News aggregator

Este fone de ouvido adiciona um recurso matador ao iPhone: rádio FM

MeioBit - Wed, 31/10/2018 - 10:30

O rádio está aos poucos sumindo dos smartphones. Outrora inclusos em todos os feature phones por capricho de um nerd anônimo, os receptores foram ficando e sendo usados por pura leniência, mas a verdade é que em tempos de conexões velozes e serviços de streaming, as empresas se tocaram que oferecer conteúdo de graça não era uma boa ideia.

A Apple, por exemplo nunca habilitou o recurso enquanto os receptores FM estiveram presentes em seus gadgets, o que deixou de ser feito a partir do iPhone 7 (ainda que eles não tivessem as antenas necessárias, de qualquer forma); operadoras nos Estados Unidos bloqueiam o FM em modelos Android, mas de uns tempos para cá empresas como Motorola e Samsung e LG não mais incluem os componentes em alguns modelos, em especial os de ponta.

A tendência é que o rádio FM desapareça completamente mesmo de smartphones mais baratos no futuro, para que serviços como Apple Music, Spotify, Deezer e etc. alcancem mais gente. Mesmo quem não apela para o streaming se resolve com um cartão de memória e discografias em arquivos .MP3, mas apesar dos pesares o rádio continuará vivo. Ele não só diverte e entretém, mas é uma fonte de informação em tempo real e acessível, além de ser essencial em situações de emergência, e claro, há demanda. Isso ou as emissoras não lançariam apps com seu conteúdo.

O que nos leva ao lançamento da Blackloud, o fone de ouvido Soundot AF1 FM. Este acessório, por enquanto exclusivo para dispositivos iOS graças ao conector Lightning (uma versão para Android, com USB-C será lançada em 2019) resolve o problema da falta de receptores e antenas FM nos iPhones, ao trazer tudo embutido nele mesmo. O fone em si, como de praxe age como a antena, enquanto um app compatível faz as vezes de sintonizador.

A qualidade de transmissão pode não ser estelar e o usuário fica obviamente sujeito à programação das emissoras, mas em caso de perda de conexão e em situações de emergência, como desastres naturais (o que é uma constante nos Estados Unidos) é sempre bom ter um rádio à mão, principalmente para saber o que está acontecendo no mundo.

O Soundot AF1 FM não é exatamente barato, entretanto: o fone de ouvido com rádio custa US$ 79,89, e a fabricante justifica o valor com recursos como um codec de 24 bits para uma melhor qualidade de áudio, uma construção que habilita som em 3D e acesso à Siri através do botão multifunção.

O acessório pode ter um preço um tanto salgado para quem só quer fazer uma graça, mas talvez ele se justifique em situações extremas.

Com informações: The Verge.

O post Este fone de ouvido adiciona um recurso matador ao iPhone: rádio FM apareceu primeiro em Meio Bit.

Lingokids faz pelas crianças o que o Duolingo faz pelos adultos

MeioBit - Tue, 30/10/2018 - 19:49

O Lingokids é um app pra iOS e Android com jogos, músicas e atividades, criado especialmente para ensinar inglês para crianças menores de 5 anos de idade, e que funciona com o controle dos pais, que podem cadastrar perfis para até quatro crianças, o que é bem útil para famílias com vários irmãos.

O app tem versão gratuita e outra paga, que funciona no esquema de assinatura por um valor mensal. A versão que testamos foi a paga, que nos foi gentilmente enviada pelo desenvolvedor para essa pequena avaliação. Como os meus filhos já passaram (e muito) da idade do público alvo deste app, coube a mim mesmo a tarefa de fazer esta pequena resenha, por mais que eu já esteja distante alguns anos-luz da idade certa pra fazer justiça a ele.

Agora um adendo pessoal de uns três ou quatro parágrafos, que o querido leitor pode pular se não tiver paciência, e eu prometo desde já não ficar chateado. Quando eu aprendi inglês, não existia Internet, muito menos smartphones e seus apps, pra falar a verdade não existia ainda nem a possibilidade de aprender em fitas VHS, já que o formato foi criado em 1977, mas demorou até chegar ao Brasil (sim, eu já tô bem velho, mas prefiro chamar de experiente). De qualquer maneira, bem que eu gostaria de ter tido um app como estes na idade certa, tanto na minha vida, como também depois de adulto, quando tive a missão de ensinar o belo idioma bretão para os meus filhos.

