Forwarded from Евгений Потапов и ITSumma
У Zoom (как минимум на маке, на винде - посмотрю) стоит в бэкграунде вебсервер, который выдает картинку.
Когда вы присоединяетесь по ссылке на звонок, сайт Zoom-а открывает <img src .../> с localhost и GET-запросом передает команду (img src, чтобы обойти CORS).
В ответ вебсервер отдает картинку с разными разрешениями - так возвращает статус, они на фотке, там весело.
Соответственно, если вы просто у себя на сайте пропишете такой тег, у zoom-юзера запустится инвайт в звонок, а до вчера, если поиграться с параметрами - можно было автоматом туда человека запустить сразу с включенным видео и аудио. Обновитесь ;)
https://medium.com/@jonathan.leitschuh/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5?fbclid=IwAR2DqL-NOXQGaZiMO3nAvLJVKSswmlj_rLJ_5wS9FBx1eXsJ0nDpSHhIlYo
Когда вы присоединяетесь по ссылке на звонок, сайт Zoom-а открывает <img src .../> с localhost и GET-запросом передает команду (img src, чтобы обойти CORS).
В ответ вебсервер отдает картинку с разными разрешениями - так возвращает статус, они на фотке, там весело.
Соответственно, если вы просто у себя на сайте пропишете такой тег, у zoom-юзера запустится инвайт в звонок, а до вчера, если поиграться с параметрами - можно было автоматом туда человека запустить сразу с включенным видео и аудио. Обновитесь ;)
https://medium.com/@jonathan.leitschuh/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5?fbclid=IwAR2DqL-NOXQGaZiMO3nAvLJVKSswmlj_rLJ_5wS9FBx1eXsJ0nDpSHhIlYo
Medium
Zoom Zero Day: 4+ Million Webcams & maybe an RCE? Just get them to visit your website!
Vulnerability in the Mac Zoom Client allows any malicious website to enable your camera without your permission. The flaw potentially…
https://www.firstpost.com/tech/science/scientists-succeed-in-mapping-every-neuron-in-a-worm-a-breakthrough-in-neuroscience-6934301.html
#NN
#NN
Tech2
Scientists succeed in mapping every neuron in a worm, a breakthrough in neuroscience
The connectome is also a foundation for understanding far more complex nervous systems like our own.
Trained a Neural Net
https://xkcd.com/2173/
https://xkcd.com/2173/
xkcd
Trained a Neural Net
Forwarded from Информация опасносте
на выходные у меня для вас есть 48 страниц отчета по изучению прошивок телекоммуникационного оборудования Huawei. Исследователи изучили 1,5 миллиона файлов из почти 10 тыс образов к 558 различным корпоративным устройствам Huawei. Выводы исследователи делают неутешительные. Если коротко — то все плохо, оборудование менее безопасно, сотни потенциальных уязвимостей для бэкдоров, включая захардкоженные логины и пароли и встроенные криптографические ключи. Масса непропатченных известных уязвимостей из опенсорса, потому что в некоторых случаях разработчики почемуто решали использовать древние 20-летние библиотеки вместо современных аналогов. Несмотря на обещания Huawei улучшать безопасность устройств, исследователи делают вывод, что она со временем ухудшается.
Даже если у вас нет времени читать весь документ, раздел Key Findings — это хорошее место получить общее представление о том, что говорится в отчете. Очень занимательное чтиво.
https://finitestate.io/wp-content/uploads/2019/06/Finite-State-SCA1-Final.pdf
Даже если у вас нет времени читать весь документ, раздел Key Findings — это хорошее место получить общее представление о том, что говорится в отчете. Очень занимательное чтиво.
https://finitestate.io/wp-content/uploads/2019/06/Finite-State-SCA1-Final.pdf
Forwarded from Роман Мылицын
Автор поста на Хабре про уязвимость в Астре сильно не хочет аппрувить коммент о ее закрытии :)))))
Волшебно. МТС опять не смог в DevOps: https://mts.potok.io/open/jobs/137288
Кстати, от такого описания вакансии хочется блевать.
Кстати, от такого описания вакансии хочется блевать.
Forwarded from Cybersecurity & Co. 🇺🇦 (Alexander Litreev)
This media is not supported in your browser
VIEW IN TELEGRAM
Желание Сбербанка знать всё и вся про клиентов просто переходит все границы. Давай мы будем знать твои биометрические данные и согласие ты нам дашь, потому что выбора у тебя нет, пёс.
Forwarded from Sys-Admin InfoSec (Yevgeniy Goncharov)
Гугл пишет голосовое аудио пользователей, данные утекли в сеть, но этого больше не повторится:
https://www.blog.google/products/assistant/more-information-about-our-processes-safeguard-speech-data/
https://www.blog.google/products/assistant/more-information-about-our-processes-safeguard-speech-data/
Google
More information about our processes to safeguard speech data
We’re focused on building products that work for everyone, and as part of this, we invest significant resources to ensure that our speech technology works for a wide variety of languages, accents and dialects. This enables products like the Google Assistant…
Facebook получил штраф на $5 млрд по делу Кембридж Аналитики. Это все, что вам надо знать про демократию и свободу заработка в США.
Суть: илитка не смогла пропихнуть своего, у тебя один из миллионов разработчиков-партнеров проводит рекламные кампании на твоей платформе, пиздюлей получаешь ты за всех.
Because fuck you, that's why.
Суть: илитка не смогла пропихнуть своего, у тебя один из миллионов разработчиков-партнеров проводит рекламные кампании на твоей платформе, пиздюлей получаешь ты за всех.
Because fuck you, that's why.
Очень ценная подборка по Эльбрусам http://ict18.rans.ru/images/present/Gorshenin.pdf
Про nightly сборки и их фанатов: “Хорошие вещи по ночам не делаются”