Блог

Спустя два года после предыдущей версии 2.6 выпущена версия wpa_supplicant 2.7, в которой устранены уязвимости к атаке KRACK: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088, а также уязвимость CVE-2018-14526, позволяющая получить ключ EAPOL в сетях, использующих WPA2 с TKIP. Другие основные изменения, касающиеся безопасности: Добавлен ряд новых функций: аутентификация по общему ключу FILS (Fast Initial Link Setup, стандартизирован как IEEE 802.11ai), OWE (Opportunistic Wireless Encryption, RFC…

Жутковатая дыра CVE-2018-1002105: после отправки через API запросов не закрывается сетевое соединение. Например, можно отправить discovery-запрос. После этого отправленные через API запросы будут восприняты бэкенд-сервисами как внутренние запросы от сервера API, отправленные с использованием параметров аутентификации сервера API. В результате можно проводить многие операции с бэкендом, в том числе выполнить произвольный код. По умолчанию discovery-запросы доступны даже неавторизованным пользователям, что можно отключить опцией "--anonymous-auth=false".

В одном из релизов (3.3.6) популярной js-библиотеки event-stream была установлена вредоносная зависимость: пакет flatmap-stream 0.1.1. Сама event-stream является зависимостью для ps-tree и npm-run-all и еще нескольких тысяч npm-пакетов. Проверить наличие проблемы в своей системе можно легко командой: npm ls event-stream flatmap-stream Также разработчикам приложений рекомендуют пока зафиксировать в зависимостях версию event-stream 3.3.4, поскольку в сентябре предыдущий автор библиотеки передал управление новому (right9ctrl), после чего и появилась указанная вредоносная зависимость.

Если кто-либо не прочитал отчет Kaspersky Slingshot, там есть некоторые большие технические детали: =>

Свежее повышение привилегий в Windows из-за ряда недостатков безопасности в DfMarshal (COM Aggregate Marshaler). Несколько примеров эксплуатации для Windows 10 1803 раскрываются тут, как и основное описание: И так как проблем несколько, еще дополнительные описания для тех, кому интересны подробности: Весь набор проблем лечится единым фиксом и получил общий идентификатор CVE-2018-8550. Хотя примеры эксплойтов приведены для Windows 10, уязвимости присутствуют и в других версиях: Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2019, Windows Server…

➣ Новая функция Google Play упростит переход со старого смартфона на новый ➣ Председатель Alphabet не уверен, что Google стоит возвращаться в Китай ➣ Как быстро найти местонахождение смартфона через поисковую строку Google ➣ Как запускать Google Assistant голосовой командой на iPhone и iPad ➣…

➣ На Google Мой бизнес теперь приходится 25% всех факторов, которые влияют на попадание компаний в блоки локальной выдачи. Подробней ➣ В Google Play неделя суперскидок на популярные игры, фильмы и аудиокниги Подробней ➣ Google обновила приложение Find My Device.

➣ Google уберёт SMS-уведомления из Календаря 7 января 2019 года. Подробнее ➣ Google запустил рекламу в AMP Stories Теперь монетизировать эти «истории» смогут все создатели контента. Подробнее ➣ Google выпустила приложение для производителей Bluetooth-наушников - Fast Pair Validator.

Download *. PDF Download *. MIDI

Download *. PDF Download *. MIDI

Apple обновила свою общедоступную документацию по безопасности iOS, чтобы раскрыть, что персональные данные, связанные с сервисом iCloud компании, хранятся на облачных серверах, которыми управляет Google, а именно служба Google Cloud. Apple не указала точно, какие данные iCloud хранятся на…

Новое исследование EHP (Environmental Health Perspectives) обнаружило, что курение электронных сигарет может подвергать пользователей опасности из за вредных токсинов и канцерогенов, таких как свинец, хром и даже мышьяк. Для эксперимента было привлечено 56 электронных сигарет активных…

Для этого мы воспользуемся функцией Google photo «Общие библиотеки». «Общие библиотеки» — Если в двух словах, то эта функция позволяет пользователям легко и быстро обмениваться фотографиями с определенными пользователями автоматически. Но мы поступим по другому, мы превратим «Общие библиотеки»в…

Это будет работать с любым потоковым сервисом, который вы используете, например Spotify или Google Play Music. Для этого мы будем использовать голосовую команду: “Hey Google, set an alarm for 7 a.m. (или любое другое время) that plays [Название группы, музыканта].” Данная команда будет вносить…

Краткая суть объявления, для тех, кто не привык читать до конца: Я в отпуске до апреля, интернет плохой - помогать в техническом плане буду реже, но буду :) Раз в день. Все в том же чате chain_cf Все сервисы, боты, публичная нода и другое остаются бесплатными и общедоступными.