Zero Day Weekly: Gatekeeper, scenskräck, Experian och T-Mobile brott, VMware och WinRAR dåliga vecka

Välkommen till Zero Day s Vecka Inom Security, webbplatsens roundup av anmärkningsvärda säkerhet nyheter för den vecka som slutade 2 Oktober 2015.

Experian / T-Mobile brott UPDATE (10:51 PST): A T-Mobile talesman har sagt webbplatsen några kritiska detaljer om vem som berörs av överträdelsen. “Tekniskt sett är 15m kredit sökande, eller 15m T-Mobile kunder och sökande.”

I själva verket var de sökande för T-Mobile tjänster, “talesmannen till.” Inte alla påverkas är eller har varit en T-Mobile kund, och vi vill se till att dessa fakta är tydliga. Om folk läser din berättelse, kan de tror att de är OK eftersom de inte är en T-Mobile kund, när i själva verket kan de vara i riskzonen. Vi måste få detta budskap mer exakt, så de anmäler sig till skyddstjänster.

Original [un-uppdateras] utdrag från Engadget: info Experian läckor från 15 miljoner T-Mobile kreditansökningar: “T-Mobile har precis avslöjat att det har varit utsatt för en stor hacka som har avslöjat personuppgifter, inklusive personnummer ., för cirka 15 miljoner av sina kunder vd John Legere har just skrivit ett brev om hack där han säger att dataintrång kredit leverantör Experian har avslöjat information,. T-Mobile använder Experian att bearbeta sina kreditansökningar Names, adresser och födelsedatum för de 15 miljoner kunder avslöjades att hackare samt krypterade data som innehöll detaljer som personnummer och körkort nummer. Tyvärr tror Experian att krypterings skydda dessa databitar äventyrades, liksom.

Från varje Android-enhet är utsatta för nyupptäckta fel “Med två nya” scenskräck “sårbarheter upptäcks, är sårbara för illvilliga hackare nästan varje Android-enhet som någonsin släppts. Det har upptäckts i Googles Android mobil programvara av samma säkerhetsföretag som hittat en helt serie farliga fel tidigare i år. Flera av de buggar som upptäckts av forskarna säkerhets utgör en fara för varje aktiv Android-enhet där ute. Mer än en miljard Android smartphones och surfplattor är riskerar att äventyras av de nya buggar om deras ägare även bara förhandsgranska video- eller ljudfiler som är speciellt utformad för att utnyttja sårbarheten, sade zLabs.

Från Engadget. Patreon donation webbplats användardata som publicerats på nätet efter hacka “Patreon, den crowdfunding-plattformen för konstnärer, har blivit hackad nyligen, och nästan 15 gigabyte data stulits från webbplatsen är nu tillgänglig på nätet Security forskare Troy Hunt av har jag pwned ? sa Ars Technica att han fann 2,3 miljoner e-postadresser (inklusive sin egen) i data dumpa, tillsammans med lösenord och donations register, privata meddelanden och även webbplatsens källkod. Observera att vissa skärmdumpar av data dumpa som dykt upp på nätet visar att del av de uppgifter stulna genererades så sent som 24 september. ”

Från Macworld: Gatekeeper bypass i OS X bygger på att döpa om en app “En forskare har upptäckt att OS X Gatekeeper inställning att begränsa app lanserar bara till dem kryptografiskt undertecknat av Apple eller både Apple och tredjepartsutvecklare har en brist: En signerad app kan få tillgång till andra program eller komponenter som har ersatts med skadlig kod utan en separat verifieringssteget. “gate~~POS=TRUNC verifierar bara att första ansökan”, säger Patrick Wardle, chef för forskning vid företaget analysföretaget Synack. det innebär är skadlig part kan byta ut en dynamisk programbibliotek, en kommandorad körbara (såsom ett skript), eller ett annat program med en samma namn version. I sin testning, Wardle fann att signerad Photoshop installatör skulle ladda plug-ins från en annan katalog som ändrades ut för skadlig kod utan vidare anmälan. han testade även med en Apple-distribuerat program som han avböjde att avslöja på Apples begäran.

