ASEC опубликовала отчёт о фишинговых угрозах
Специалисты ASEC выпустили еженедельный отчёт об угрозах фишинга по электронной почте. Исследование предоставляет подробную классификацию различных методов фишинговых атак и затрагивает новые типы, которые ранее не встречались. Аналитическая группа отметила, что среди вредоносных вложений наиболее распространёнными являются архивы (RAR, ZIP, ACE), которые составляют 43% от общего количества.
Обнаружена уязвимость в JsonWebToken
Исследовательская группа Palo Alto Unit 42 обнаружила новую уязвимость (CVE-2022-23529 (CVSS 7.6)) в популярном проекте с открытым исходным кодом JsonWebToken. По сообщению специалистов, успешная эксплуатация указанной уязвимости позволяет злоумышленнику произвести удалённое выполнение кода (RCE) на сервере, проверяющем вредоносный запрос веб-токена. Также исследователи дали рекомендации по обновлению JWT до версии 9.0.0, которая включает исправление для этой уязвимости.
Github добавила новую функцию, позволяющую упростить разработку безопасного ПО. Нововведение позволяет запустить сканирование кода на уязвимости без использования файла .yaml. После включения данной функции разработчик может сразу получить информацию об уязвимостях в репозиториях и оперативно устранить найденные недостатки. Специалисты отметили, что нововведение упростит начало работы со сканированием кода в репозиториях Python, JavaScript и Ruby.