IT-новости 19 января: Эксперты назвали Telegram рассадником киберпреступности, Oracle исправила 497 уязвимостей в Java SE, MySQL и VirtualBox, в официальном приложении Олимпиады-2022 обнаружили баги
Эксперты назвали Telegram рассадником киберпреступности
Исследовательская компания Cybersiixgill, специализирующаяся на мониторинге даркнета, пришла к выводу, что Telegram стал площадкой для киберпреступников, многие из которых перешли в этот мессенджер из “темного интернета”.
По словам экспертов, создание и поддержка сайтов с псевдо-доменом .onion обходится намного дороже, чем разработка ботов и ведение каналов в Telegram. По этой причине киберпреступники начали оказывать часть услуг в мессенджере — хакеры продают в Telegram украденные банковские карты и другие финансовые данные.
Согласно отчету Cybersiixgill, пик популярности оказания хакерских услуг в Telegram пришелся на период весны-лета 2020 года. Сейчас эти масштабы снизились на 60%, но все равно остаются на достаточно высоком уровне по сравнению с другими мессенджерами.
Источник: Cybersiixgill
Oracle исправила 497 уязвимостей в Java SE, MySQL и VirtualBox
Компания Oracle выпустила плановое обновление безопасности с исправлением 497 уязвимостей в Java SE, MySQL, VirtualBox и других программных продуктах. Большинство уязвимостей нельзя считать особо опасными, но в определенных ситуациях они могли стать причиной нарушения работы систем.
В список исправленных багов вошли:
17 проблем с безопасностью в Java SE 17.0.2, 11.0.13 и 8u311. Все проблемы имеют умеренный уровень опасности — 16 уязвимостям присвоен уровень опасности 5.3, а одной — 3.7.
30 уязвимостей в сервере MySQL, из которых одна может быть эксплуатирована удалённо. Наиболее серьёзным проблемам, которые связаны с использованием пакета Curl и работой оптимизатора, присвоены уровни опасности 7.5 и 7.1.
2 уязвимости в VirtualBox. Проблемам присвоен уровень опасности 6.5 и 3.8. Уязвимости устранены в обновлении VirtualBox 6.1.32.
5 уязвимостей в Solaris 11.4 SRU41. Проблемы затрагивают ядро, инсталлятор, файловую систему, библиотеки и подсистему отслеживания сбоев. Проблемам присвоены уровни опасности 6.5 и ниже.
Также специалисты Oracle провели работу по устранению уязвимостей в библиотеке Log4j 2, в результате чего устранены 33 ошибки.
Источник: Oracle
В официальном приложении Олимпиады-2022 обнаружили несколько уязвимостей
Эксперты Citizen Lab сообщили, что мобильное приложение My 2022, установка которого обязательна для всех участников Зимних Олимпийских игр в Пекине, содержит уязвимости. Баги раскрывают конфиденциальные данные, включая информацию о здоровье спортсменов, официальных лиц и других участников Олимпиады.
В частности, My 2022 не может проверить некоторые SSL-сертификаты, делая передачу личных данных открытой для злоумышленников. Также приложение неправильно шифрует конфиденциальные метаданные, передаваемые через функцию обмена сообщениями. Из-за этого любой перехватчик, использующий точку доступа Wi-Fi, может узнать, с кем и когда общаются пользователи.
Исследователи кибербезопасности считают, что приложение My 2022 нарушает правила Apple App Store и политику Google в отношении нежелательного программного обеспечения. Кроме того, My 2022 может нарушать стандарты и законы о конфиденциальности Китая.
Источник: Engadget
Facebook открыла исходный код многоязычной модели распознавания речи XLS-R
Команда Facebook AI сообщила о выпуске общедоступной версии многоязычной модели распознавания речи XLS-R. Модель имеет открытый исходный код и два миллиарда параметров.
