🔎 Google выпустила сканер для поиска уязвимых зависимостей в программах
Компания Google объявила о выпуске бесплатного автоматизированного инструмента для поиска уязвимостей в проектах с открытым исходным кодом - OSV-Scanner. Инструмент выявляет все зависимости программы, затем сравнивает список с информацией об известных уязвимостях, хранящихся в базе данных OSV, и определяет необходимость исправления или обновления.
Сканер написан на языке Go и предоставляет пользовательский интерфейс для доступа к свободной базе данных уязвимостей в проектах с открытым исходным кодом OSV. Инструмент поддерживает Linux, macOS и Windows. Для создания списка зависимостей достаточно указать путь к директории с проектом
В настоящее время платформа OSV.dev поддерживает 16 экосистем, включая популярные языки программирования, дистрибутивы Linux (Debian и Alpine), Android и само ядро Linux. В будущем Google планирует улучшить поддержку языка программирования C/C++ и доработать OSV-Scanner, превратив его в полноценный инструмент управления уязвимостями.
🗞 Блог Кодебай
#news #google #scanner
Компания Google объявила о выпуске бесплатного автоматизированного инструмента для поиска уязвимостей в проектах с открытым исходным кодом - OSV-Scanner. Инструмент выявляет все зависимости программы, затем сравнивает список с информацией об известных уязвимостях, хранящихся в базе данных OSV, и определяет необходимость исправления или обновления.
Сканер написан на языке Go и предоставляет пользовательский интерфейс для доступа к свободной базе данных уязвимостей в проектах с открытым исходным кодом OSV. Инструмент поддерживает Linux, macOS и Windows. Для создания списка зависимостей достаточно указать путь к директории с проектом
В настоящее время платформа OSV.dev поддерживает 16 экосистем, включая популярные языки программирования, дистрибутивы Linux (Debian и Alpine), Android и само ядро Linux. В будущем Google планирует улучшить поддержку языка программирования C/C++ и доработать OSV-Scanner, превратив его в полноценный инструмент управления уязвимостями.
🗞 Блог Кодебай
#news #google #scanner
👍16🔥5👎1
Устранена критическая уязвимость в Windows
Уязвимость SPNEGO NEGOEX (CVE-2022-37958), устраненная в сентябре, в обновленном отчете Microsoft получила оценку "критическая". Оказалось, что ошибка не только открывает доступ к конфиденциальной информации, но и позволяет удаленно выполнить произвольный код.
Ситуация усугубляется тем, что механизм безопасности SPNEGO используют многие протоколы приложений Windows: HTTP, RDP, SMTP, SMB. Для всех этих служб SPNEGO включен по умолчанию, начиная с Windows 7.
Согласно описанию эксперта, обнаружившего возможность удаленного выполнения кода, эксплойт может быть использован путем получения доступа к NEGOEX через любой сервис, использующий этот механизм согласования протокола расширенной аутентификации. Новый тип атаки не требует взаимодействия с пользователем, но вряд ли будет успешным с первой попытки.
Подробности уязвимости пока не опубликованы: пользователям предоставлено дополнительное время для устранения проблем. Всем, кто еще не сделал этого, настоятельно рекомендуется установить обновление безопасности от 13 сентября.
🗞 Блог Кодебай
#news #windows #vulnerability
Уязвимость SPNEGO NEGOEX (CVE-2022-37958), устраненная в сентябре, в обновленном отчете Microsoft получила оценку "критическая". Оказалось, что ошибка не только открывает доступ к конфиденциальной информации, но и позволяет удаленно выполнить произвольный код.
Ситуация усугубляется тем, что механизм безопасности SPNEGO используют многие протоколы приложений Windows: HTTP, RDP, SMTP, SMB. Для всех этих служб SPNEGO включен по умолчанию, начиная с Windows 7.
Согласно описанию эксперта, обнаружившего возможность удаленного выполнения кода, эксплойт может быть использован путем получения доступа к NEGOEX через любой сервис, использующий этот механизм согласования протокола расширенной аутентификации. Новый тип атаки не требует взаимодействия с пользователем, но вряд ли будет успешным с первой попытки.
