Apollon
Ветеран
Apollon
Ветеран
- Статус
- Offline
- Регистрация
- 21 Апр 2018
- Сообщения
- 892
- Реакции
- 3
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0
Одним из самых обсуждаемых событий минувшей недели стало известие об очередных уязвимостях в процессорах Intel. Восемь проблем, получивших общее название Spectre Next Generation (Spectre-NG), связаны с одной и той же ошибкой в архитектуре. Intel характеризует четыре из восьми уязвимостей Spectre-NG как «высокой опасности», а оставшиеся четыре – как «средней опасности». Как отмечается, одна из уязвимостей упрощает атаки внутри системы, поэтому Spectre-NG представляет даже большую угрозу, чем Spectre. В настоящее время Intel работает над обновлениями, а также помогает разработчикам операционных систем подготовить свои патчи. Предположительно, Intel планирует две ветки обновлений. Первые будут выпущены в мае, а вторые – в августе.
На прошедшей неделе сразу два сервиса –TwitterиGitHub– предупредили своих пользователей о необходимости смены пароля из-за внутренней ошибки. Что интересно, порталы столкнулись с практически одинаковой проблемой, в результате которой сотрудники сервисов могли видеть пароли в незашифрованном виде.
Разработчики менеджера пакетов Node Package Manager (npm) пресекли распространение бэкдора, хитроумно спрятанного в популярном пакете (библиотеке) для JavaScript. Изначально бэкдор был обнаружен в «getcookies» - сравнительно новом пакете npm для работы с файлами cookie в браузере. Получив жалобы от сообщества npm, разработчики изучили пакет и обнаружили в нем сложный механизм получения команд от удаленного злоумышленника, способного атаковать любое приложение, где используется «getcookies». Бэкдор позволял атакующему внедрять и выполнять произвольный код на запущенном сервере.
Как стало известно, хакеры активно сканируют Сеть на предмет уязвимых серверов Oracle WebLogic. Первые попытки сканирования были зафиксированы в середине апреля после того, как пользователь GitHub под псевдонимом Brianwrf опубликовал PoC-эксплоит для уязвимости CVE-2018-2628 в ключевом компоненте WebLogic – WLS, позволяющей неавторизованному злоумышленнику выполнить код на удаленном сервере WebLogic.
В среду, 2 мая, неизвестныесовершиликибератаку на сервер Агентства гражданской авиации Министерства экономики и устойчивого развития Грузии (GCAA), в результате которой оказались повреждены программы и заблокирована защищенная база данных. По мнению замглавы агентства Левана Каранадзе, хакеры могли преследовать финансовые цели, намереваясь потребовать выкуп за разблокировку базы данных.
