Linux сборка от AWS

Заточена под управление контейнерами. Если кратко - убрано все лишнее, оставлен только необходимый инструментарий

Есть инструментарий для создания собственных сборок

https://aws.amazon.com/about-aws/whats-new/2020/08/announcing-general-availability-of-bottlerocket/

Проект + мануалы на GitHub:

https://github.com/bottlerocket-os/bottlerocket

Часть компонент написана на Rust, что должно давать достаточный плюс к производительности*

Android в VirtualBox

Начиная от установки VB, заканчивая запуском Android, контент сопровождается пошаговыми скринами:

https://www.tecmint.com/install-android-in-linux/

Все в одном - Linux с возможностью полной кастомизации, стационарный аудио плеер и все это на базе Raspberry. В магазине девайсы стоят ~600$. Здесь даже речь не о самих девайсах, а о том, что можно сделать на базе малинки:

http://yarh.io/

Безопасность дотфайлов.

Что такое дотфайлы? Обычно, это файлы конфигурации в которых хранят настройки большинство *nix’овых программ. Обычно такие файлы могут содержать чуствительную информацию, кто-то их хранит параллельно в репозиториях git, или в облаке, или еще где-либо… Ясно одно - если эти файлы станут доступны общественности, то это ничего хорошего не принесет.

Но если такие файлы хранить в зашифрованном виде, то уже будет на много жить спокойнее.

5-ти минутный, краткий и тезизный мануал о способе хранения такого рода файов:

https://abdullah.today/encrypted-dotfiles/

PoC по Cisco Jabber

Четыре уязвимости, одна из которых - удаленное выполнение кода:

https://watchcom.no/nyheter/nyhetsarkiv/uncovers-cisco-jabber-vulnerabilities/

Инструментарий сбора доказательств с мобильных устройств - M.E.A.T

Форензика для криминалистов с мобильных устройств:

https://github.com/jfarley248/MEAT

Множественные уязвимости в продуктах Adobe

Security бюллетень от вендора:

https://blogs.adobe.com/psirt/?p=1916

Zorin OS как альтернатива Windows и macOS

Новый релиз:

https://blog.zorin.com/2020/09/08/zorin-os-15-3-is-here/

Оф сайт:

https://zorinos.com/

XSS уязвимость в Google Map

В описании присутствует несколько уязвимостей на самом деле, всему виной CDATA, куда можно было подставить произвольные значения, в итоге исследователь получил $10k

PoC:

https://www.ehpus.com/post/xss-fix-bypass-10000-bounty-in-google-maps

Уязвимость Intel BIOS

Позволяет повышать превилегии, вызывать отказ сервисов, раскрывать информацию, на эту тему есть прошивка и описание от вендора:

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00347.html

Уязвимость с походими признаками так же присутсвует в Active Management Technology (AMT), Intel® Standard Manageability (ISM):

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00404.html

Weave Scope - Troubleshooting & Monitoring for Docker & Kubernetes

Автоматически генерирует карту приложения, что позволяет интуитивно понимать, контролировать и управлять контейнерным микросервисным приложением:

https://github.com/weaveworks/scope

Обновление KB4571756 убивает WSL

На это поступлили (и все еще поступают) жалобы в официальном репозитории WSL

https://github.com/microsoft/WSL/issues/5880

Уязвимость в графическом процессоре Qualcomm Adreno, которая позволяет получить выход из песочницы приложения и получить права исполнения кода на уровне ядра процессора

https://googleprojectzero.blogspot.com/2020/09/attacking-qualcomm-adreno-gpu.html

За ссылку спасибо другу канала ✌️

Windows Command-Line: Introducing the Windows Pseudo Console (ConPTY) | Windows Command Line
https://devblogs.microsoft.com/commandline/windows-command-line-introducing-the-windows-pseudo-console-conpty/

Около ~50 уязвимостей Android

Включая уязвимости Qualcomm, Media фреймворка, самой системы, много критичных уязвимостей...

Осталось дождаться обновлений)

Security bulletin:

https://source.android.com/security/bulletin/2020-09-01

BLURtooth уязвимость которая может позволить Bluetooth MITM

Описание, ссылки и рекомендации по митигации:

https://kb.cert.org/vuls/id/589825

CDRThief - малварь нацеленная на Linux VoIP

PoC:

https://www.welivesecurity.com/2020/09/10/who-callin-cdrthief-linux-voip-softswitches/

Атака шифровальщика на Equinix

Американская компания Equinix, позиционирует себя, как лидер среди колокейшен компаний, инцидент до сих пор на стадии расследования (уже как два дня)

Говорят, что на работу клиентов это никак не повлияло, что вымогатель распространился внутри компании (на внутренних системах)

Очередное подтверждение того, что крупные компании, владеющие дата-центрами и тп не защищены от атак подобного рода

Информация на официальном сайте компании (что в принципе честно и правильно - сообщать о такого рода инцидентах внутри, не скрывая их):

https://blog.equinix.com/blog/2020/09/09/equinix-statement-on-security-incident/

Апдейт для Chrome 85  закрывающий критические баги

Включая выход из песочницы

https://chromereleases.googleblog.com/2020/09/stable-channel-update-for-desktop.html

Для обновления достаточно зайти в настройки барузера Settings - About

P.S. В macOS - ось ругнулась, что файл обновления недоверенный со ссылкой на отсутсвие даты в файле обновления

UP
Чуть погодя обновление прошло нормально*