Подробности уязвимости пока не опубликованы: пользователям предоставлено дополнительное время для устранения проблем. Всем, кто еще не сделал этого, настоятельно рекомендуется установить обновление безопасности от 13 сентября.
🗞 Блог Кодебай
#news #windows #vulnerability
👍14🔥4
🔐 Назван топ связок логин-пароль при атаках на IOT-устройства
Ловушки для злоумышленников (ханипоты) "Лаборатории Касперского" зафиксировали значительное количество атак, что позволило экспертам собрать интересную статистику. Анализ ханипотов показал, что нередко злоумышленники применяют очень простую технику - перебор паролей, или брутфорс.
Самой распространённой комбинацией логин-пароль оказалась "root-Pon521" (использовалась в 30 млн случаев), вторая по популярности - "root-admin" (17,5 млн), а третье место досталось "root-root" (16,8 млн).
Пользователям рекомендуется менять учётные данные, установленные по умолчанию, перед использованием IoT-устройства.
🗞 Блог Кодебай
#news #iot #password
Ловушки для злоумышленников (ханипоты) "Лаборатории Касперского" зафиксировали значительное количество атак, что позволило экспертам собрать интересную статистику. Анализ ханипотов показал, что нередко злоумышленники применяют очень простую технику - перебор паролей, или брутфорс.
Самой распространённой комбинацией логин-пароль оказалась "root-Pon521" (использовалась в 30 млн случаев), вторая по популярности - "root-admin" (17,5 млн), а третье место досталось "root-root" (16,8 млн).
Пользователям рекомендуется менять учётные данные, установленные по умолчанию, перед использованием IoT-устройства.
🗞 Блог Кодебай
#news #iot #password
👍5🔥2🤔2😁1
🪝 Массовая фишинговая рассылка в Telegram
Пользователи мессенджера Telegram столкнулись с массовыми попытками кражи их аккаунтов. Пользователи получают сообщения от своих контактов под видом того, что им отправили подарок - подписку на Telegram Premium. При переходе по ссылке пользователи переходят на бота, где им необходимо ввести код, который придет от Telegram.
При передаче этого кода боту злоумышленник получает доступ к учетной записи пользователя, после чего от его имени отправляются аналогичные сообщения своим контактам и тут же удаляются у владельца аккаунта, чтобы он ничего не заподозрил.
Что делать, если вы уже перешли по ссылке и отправили код:
🔹 Зайти в Настройки → Устройства → Завершить все другие сеансы
🔹 Включить двухэтапную аутентификацию
🗞 Блог Кодебай
#news #telegram #phishing
Пользователи мессенджера Telegram столкнулись с массовыми попытками кражи их аккаунтов. Пользователи получают сообщения от своих контактов под видом того, что им отправили подарок - подписку на Telegram Premium. При переходе по ссылке пользователи переходят на бота, где им необходимо ввести код, который придет от Telegram.
При передаче этого кода боту злоумышленник получает доступ к учетной записи пользователя, после чего от его имени отправляются аналогичные сообщения своим контактам и тут же удаляются у владельца аккаунта, чтобы он ничего не заподозрил.
Что делать, если вы уже перешли по ссылке и отправили код:
🔹 Зайти в Настройки → Устройства → Завершить все другие сеансы
🔹 Включить двухэтапную аутентификацию
🗞 Блог Кодебай
#news #telegram #phishing
👍8🤔3👎2🤯1👌1
Бизнесу просят разрешить использовать пиратское ПО
Специалисты Института развития предпринимательства и экономики обратились в Минцифры с предложением разрешить бизнесу в РФ использовать ПО без лицензии.
Речь идёт о создании законопроекта, который ввёл бы мораторий на уголовную и административную ответственность для тех, кому зарубежные разработчики отказались продлевать лицензию. Дело в том, что отказы от зарубежных производителей ПО уже появились, а переход на отечественные решения займет время.
Принятие инициативы, по мнению аналитиков института, позволит выиграть время для разработки собственного ПО. Сейчас за нелицензионное программное обеспечение предусмотрены крупные штрафы или до шести лет лишения свободы. Эксперты считают, что в этой ситуации логично ослабить регулирование, но не полностью легализовать использование нелицензионного ПО
🗞 Блог Кодебай
#news #russia #software
Специалисты Института развития предпринимательства и экономики обратились в Минцифры с предложением разрешить бизнесу в РФ использовать ПО без лицензии.
Речь идёт о создании законопроекта, который ввёл бы мораторий на уголовную и административную ответственность для тех, кому зарубежные разработчики отказались продлевать лицензию. Дело в том, что отказы от зарубежных производителей ПО уже появились, а переход на отечественные решения займет время.
Принятие инициативы, по мнению аналитиков института, позволит выиграть время для разработки собственного ПО. Сейчас за нелицензионное программное обеспечение предусмотрены крупные штрафы или до шести лет лишения свободы. Эксперты считают, что в этой ситуации логично ослабить регулирование, но не полностью легализовать использование нелицензионного ПО
🗞 Блог Кодебай
#news #russia #software
😁18👍5🔥4🤯3👏1
🔒 В Gmail добавлено шифрование на стороне клиента
Компания Google объявила о запуске бета-версии функции Client-Side Encryption (CSE) в Gmail для пользователей Google Workspace Enterprise, Education Standard и Education Plus, которая позволяет пользователям почты отправлять и получать зашифрованные электронные письма.
"Использование шифрования на стороне клиента в Gmail обеспечивает конфиденциальность данных в теле письма и вложениях, которые не поддаются расшифровке на серверах Google. Клиенты сохраняют контроль над ключами шифрования и службой аутентификации для доступа к этим ключам", - сообщает Google.
Шифрование Google Workspace на стороне клиента позволяет зашифровать содержимое в браузере пользователя до того, как данные будут переданы или сохранены в облачном хранилище.
Шифрование на стороне клиента позволяет шифровать и расшифровывать данные с помощью собственных криптографических ключей, которые генерируются и управляются облачной службой управления ключами. Эта служба имеет контроль над ключами и может отслеживать зашифрованные файлы пользователей или отменять доступ пользователя к ключам.
Пользователи могут подать заявку на участие в бета-тестировании до 20 января 2023 года. На данный момент CSE недоступно для личных аккаунтов Google.
🗞 Блог Кодебай
#news #google #encryption
Компания Google объявила о запуске бета-версии функции Client-Side Encryption (CSE) в Gmail для пользователей Google Workspace Enterprise, Education Standard и Education Plus, которая позволяет пользователям почты отправлять и получать зашифрованные электронные письма.
"Использование шифрования на стороне клиента в Gmail обеспечивает конфиденциальность данных в теле письма и вложениях, которые не поддаются расшифровке на серверах Google. Клиенты сохраняют контроль над ключами шифрования и службой аутентификации для доступа к этим ключам", - сообщает Google.
Шифрование Google Workspace на стороне клиента позволяет зашифровать содержимое в браузере пользователя до того, как данные будут переданы или сохранены в облачном хранилище.
Шифрование на стороне клиента позволяет шифровать и расшифровывать данные с помощью собственных криптографических ключей, которые генерируются и управляются облачной службой управления ключами. Эта служба имеет контроль над ключами и может отслеживать зашифрованные файлы пользователей или отменять доступ пользователя к ключам.
Пользователи могут подать заявку на участие в бета-тестировании до 20 января 2023 года. На данный момент CSE недоступно для личных аккаунтов Google.
🗞 Блог Кодебай
#news #google #encryption
👍8🔥2🤔1😍1
📜 Госдума приняла во II чтении законопроект о биометрии
Госдума приняла во втором чтении законопроект о единой биометрической системе (ЕБС). В обновлённом документе предложен запрет на обязательный сбор биометрических данных и запрет на дискриминацию тех, кто отказывается сдавать биометрию.
