Так уж повелось, что последние полтора года я занимаюсь обеспечением на соответствие стандарту PCI DSS одного платежного сервиса или иначе PCI DSS Complianc'ом (головняк еще тот, скажу я Вам), эта тема очень близка мне... Да что тут говорить она близка всем держателям платежных карт:

https://www.anti-malware.ru/news/2018-11-13-1447/28009

Давно хочу заюзать Силениум, да руки не доходят, а тут еще libpod, владельцам блогов и Fedora (в частности) посвящается:

https://fedoramagazine.org/automate-web-browser-selenium/

Онлайн генератор емодзи, а чего, прикольно:

https://phlntn.com/emojibuilder/

Нас кормят патчами, но все не в прок. На CPU - Intel, AMD, ARM обнаружены новые дыры позволяющие выполнять спекулятивный код (продолжение линейки атак типа Meltdown)

Что интересно, представители Intel заявляют, что это никак невозможно, исследователи же говорят, что нет ничего невозможного :)

https://www.opennet.ru/opennews/art.shtml?num=49608

Обнаружена уязвимость в Outlook, которая в том числе затрагивает Outlook входящий в набор Office 365. Уязвимость позволяет атакующему удаленно исполнять код.

Детали на офф сайте:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8524

За своевременную новость спасибо @RatLab

Сейчас в сети гуляет информация про смартфон от гнусмас'ов с дырявым экраном (типа новая модель Samsung A8s), посмотрев на "утекшее" с завода фото, сначала даже непонятно где эта самая дырка (так и окрестили "дырявый смартфон, а не смартфон с отверстием)...

Понятно, что это вброс и все мы знаем про "секретные" или "утекшие" фото с заводов и что за этим следует, понятно что это в преддверии запуска новой маркетинговой компании, и нужна эта "дырка" будет или для шнурка или камеры или хз чего еще, а может ее вообще залатают, но блдть "дырка", Карл! Это конкретный ход, надо отдать должное :)

Одна из таких новостей:

https://www.ixbt.com/news/2018/11/18/samsung-galaxy-a8s.html

Пакетный менеджер для Windows, меня заинтересовала работа с доставкой содержимого zip пакетов на эндпоинты, в общем посмотреть надо (тем, кто еще не смотрел)

За наводку спасибо @sysroman

https://chocolatey.org/

Осторожно - поддельные крипто-кошельки в Google Play:

https://lukasstefanko.com/2018/11/fake-cryptocurrency-wallets-found-on-play-store.html

Новые функции AWS позволят защитить пользовательские данные S3 бакетов:

https://www.securityweek.com/aws-adds-new-feature-preventing-data-leaks

У кого форум на phpBB - обнаружена серьезная уязвимость! Если есть возможность - обновляйтесь...

Собственно PoC:

https://blog.ripstech.com/2018/phpbb3-phar-deserialization-to-remote-code-execution/

Много, кто использует Nginx, но мало, кто использует WAF (по разным причинам), одна из причин - не везде есть возможность ставить к примеру ModSecurity из "коробки", а вот теперь при определенных условиях, это возможно :)

https://sys-adm.in/os/nix/799-linux-ustanovit-modsecurity-kak-modul-nginx-iz-rep.html

Вот жеж, для пользователей DE, где юзается Gnome Keyring:

https://github.com/sungjungk/keyring_crack/blob/master/README.md

Ну ни на кого нет надежды:)

https://xakep.ru/2018/11/22/amazon-leak/

Браузер всё больше и больше становиттся основной рабочей средой. И не удивительно, что в него встраивается различный функционал для отслеживания его работы. Вот и в 64й Firefox планируют завезти Task-Manager.

Подробнее об этом на OpenNet:
https://www.opennet.ru/opennews/art.shtml?num=49663

Целый набор бесплатных курсов от Microsoft на тему безопасности и интеграции облачных сервисов Azure, всего 7 курсов:

1) Создание и управление современным сервисом почты в малом и среднем бизнесе.
2) Управление безопасностью в малом и среднем бизнесе.
3) Настройка инструментов совместной работы для малого и среднего бизнеса.
4) Управление развертыванием приложений.
5) Создание облачной инфраструктуры.
6) Резервное копирование и архивация.
7) Создание и управление веб-приложениями.

Можно записаться на любой курс, по факту обучения получить сертификат подтверждающий прохождение курсов, что сказать - неплохой плюс в карму резюме и общего развития ;)
⁠ ⁠
Узнать подробности и зарегистрироваться можно по ссылке:

https://goo.gl/FbyQFu

Многие знают о проекте по мониторингу блокируемых IP небезызвестным Роскомнадзором...

Так вот - сейчас проходит премия Рунета, автор участвует в номинации на премию, ресурс действительно полезный, так что если тебе не в лом, проглосуй ну или прочитай что это за проект, если в первые слышишь о нем. Я лично проголосовал ;)

Собственно вся нужная инфа с большой красной кнопкой "Голосовать" на сайте автора:
https://usher2.club

Meltdown и Spectre для GPU? Похожие принципы проведения атак на видео-девайсы оказывается возможен:

https://www.networkworld.com/article/3321036/data-center/gpus-are-vulnerable-to-side-channel-attacks.html

Nmap — Утилита для исследования сети и сканер портов, который, быстрым движением руки, можно превратить в сканер уязвимостей:

https://sys-adm.in/security/798-ustanovka-vilners-plaginov-dlya-nmap.html

Перехват трафика (ну или как пишут многие интернет издания - перенастройка сети), вызвали небывалую нагрузку и в результате сбой. Не осилили :)

https://www.securitylab.ru/news/496707.php

Попал я тут невзначай на YouTube red, сервис который предоставляет видео без рекламы...

Ребят, это чудо маркетинга.. они сначала раскрутили ютюб, начали впаривать нам рекламу в видосах, а теперь ВНИМАНИЕ продают видос без рекламы, Карл!!!

Кому интересен red:

https://m.youtube.com/red