XSLR обучена на 436 тысячах часов человеческой речи на 128 языках, что на порядок больше, чем у любой аналогичной модели. Релиз улучшает качество распознавания речи и более чем вдвое повышает точность перевода речи с иностранного языка на английский. Эффективность XSLR доказана, в том числе, во время тестирования на малораспространенных языках.
Работа XLS-R основана на архитектуре wav2vec 2.0, в которой для преобразования звука используется кодировщик функций сверточной нейронной сети. Код XSL-R доступен на GitHub, а предварительно обученные модели можно найти в репозитории моделей HuggingFace.
Источник: Facebook
Сервис Google Play получил ряд обновлений
В рамках очередного обновления магазин приложений Google Play предоставил пользователям возможность вручную добавлять учетные данные для входа на сайты и приложения. Теперь такая опция появилась в диспетчере паролей Google.
Также в Google Play улучшен способ входа в Android TV с помощью поддерживаемых Android-устройств и работа службы поддержки для аккаунта Google на Android. Пользователям предоставят более актуальный контент в зависимости от точки входа.
Новые обновления уже доступны в версиях Google Play Services v22.02.03 и Google Play Store v28.8. Развертывание обновлений началось 14 января.
Источник: Android Police
В дистрибутивах Kubernetes появятся безопасные реестры Mirantis
Компания Mirantis выпустила программный продукт Mirantis Secure Registry (MSR) 3.0. Он предназначен для создания и развертывания безопасных реестров в дистрибутивах Kubernetes.
Предыдущие версии Mirantis Secure Registry ранее выпускались под именем Docker Trusted Registry. Разработчики приложений могут использовать MSR как основу для создания безопасной цепочки поставок программного обеспечения. Поскольку MSR обеспечивает доступ к реестру образов контейнеров с повышенным уровнем безопасности по сравнению с общедоступными реестрами, это усиливает контроль над цепью поставок программного обеспечения.
Mirantis Secure Registry 3.0 позволяет проверять автоматизированные операции и интеграции с конвейерами непрерывной интеграции/непрерывной доставки (CI/CD) для ускорения тестирования и доставки приложений. MSR можно использовать вместе с другими приложениями в любом дистрибутиве Kubernetes 1.20 и выше с помощью стандартных методов Helm.
Источник: ZDNet
По словам экспертов, создание и поддержка сайтов с псевдо-доменом .onion обходится намного дороже, чем разработка ботов и ведение каналов в Telegram. По этой причине киберпреступники начали оказывать часть услуг в мессенджере — хакеры продают в Telegram украденные банковские карты и другие финансовые данные.
Согласно отчету Cybersiixgill, пик популярности оказания хакерских услуг в Telegram пришелся на период весны-лета 2020 года. Сейчас эти масштабы снизились на 60%, но все равно остаются на достаточно высоком уровне по сравнению с другими мессенджерами.
Источник: Cybersiixgill
В частности, My 2022 не может проверить некоторые SSL-сертификаты, делая передачу личных данных открытой для злоумышленников. Также приложение неправильно шифрует конфиденциальные метаданные, передаваемые через функцию обмена сообщениями. Из-за этого любой перехватчик, использующий точку доступа Wi-Fi, может узнать, с кем и когда общаются пользователи.
Исследователи кибербезопасности считают, что приложение My 2022 нарушает правила Apple App Store и политику Google в отношении нежелательного программного обеспечения. Кроме того, My 2022 может нарушать стандарты и законы о конфиденциальности Китая.
Источник: Engadget
Также в Google Play улучшен способ входа в Android TV с помощью поддерживаемых Android-устройств и работа службы поддержки для аккаунта Google на Android. Пользователям предоставят более актуальный контент в зависимости от точки входа.
Новые обновления уже доступны в версиях Google Play Services v22.02.03 и Google Play Store v28.8. Развертывание обновлений началось 14 января.
Источник: Android Police
ПЕРЕЙДИТЕ В ПОЛНУЮ ВЕРСИЮ