Также предлагается ограничить перечень биометрических данных (лицо, голос), предоставить возможность контролировать биометрические данные через портал "Госуслуги", запретить хранение геномной информации и не собирать биометрию детей без согласия родителей.
Ужесточаются и требования к операторам биометрической информации в региональном сегменте: теперь им может быть только гос. учреждение или ГУП, а не любой юр. лицо.
"Законопроект призван остановить распространение биометрических данных разными коммерческими организациями и обеспечить их государственную защиту. Следующим шагом станет введение уголовной и административной ответственности за принудительный сбор и утечку биометрических данных", - ранее отмечал Вячеслав Володин.
Законопроект ещё не вступил в силу. 21 декабря, законопроект будет рассмотрен в третьем чтении.
🗞 Блог Кодебай
#news #russia #biometric
Госдума приняла во втором чтении законопроект о единой биометрической системе (ЕБС). В обновлённом документе предложен запрет на обязательный сбор биометрических данных и запрет на дискриминацию тех, кто отказывается сдавать биометрию.
Также предлагается ограничить перечень биометрических данных (лицо, голос), предоставить возможность контролировать биометрические данные через портал "Госуслуги", запретить хранение геномной информации и не собирать биометрию детей без согласия родителей.
Ужесточаются и требования к операторам биометрической информации в региональном сегменте: теперь им может быть только гос. учреждение или ГУП, а не любой юр. лицо.
"Законопроект призван остановить распространение биометрических данных разными коммерческими организациями и обеспечить их государственную защиту. Следующим шагом станет введение уголовной и административной ответственности за принудительный сбор и утечку биометрических данных", - ранее отмечал Вячеслав Володин.
Законопроект ещё не вступил в силу. 21 декабря, законопроект будет рассмотрен в третьем чтении.
🗞 Блог Кодебай
#news #russia #biometric
👍16🤔6👎5🔥5
🔐 Сообщество TON запустило стандарт для безопасного входа без логинов и паролей
Сообщество TON запустило открытый стандарт для безопасного входа в интернет-сервисы без логинов и паролей - TON Connect 2.0, над которым работали все ключевые команды разработчиков кошельков TON.
Одним из главных отличий TON Connect 2.0 от первой версии является возможность прямого взаимодействия с децентрализованными приложениями на базе TON. Также TON Connect 2.0 позволяет проходить процедуру авторизации на онлайн-площадках в один клик, используя Web 3.0.
Теперь пользователи смогут подключаться к мобильным и настольным приложениям, ботам Telegram и другим dApps непосредственно через популярные TON-кошельки. Подключенные таким образом приложения сохраняются в браузере кошелька и становятся доступными прямо в приложении.
Стандарт уже внедрён в Tonkeeper, а остальные кошельки работают над его внедрением. Отмечается, что TON Connect 2.0 имеет все шансы стать общесетевым стандартом.
🗞 Блог Кодебай
#news #cryptocurrency #ton
Сообщество TON запустило открытый стандарт для безопасного входа в интернет-сервисы без логинов и паролей - TON Connect 2.0, над которым работали все ключевые команды разработчиков кошельков TON.
Одним из главных отличий TON Connect 2.0 от первой версии является возможность прямого взаимодействия с децентрализованными приложениями на базе TON. Также TON Connect 2.0 позволяет проходить процедуру авторизации на онлайн-площадках в один клик, используя Web 3.0.
Теперь пользователи смогут подключаться к мобильным и настольным приложениям, ботам Telegram и другим dApps непосредственно через популярные TON-кошельки. Подключенные таким образом приложения сохраняются в браузере кошелька и становятся доступными прямо в приложении.
Стандарт уже внедрён в Tonkeeper, а остальные кошельки работают над его внедрением. Отмечается, что TON Connect 2.0 имеет все шансы стать общесетевым стандартом.
