Хотя разработчики Signal позиционируют мессенджер как средство для безопасной коммуникации, приложение не обеспечивает должную защиту при обновлении с расширения для Chrome на декстопную версию, экспортируя сообщения пользователей в виде незашифрованных файлов. В процессе апгрейда пользователю требуется указать локацию, куда будут сохраняться данные сообщений (текст и вложения), для автоматического импорта информации в новую версию.

В понедельник, 22 октября, в Госдуму РФ был внесен законопроект об ограничении максимальной доли иностранных акционеров в уставном капитале новостных агрегаторов двадцатью процентами. Автором инициативы является депутат Госдумы РФ от ЛДПР Андрей Луговой, сообщает «КоммерсантЪ». Согласно пояснительной записке к законопроекту, ограничения необходимы для «предотвращения угрозы общественному порядку в России».

Команда исследователей из Лилльского университета, Национального исследовательского института INRIA (Франция) и Королевского технологического института KTH (Швеция) изучают возможность создания специального бота для быстрого и эффективного исправления уязвимостей в ПО. Созданный ими бот Repairnator для устранения ошибок в сборках, возникающих в процессе непрерывной интеграции, уже добился в данной сфере определенного успеха.

На минувшей неделе SecurityLab писал об уязвимости CVE-2018-10933 в библиотеке Libssh, позволяющей с легкостью обойти механизм авторизации и перехватить контроль над сервером или сайтом. Проблема была исправлена в версиях libssh 0.7.6 и 0.8.4.

В популярных устройствах NAS, таких как WD My Book, NetGear Stora, Seagate Home и Medion LifeCloud NAS, обнаружены опасные уязвимости, позволяющие злоумышленникам получить права суперпользователя на устройстве без какого-либо участия пользователя. Речь идет о двух уязвимостях (CVE-2018-18471 и CVE-2018-18472), обнаруженных исследователями безопасности Паулосом Йибело (Paulos Yibelo) и Даниэлем Эшету (Daniel Eshetu).

Исследовательница безопасности Лилит Уайат (Lilith Wyatt) из Cisco Talos обнаружила критическую уязвимость в библиотеке LIVE555, используемой в популярных медиаплеерах, в том числе в VLC и MPlayer. Для эксплуатации уязвимости (CVE-2018-4013) злоумышленник может отправить особым образом сконфигурированный пакет, содержащий множество строк «Accept:» или «x-sessioncookie», тем самым вызвать переполнение буфера в стеке и удаленно выполнить произвольный код.

За неприменение мер по выявлению и прекращению распространения запрещенной информации для интернет-сервисов следует ввести штрафы. Такое предложение содержится в сообщении, полученном РБК от Лиги безопасного интернета. В понедельник, 22 октября, Лига безопасного интернета отправила свое предложение в администрацию президента, Генпрокуратуру, Следственный комитет, МВД, Минкомсвязи, Госдуму РФ, Совфед и другие органы исполнительной власти.

В минувшие выходные неизвестные злоумышленники украли из холодного кошелька швейцарской блокчейн-компании Trade.io более 50 млн токенов TIO (примерно $8 млн по текущему курсу). По словам главы Trade.io Джима Прейсслера (Jim Preissler), холодные кошельки компании хранились в банковских ячейках.

Российским предприятиям необходимо существенно наращивать производство интегральных схем, выполненным по технологическому процессу не более 32 нм, которые сейчас импортируются из других стран. К такому выводу пришли специалисты компании J’son & Partners Consulting по итогам исследования, результаты которого представлены в отчете «Анализ потенциала импортозамещения в микроэлектронике: Интегральные схемы по технологическому процессу не более 32 нм».

Команда разработчиков системы управления контентом Drupal исправила две критические уязвимости в платформе, позволявшие удаленно выполнить произвольный код и перехватить управление уязвимой системой. Проблемы затрагивают версии Drupal 7 и 8. Одна из уязвимостей связана с функцией DefaultMailSystem::mail()в Drupal 7 и 8.