-khakeri-vzlomali-bazu-rossiiskoi-seti-sirena-trevel-s-informatsiei-ob-aviapereletakh-s-2007-po-2023-godi/index.html
Googleapis
Украинские хакеры взломали базу российской сети «Сирена-Трэвел» с информацией об авиаперелетах с 2007 по 2023 годы
Это данные о сотнях миллионов билетов
🔥95🤡23👍19❤8🤬3👎2💩1
Mozilla собрала в одном месте информацию о разных автопроизводителях, и о том, какие данные они собирают об автомобилях и их владельцах
TL;DR все плохо
https://foundation.mozilla.org/en/privacynotincluded/categories/cars/
TL;DR все плохо
https://foundation.mozilla.org/en/privacynotincluded/categories/cars/
😭39🤷♂18🔥12❤7👍4🤯3😁1
GPUs from all six of the major suppliers are vulnerable to a newly discovered attack that allows malicious websites to read the usernames, passwords, and other sensitive visual data displayed by other websites, researchers have demonstrated in a paper published Tuesday.
https://arstechnica.com/security/2023/09/gpus-from-all-major-suppliers-are-vulnerable-to-new-pixel-stealing-attack/
https://www.hertzbleed.com/gpu.zip/GPU-zip.pdf
https://arstechnica.com/security/2023/09/gpus-from-all-major-suppliers-are-vulnerable-to-new-pixel-stealing-attack/
https://www.hertzbleed.com/gpu.zip/GPU-zip.pdf
Ars Technica
GPUs from all major suppliers are vulnerable to new pixel-stealing attack
A previously unknown compression side channel in GPUs can expose images thought to be private.
🔥31😱5❤1🤮1🥱1
Google is aware that an exploit for CVE-2023-5217 exists in the wild.
Эксплуатируемый zero day в Chrome, лучше обновиться
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_27.html
Эксплуатируемый zero day в Chrome, лучше обновиться
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_27.html
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 117.0.5938.132 for Windows, Mac and Linux, which will roll out over the coming days/weeks. A full lis...
👍7😱5👌2
Forwarded from 42 секунды
Fast Company: Google случайно допустил утечку диалогов из чат-бота Bard в общую поисковую выдачу
– Google проиндексировал URL-адреса чатов своего Bard
– Они были доступны в поиске при определенных запросах
– По ссылкам были доступны личные беседы пользователей
– Сам по себе разговор с Bard является конфиденциальным
– Но сервис содержит возможность поделиться своим чатом
– Т.е. пользователь сам может отправить ссылку на разговор
– Похожую кнопку «поделиться» содержит также ChatGPT
– Google уже начал блокировать индексацию таких чатов
– Компания, по-видимому, признала индексацию ошибкой
@ftsec
– Google проиндексировал URL-адреса чатов своего Bard
– Они были доступны в поиске при определенных запросах
– По ссылкам были доступны личные беседы пользователей
– Сам по себе разговор с Bard является конфиденциальным
– Но сервис содержит возможность поделиться своим чатом
– Т.е. пользователь сам может отправить ссылку на разговор
– Похожую кнопку «поделиться» содержит также ChatGPT
– Google уже начал блокировать индексацию таких чатов
– Компания, по-видимому, признала индексацию ошибкой
@ftsec
🌚57🤣16👍7😁2🤔2🤡2🥰1
zero day с рейтингом 9.8 в Exim выглядит очень очень плохо
https://www.zerodayinitiative.com/advisories/ZDI-23-1469/
https://www.zerodayinitiative.com/advisories/ZDI-23-1469/
Zerodayinitiative
ZDI-23-1469
(0Day) Exim AUTH Out-Of-Bounds Write Remote Code Execution Vulnerability
😁15😱13🤯3🤡3❤1💯1
Downfall, уязвимость в процессорах Intel
https://downfall.page/
“This vulnerability, identified as CVE-2022-40982, enables a user to access and steal data from other users who share the same computer. For instance, a malicious app obtained from an app store could use the Downfall attack to steal sensitive information like passwords, encryption keys, and private data such as banking details, personal emails, and messages. Similarly, in cloud computing environments, a malicious customer could exploit the Downfall vulnerability to steal data and credentials from other customers who share the same cloud computer.”
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-40982
A potential security vulnerability in some Intel® Processors may allow information disclosure. Intel is releasing firmware updates and an optional software sequence to mitigate this potential vulnerability.
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00828.html
https://downfall.page/
“This vulnerability, identified as CVE-2022-40982, enables a user to access and steal data from other users who share the same computer. For instance, a malicious app obtained from an app store could use the Downfall attack to steal sensitive information like passwords, encryption keys, and private data such as banking details, personal emails, and messages. Similarly, in cloud computing environments, a malicious customer could exploit the Downfall vulnerability to steal data and credentials from other customers who share the same cloud computer.”
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-40982
A potential security vulnerability in some Intel® Processors may allow information disclosure. Intel is releasing firmware updates and an optional software sequence to mitigate this potential vulnerability.
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00828.html
Downfall Attacks
Downfall attacks targets a critical weakness found in billions of modern processors used in personal and cloud computers.
🥴19❤5👍5🤔2🤡1