Från hemsidan: Kina, USA överens om cyberbrott samarbete bland fortsatt spänning “Kina och USA har gemensamt kommit överens om att varken bör stödja cyber spionage, men detaljer om exakt vad detta innebär är knapphändig och diskussioner där cyberspying förblir känsligt Inga tydliga detaljer om vad. detta “avtal” innebar lämnades vid gemensam presskonferens hålls av de två statsöverhuvuden, men Obama noterade “betydande framsteg” enas om hur deras respektive brottsbekämpande skulle samarbeta, utbyta information och spåra gärningsmän involverade i it-brott eller cyberattacker.

Från hemsidan: VMware vCenter och ESXi strida mot fjärrkörning av kod buggar “En osäker konfiguration av Java Management Extensions (JMX) inom VMwares vCenter har fästs som orsaken till en utnyttja som skulle tillåta körning av kod på värdmaskiner En av. upptäckarna av säkerhetshålet, 7 Elements “Doug Mcleod, sade sårbarhet tillåtet för systemnivå tillgång till virtuella maskin värdservrar, och resulterade i en fullständig kompromiss för miljön.”

Säkerhet, Så att inte kontrollera ett dataintrång (och varför vissa verkligen vill att du ska få “pwned”), säkerhet, nytänkande säkerhets grunderna: Hur man gå bortom FUD, Innovation, M2M marknaden studsar tillbaka i Brasilien, säkerhet;? FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska gov’t tjänstemän

Från hemsidan: Critical WinRAR sårbarhet ställer 500 miljoner användare i riskzonen “En unpatched, kritisk fjärrkörning av kod fel i WinRAR: s SFX arkiv funktioner har beskrivits av forskare, en säkerhetsbrist som enligt uppgift gör det möjligt att fjärrkörning av kod har upptäckts i WinRAR SFX version 5.21. iransk forskare Mohammad Reza Espargham postat sina resultat på Full Disclosure. beviljas en CvSs poäng 7,4, kan sårbarheten tillåter hackare att få fjärr exekvera systemkod och kompromisser offer maskiner, vilket leder till kontroll, övervakning och eventuellt datastöld. en CVE poäng är ännu inte utfärdas.

Från US Department of Justice: Ryska Utvecklare av Notorious “Citadel” Malware Dömd till fängelse “Dimitry Belorossov, a / k / a Rainerfox, har dömts till fyra år, sex månader i fängelse efter hans guilty plea för konspiration att begå datorbedrägeri . Belorossov distribueras och installeras Citadel, en sofistikerad skadlig kod som smittade över 11 miljoner datorer världen över och på offrets datorer med hjälp av olika infektionsmetoder. Citadel var en sofistikerad form av skadlig kod som kallas en “bank Trojan” utformad för att stjäla på nätet bankuppgifter, kredit kortinformation, personlig information, och slutligen medel genom obehöriga elektroniska överföringar. Cyberbrottslingar, inklusive Belorossov, distribueras och installeras Citadel på offrets datorer via en mängd olika infektionsmetoder, inklusive skadliga bilagor till skräppost och kommersiella internetannonser som innehåller skadlig kod eller länkar till skadlig kod.

Från Daily Dot: FBI och DEA ​​under granskning för användning av NSA massövervakning data “Justitiedepartementet utreder FBI: s användning av information som tas direkt från massövervakning utförd av National Security Agency (NSA) samling av telefon metadata Utbytet. av att NSA spioneri program beskrevs av en domare som en “häpnadsväckande” mängd data när byrån förmåga att samla det slogs ner som olaglig i domstol tidigare i år. programmet återupptogs i juni och kommer att pågå åtminstone fram till december. En annan pågående justitiedepartementet utredning undersöker Enforcement Administration (DEA) Drug s användning av “parallell konstruktion.”

Från stapeln: Cookies kan underlätta angrepp på säkra webbsidor “CERT har utfärdat ett nytt direktiv meddela att cookies kan användas för att göra det möjligt för angripare att kringgå ett säkert protokoll (HTTPS) och avslöjar privat sessionsinformation – och att moderna webbläsare, inklusive Apples Safari, Mozilla Firefox och Google Chrome, för närvarande ger inget skydd mot angrepps. Forskning visar att säkra platser som viktiga som Google och Bank of America är sårbara för tekniken. ”

Hur man inte att kontrollera ett dataintrång (och varför vissa verkligen vill att du ska få “pwned”)

Re-thinking säkerhets grunderna: Hur man gå bortom FUD

? M2M marknaden studsar tillbaka i Brasilien

FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän