Исследователь безопасности обнаружил уязвимость в приложении Arc, позволяющую выполнять произвольный JavaScript в браузерах других пользователей путем манипуляции полем creatorID.
«Уязвимость была сообщена, исправлена, и в течение дня была выплачена награда в размере $2000, позже был присвоен CVE (CVE-2024-45489).»
Arc ответил на озабоченность по поводу конфиденциальности, отключив Firebase и запустив программу вознаграждений за обнаружение уязвимостей для улучшения безопасности.
Компания Browser, создатели Arc, раскрыли значительную уязвимость, которая позволяла получить доступ к браузерам пользователей без посещения конкретного веб-сайта. Проблема была устранена, и ни один пользователь не пострадал.
Компания планирует отказаться от использования Firebase, запустить программу вознаграждений за обнаружение уязвимостей и укрепить свою команду по безопасности, включая найм нового старшего инженера по безопасности.
Инцидент вызвал обсужден ия о достаточности вознаграждения в размере $2,000 за обнаружение уязвимости, многие считают, что оно должно быть значительно выше, учитывая серьезность уязвимости.
SimpleIcons.org выпустил коллекцию из 3000 бесплатных SVG-иконок для популярных брендов, что привлекло значительное внимание со стороны технического сообщества.
Коллекция примечательна своим широким ассортиментом и простотой использования, но пользователям рекомендуется проверять лицензионные соглашения, чтобы избежать возможных нарушений товарных знаков.
«Выпуск вызвал обсуждения о правовых последствиях использования логотипов брендов без явного разрешения, подчеркивая важность понимания прав интеллектуальной собственности.»
Злоумышленники используют уведомления GitHub для распространения вредоносного ПО, создавая и быстро удаляя проблемы в публичных репозиториях.
Вредоносное ПО, названное «LUMMASTEALER», похищает конфиденциальные данные, такие как криптовалютные кошельки и сохраненные учетные данные, обманывая пользователей и заставляя их запускать вредоносную команду PowerShell.
«Атака использует уязвимости в обработке Windows загруженных файлов и сертификатов подписи кода, а улучшения в уведомительных письмах GitHub могут смягчить такие угрозы.»
Электронные письма с уведомлениями GitHub были использованы для распространения вредоносного ПО, что вызывает обеспокоенность по поводу безопасности.
Обсуждения подчеркивают важность распознавания тревожных сигналов, таких как подозрительные домены и команды, требующие ввода в оболочку, чтобы избежать мошенничества.
Разговор подчеркивает, что даже опытные пользователи могут быть обмануты, что указывает на необходимость усиления мер безопасности на GitHub.