С момента обнаружения уязвимости Rowhammer специалисты проводили исследования, посвященные изучению ее влияния на различное программное и аппаратное обеспечение. Данная техника может применяться для атак на различные устройства, включая компьютеры на базе Windows, виртуальные машины, Android-гаджеты, серверы и маршрутизаторы. На этой неделе специалисты Свободного университета Амстердама (Vrije Universiteit Amsterdam) описали новый тип атаки Rowhammer, позволяющий модифицировать биты в оперативной памяти сервера без срабатывания механизма ECC (error-correcting code memory, память с коррекцией ошибок). Таким образом возможно модифицировать данные, внедрить вредоносный код и команды или изменить разрешения на доступ для кражи паролей, ключей шифрования и прочей конфиденциальной информации.    
Найден новый способ применения атаки Rowhammer

Команда исследователей из Университета имени Бен-Гуриона (Израиль), Университета Аделаиды (Австралия) и Принстонского университета в США разработали новый тип атаки по сторонним каналам, позволяющий вредоносному коду JavaScript, размещенному на одной вкладке браузера «шпионить» за другими открытыми вкладками и отслеживать, какие сайты посещает пользователь, причем от слежки не будут защищены даже пользователи Tor.    
Представлен новый метод шпионажа за браузингом пользователей в Сети

Два жителя Новосибирска сумели похитить порядка 10 млн рублей у новосибирских и барнаульских предпринимателей путем взлома электронной почты компаний и подмены платежных реквизитов.    
Предприниматели лишились 10 млн рублей из-за мошенников

Государственная почтовая служба США (U.S. Postal Service, USPS) исправила уязвимость, позволявшую зарегистрированным на официальном сайте оператора пользователям просматривать информацию учетных записей порядка 60 млн других клиентов, а в некоторых случаях и модифицировать данные от их лица.    
Почтовая служба США допустила утечку данных 60 млн пользователей

Похоже, чересчур усердные операторы ботнетов Mirai решили, что для создания настоящего «монстра» одних маршрутизаторов и камер недостаточно, и теперь принялись за Linux-серверы. По словам специалиста компании Netscout Мэтью Бинга (Matthew Bing), новые образцы являются первыми вариантами Mirai, не предназначенными для устройств «Интернета вещей» (IoT).    
Новый вариант Mirai атакует Linux-серверы

Сага с проблемным обновлением Windows 10 (версия 1809) продолжается. Компания Microsoft в очередной раз приостановила его рассылку для некоторых компьютеров с процессорами Intel. На это раз причиной стали выпущенные Intel некорректно работающие драйверы для мониторов.    
Intel случайно выпустила драйвера, несовместимые с Windows 10 (версия 1809)

Правительство США пытается убедить интернет-провайдеров в союзных странах отказаться от использования телекоммуникационного оборудования производства китайской компании Huawei Technologies. Как сообщили изданию The Wall Street Journal неназванные источники, Вашингтон предупредил правительства дружественных стран и руководства телекоммуникационных компаний о возможных рисках, связанных с использованием продукции Huawei.    
США уговаривают союзников отказаться от оборудования Huawei

Команда проекта Open Bug Bounty поделилась результатами уходящего 2018 года. Как сообщается, число уязвимостей, раскрытых и исправленных в рамках проекта, превысило 165 тыс.    
Проект Open Bug Bounty сообщил об исправлении более 165 тыс. уязвимостей

На прошлой неделе компания Microsoft повторно выпустила сборку Windows 10 (версия 1809), также известную как Windows 10 October Update. Напомним, изначально обновление вышло в начале октября, но затем было отозвано. Как оказалось, серьезная ошибка, каким-то образом проникшая в окончательную сборку, привела к потере файлов после установки обновления. Хотя Microsoft пообещала впредь больше не допускать таких оплошностей, почему столь серьезная ошибка не была устранена на стадии тестирования, компания не объясняет.    
Стало известно, как ошибка с удалением файлов оказалась в финальной сборке в Windows 10 October Update

Для слежки за человеком в его собственном доме вполне хватит одного лишь смартфона. К такому выводу пришли исследователи Калифорнийского университета в Санта-Барбаре.    
Сигналы Wi-Fi позволяют «видеть сквозь стены»

Минкомсвязи разработало законопроект, предусматривающий введение административного наказания в отношении операторов и обработчиков персональных данных за утечку информации. Соответствующий документ опубликован на портале нормативных правовых актов.    
В РФ могут ввести штрафы за утечки данных из госсистем

Сотрудники департамента Киберполиции Украины задержали 42-летнего жителя Львовской области, заразившего модифицированной версией трояна DarkComet порядка 2 тыс. компьютеров в более чем полусотне стран мира.    
Житель Украины заразил трояном DarkComet компьютеры в 50 странах мира

В движке phpBB3 для администрирования форумов выявлена опасная уязвимость, с помощью которой злоумышленник, получив права администратора, может выполнить собственный код и перехватить контроль над сервером.    
В форумном движке phpBB3 обнаружена критическая уязвимость

Компания OSIsoft, специализирующаяся на разработке систем операционной аналитики, предупредила об инциденте безопасности, в результате которого могли пострадать сотрудники, консультанты и партнеры поставщика.    
Разработчик систем операционной аналитики OSIsoft стал жертвой утечки данных

Как сообщают эксперты «Лаборатории Касперского», одним из наиболее активных банковских троянов для мобильных платформ в настоящее время является Rotexy. Только за период с августа по октябрь текущего года было зафиксировано более 70 тыс. попыток атаковать устройства пользователей, преимущественно в России (в 98% случаев).    
Пользователей в РФ атакует мобильный банковский троян Rotexy

Уязвимость Zip Slip, о которой впервые стало известно в июне нынешнего года, нашла новую «жертву» - демон Apache Hadoop YARN NodeManager. Проблема существует во всех версиях Hadoop YARN, кроме 3.1.1, 3.0.3, 2.8.5 и 2.7.7, а также в JBoss Fuse 6.0 и 7.0.     p>Как сообщает специалист компании Apache Акира Аджисака (Akira Ajisaka), уязвимость затрагивает реализации NodeManager, использующие общедоступные архивы в распределенном кэше. По словам Аджисаки, уязвимость «позволяет пользователям кластера публиковать общедоступные архивы, способные затрагивать другие файлы, принадлежащие пользователю, запускающему демон YARN NodeManager. В случае, если затронутые файлы принадлежат другому, уже локализованному общедоступному архиву на узле, возможно внедрение кода в задания других пользователей кластера, использующих общедоступный архив».    
Уязвимость Zip Slip затрагивает Apache Hadoop YARN NodeManager

Компания-создатель альтернативного клиента Kate Mobile для использования соцсети «ВКонтакте» сообщила об аресте своего разработчика Федора Власова. Его обвинили в причастности к незаконным действиям, якобы осуществленным сторонними лицами через прокси-серверы, созданными для жителей Украины, чтобы те могли могли получить доступ к «ВКонтакте» через приложение Kate Mobile.    
Разработчик Kate Mobile арестован из-за прокси

Взлом, в результате которого были похищены 808 тыс. электронных адресов и более 1,8 млн имен пользователей, обернулся немецкой соцсети штрафом в размере 23 тыс. евро за нарушение недавно принятого Общего регламента по защите данных (GDPR).      
Сервис для общения стал первым «штрафником» согласно закону GDPR в Германии

Бразильская Федерация промышленности Сан-Паулу (FIESP) допустила утечку информации из трех своих баз данных. В утекших записях содержались имена, электронные и физические адреса, идентификационные карты, номера социального страхования и телефонные номера.    
Крупнейшее объединение промышленников в Бразилии допустило утечку данных

Ранее в этом месяце исследователи компании AppRiver обнаружили фишинговую кампанию, нацеленную на пользователей музыкального сервиса Spotify. Злоумышленники рассылали жертвам поддельные, но очень убедительные электронные письма с ссылками на вредоносный сайт. На сайте отображалась форма для введения логина и пароля, идентичная настоящей странице авторизации Spotify. После заполнения формы пользователем учетные данные отправлялись прямиком в руки мошенников.    
Фишеры взялись за пользователей Spotify