PS4 официально взломана.
Уже есть репак(.PKG) игрового тизера Silent Hill от Кодзимы.
Ссылка на мануал - https://tapochek.net/viewtopic.php?t=205689
Size: a a a
2018 January 17
2018 January 18
Новый день - новые баги! Lokihardt из Google снова открыл детали по уязвимости, позволяющей копировать данные из стека в heap средствами JavaScript в Chakra(CVE-2017-0776). https://bugs.chromium.org/p/project-zero/issues/detail?id=1420.
Я уже писал ранее про бинарные баги в браузерах, связанные с web assembly. И вот первый известный мне экземлпяр: CVE-2017-5116, которая была обнаружена в JavaScript движке V8, а значит и в Chrome (для версии 61.0.3163.79 для десктопа и 61.0.3163.81 для Android). Детали по уязвимости появились сегодня.
Это out of bounds бага возникает из-за race condition'а при доступе к уже полюбившемуся нам SharedArrayBuffer, содержащему WebAssembly код, из web-worker'а, который выполняется в другом потоке вкладки. Возникновение этой ситуации позволяет модифицировать WebAssembly-код, что в свою очередь позволяет атакующему получить read/write примитив. Подробное описание и технические детали есть тут: https://android-developers.googleblog.com/2018/01/android-security-ecosystem-investments.html.
Там же есть детали по баге CVE-2017-14904.
С помощью двух этих уязвимостей удалось взломать Google Pixel, который пережил Mobile Pwn2Own 2017.
Это out of bounds бага возникает из-за race condition'а при доступе к уже полюбившемуся нам SharedArrayBuffer, содержащему WebAssembly код, из web-worker'а, который выполняется в другом потоке вкладки. Возникновение этой ситуации позволяет модифицировать WebAssembly-код, что в свою очередь позволяет атакующему получить read/write примитив. Подробное описание и технические детали есть тут: https://android-developers.googleblog.com/2018/01/android-security-ecosystem-investments.html.
Там же есть детали по баге CVE-2017-14904.
С помощью двух этих уязвимостей удалось взломать Google Pixel, который пережил Mobile Pwn2Own 2017.
Обнаружил в телеграмме две уязвимости, первая open redirect, пруф https://www.openbugbounty.org/reports/500512/ , вторая сливает пол миллиона ссылок в приватные чаты и каналы. Баги приняли, скоро их исправят и я напишу интересную статью🙂
Куда утекают данные: последствия грандиозного «слива» Equifax
https://goo.gl/iLBU1u
https://goo.gl/iLBU1u
Анализ безопасности мессенджера Telegram от Positive Technologies
В этой статье рассмотривается Telegram в целом, говорят об используемом им протоколе и проводят сравнение с другими аналогичными продуктами. Советую к прочтению
https://www.securitylab.ru/analytics/490726.php
В этой статье рассмотривается Telegram в целом, говорят об используемом им протоколе и проводят сравнение с другими аналогичными продуктами. Советую к прочтению
https://www.securitylab.ru/analytics/490726.php
Пользователям Virtual Box будет полезно узнать, что там вышел апдейт, исправляющий дыру, позволявшую выходить из виртуальной машины в хост. А это означает, что информация об уязвимости теперь доступна публично, так что кто не проапдейтился - сам виноват
https://twitter.com/_niklasb/status/953604276726718465
https://twitter.com/_niklasb/status/953604276726718465
2018 January 19
Wine3.0 - зарелизилась третья мажорная версия эмулятора системных вызовов Windows. Именно эта система лежит в основе портов бОльшей части старых игр на мак и линукс. Ну и на сегодняшний момент это единственный нормальный способ запустить на линуксе Майкрософт Офис и последний Фотошоп. Все время удивляюсь, как у ребят хватает энтузиазма уже больше десяти лет развивать этот продукт, мои большие поздравления команде!
В этом релизе практически полная совместимость с базовыми уровнями DirectX/3D 11 и поддержка Андроида.
https://www.winehq.org/news/2018011801
В этом релизе практически полная совместимость с базовыми уровнями DirectX/3D 11 и поддержка Андроида.
https://www.winehq.org/news/2018011801
В интернете сейчас циркулирует якобы ещё одна лажа в macOS, в рамках которой вроде как неадминский юзер может установить расширение ядра, нажав кнопку в системных настройках, не вводя админские логин и пароль.
https://twitter.com/wdormann/status/953651214532726789
Похоже, что это та проблема, которая выглядит хуже, чем на самом деле, потому что в данном случае пользователь уже авторизовался в установщике, введя там админский пароль, поэтому в настройках используется информация об этой авторизации. Так что вроде как работает все как и должно, но панику в интернете развести это никогда не мешало
https://twitter.com/wdormann/status/953651214532726789
Похоже, что это та проблема, которая выглядит хуже, чем на самом деле, потому что в данном случае пользователь уже авторизовался в установщике, введя там админский пароль, поэтому в настройках используется информация об этой авторизации. Так что вроде как работает все как и должно, но панику в интернете развести это никогда не мешало
Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью
https://goo.gl/P6iHXi
https://goo.gl/P6iHXi
Касперская: Биткойн — разработка американских спецслужб
https://goo.gl/qPC6sj
https://goo.gl/qPC6sj
https://www.debian.org/security/2018/dsa-4091
Several issues have been discovered in the MySQL database server. The vulnerabilities are addressed by upgrading MySQL to the new upstream version 5.5.59, which includes additional changes. Please see the MySQL 5.5 Release Notes and Oracle's Critical Patch Update advisory for further details
Several issues have been discovered in the MySQL database server. The vulnerabilities are addressed by upgrading MySQL to the new upstream version 5.5.59, which includes additional changes. Please see the MySQL 5.5 Release Notes and Oracle's Critical Patch Update advisory for further details
Алмазный фонд «Хакера». Топовые материалы по взлому за последние несколько лет
https://goo.gl/dB4QPx
https://goo.gl/dB4QPx
2018 January 20
В статье рассказывается почему всё-таки стоит попробовать язык программирования Python, несмотря на то, что он медленный.
@nuancesprog #статьи #python
@nuancesprog #статьи #python
Про такую штуку нельзя не рассказать. Q-Stick - компьютер-брелок, который представил на площадке Indiegogo стартап из Аляски.
Будет две версии (а я уверен, что на него средства соберут) Blaze Plus и Blaze Pro. Оба устройства оборудованы 8 гигами ОП, Bluetooth, Wi-Fi модулями, слотом microSD (до 128 Гбайт), HDMI, 2хUSB 3.0, USB Type-C и Micro-USB. За графику отвечает Intel HD Graphics 405. Вообщем можно подключать к любому 4К телевизору и получаем нормальную систему.
Различия в процессоре и флеш-модуле, в более дорогой версии стоит 4х ядерный Atom x7-Z8750 (макс 2,56 ГГц.) и 128 Гбайт встроенной памяти.
Цена гаджета $130 за Plus и $179 за Pro.
На устройство можно будет смело залить Android, Linux или даже Windows 10.
Будет две версии (а я уверен, что на него средства соберут) Blaze Plus и Blaze Pro. Оба устройства оборудованы 8 гигами ОП, Bluetooth, Wi-Fi модулями, слотом microSD (до 128 Гбайт), HDMI, 2хUSB 3.0, USB Type-C и Micro-USB. За графику отвечает Intel HD Graphics 405. Вообщем можно подключать к любому 4К телевизору и получаем нормальную систему.
Различия в процессоре и флеш-модуле, в более дорогой версии стоит 4х ядерный Atom x7-Z8750 (макс 2,56 ГГц.) и 128 Гбайт встроенной памяти.
Цена гаджета $130 за Plus и $179 за Pro.
На устройство можно будет смело залить Android, Linux или даже Windows 10.
2018 January 21
Как ошибку Spectre, способную сломать индустрию, держали в тайне семь месяцев
https://geektimes.ru/post/297311/
https://geektimes.ru/post/297311/