🗞 Блог Кодебай
#news #cryptocurrency #ton
👍8🔥5🤯2
🤑 Яндекс увеличит награду за уязвимости в 2 раза
Яндекс увеличит награды за уязвимости, обнаруженные в сервисах и инфраструктуре компании в рамках программы "Охота за ошибками" в два раза. В 2023 году за обнаруженную ошибку можно будет получить до 1.5 млн рублей.
Также по некоторым направлениям будут проходить акции, сумма вознаграждения в которых будет в 10 раз выше, чем обычно.
Например, 10 января 2023 года буде запущен конкурс на месяц с увеличением выплат в 10 раз за наиболее критичные уязвимости по классам RCE и SQL-инъекции. Победители конкурса, которые сообщат об ошибках в этих классах по ссылке в период с 10 января по 9 февраля 2023 года включительно, получат денежное вознаграждение, увеличенное в десять раз.
🗞 Блог Кодебай
#news #bug #bounty
Яндекс увеличит награды за уязвимости, обнаруженные в сервисах и инфраструктуре компании в рамках программы "Охота за ошибками" в два раза. В 2023 году за обнаруженную ошибку можно будет получить до 1.5 млн рублей.
Также по некоторым направлениям будут проходить акции, сумма вознаграждения в которых будет в 10 раз выше, чем обычно.
Например, 10 января 2023 года буде запущен конкурс на месяц с увеличением выплат в 10 раз за наиболее критичные уязвимости по классам RCE и SQL-инъекции. Победители конкурса, которые сообщат об ошибках в этих классах по ссылке в период с 10 января по 9 февраля 2023 года включительно, получат денежное вознаграждение, увеличенное в десять раз.
🗞 Блог Кодебай
#news #bug #bounty
🔥17👍9👎3🤣2
🐧 В ядре Linux обнаружен критический баг
Специалисты из компании Thales Group обнаружили критическую уязвимость в модуле ksmbd ядра Linux, который был добавлен в версии 5.15. Ошибка получила идентификатор CVE-2022-47939 и 10 баллов по шкале CVSS.
ksmbd - это файловый сервер, основанный на протоколе SMB3 и являющийся простой альтернативой Samba. Он ориентирован на более высокую производительность и новые возможности.
Проблема заключалась в том, что ksmbd работает в самом ядре, а не в пространстве пользователя. Также выяснилось что уязвимость в ksmbd может привести к утечке памяти SMB-сервера, которая связана с отсутствием валидации существования объектов перед выполнением операций с ними.
Успешная эксплуатация уязвимости позволяет неаутентифицированному пользователю удаленно выполнить произвольный код. Раскрытие данных об этой уязвимости отложили почти на полгода, т.к. ждали выхода соответствующего исправления в силу высокой опасности бага.
Тем, кто использует ksmbd, рекомендуется обновить ядро Linux до версии 5.15.61 или более новой, в которой уязвимость уже устранена.
🗞 Блог Кодебай
#news #linux #vulnerability
Специалисты из компании Thales Group обнаружили критическую уязвимость в модуле ksmbd ядра Linux, который был добавлен в версии 5.15. Ошибка получила идентификатор CVE-2022-47939 и 10 баллов по шкале CVSS.
ksmbd - это файловый сервер, основанный на протоколе SMB3 и являющийся простой альтернативой Samba. Он ориентирован на более высокую производительность и новые возможности.
Проблема заключалась в том, что ksmbd работает в самом ядре, а не в пространстве пользователя. Также выяснилось что уязвимость в ksmbd может привести к утечке памяти SMB-сервера, которая связана с отсутствием валидации существования объектов перед выполнением операций с ними.
Успешная эксплуатация уязвимости позволяет неаутентифицированному пользователю удаленно выполнить произвольный код. Раскрытие данных об этой уязвимости отложили почти на полгода, т.к. ждали выхода соответствующего исправления в силу высокой опасности бага.
Тем, кто использует ksmbd, рекомендуется обновить ядро Linux до версии 5.15.61 или более новой, в которой уязвимость уже устранена.
🗞 Блог Кодебай
#news #linux #vulnerability
👍8🔥3🤔2🤯1