No meu caso pessoal, tive a sorte de estudar em uma escola que tinha muitas horas de aulas de inglês por semana no currículo, o que facilitou meu aprendizado, mas mesmo assim, por muito tempo ainda tive dificuldades, até o dia que meti na cabeça que queria ler um livro imenso do James Clavell que tinha acabado de ser lançado e só tinha versão em inglês, aí peguei o dicionário e fui adiante. Nada motiva tanto quanto um bom desafio. Até que deu bem certo, já que eu falo inglês fluente até hoje, já cheguei inclusive a escrever em um site internacional.

No caso dos meus filhos, eles tiveram mais sorte, pois nasceram em outros tempos, e com a Internet a missão de aprender qualquer idioma certamente ficou bem mais fácil. Hoje em dia eles felizmente já falam inglês, aprenderam na escola, e mais recentemente ampliaram seus conhecimentos com a ajuda de apps como o Duolingo, isso pra não falar nos inúmeros games e vídeos da Netflix ou Youtube, é claro.

Voltando ao Lingokids, a proposta do app é mesmo ser uma espécie de Duolingo pra crianças bem mais novas, e ele realmente parece prestar muito bem o seu papel, ensinando de forma divertida e lúdica. Por falar em papel, uma seção do app oferece atividades de colorir, como números, letras e desenhos pra serem impressos, ou enviados por e-mail para o pai imprimir no trabalho (algo que confesso ter feito várias vezes pros meus filhos com a ajuda de vários sites infantis).

Outra coisa bem útil é que o papai ou a mamãe podem fazer o download dos conteúdos e atividades do app, algo que pode ser uma verdadeira mão na roda pra quando a criança estiver em um ambiente sem sinal ou uma rede Wi-Fi por perto, e assim pode ajudar a passar o tempo quando a família estiver presa em um engarrafamento no trânsito ou quando a fila por uma mesa no restaurante estiver bem longa.

O app tem seções para estimular a leitura e a musicalidade das crianças, além de atividades como jogos da memória e outros games bem lúdicos e simples, mas que por isto mesmo devem agradar aos pequenos. O jogo da imagem acima até lembra uma versão infantil de River Raid, mas a velocidade é bem reduzida, assim os pequenos não vão se estressar, muito pelo contrário, tudo é bem calmo, colorido e com músicas animadas.

Ao completar uma atividade no app, a criança é recompensada com imagens de fogos de artifício, para estimular o acerto. Todos sabem que o ser humano aprende e se concentra muito mais quando está se divertindo (ou fingindo que é o Batman), mas o interessante é que Lingokids não usa apenas jogos para ensinar inglês de forma efetiva, mas sim de vários tipos de conteúdo que foram pensados para crianças.

Hoje em dia já existem até cursos de faculdade ministrados com jogos, ou seja, vivemos em tempos interessantes, pra dizer o mínimo. O problema é que com uma grande variedade de produtos e serviços feitos pra crianças, também vem junta uma imensa quantidade de lixo. então nós já vimos de tudo, passando por tablets dedicados até apps e jogos.

Algumas ideias fazem todo o sentido, outras não fazem sentido nenhum. Existem versões dos apps do Google voltados para crianças, mas nem todas são tão seguras assim, como o YouTube, que não é nada kids friendly, tanto na versão Kids quanto na principal.

Existem milhares de apps infantis na Play Store que coletam informações sobre as crianças, mas felizmente o Lingokids não é um deles. Nem tudo é perfeito, pois ele transmite informações sobre o hardware do smartphone ou tablet, mas pelo menos ele não envia o número do IMEI ou informações pessoais.

Pra terminar, o Lingokids é um app que não tem nenhuma surpresa escondida, seu conteúdo é bem feito, tem boa apresentação e me parece bastante adequado para a idade em questão. Suas atividades são interessantes, pois ensinam as crianças a desenharem e escreverem corretamente letras e números, e pelo menos pra mim como leigo, parecem bem pedagógicas.

Se você tem filhos menores de cinco anos, e gostaria de ensiná-los a falar inglês de uma forma divertida e simples, sem se incomodar de emprestar o seu smartphone de vez em quando ou pagar a assinatura mensal, o Lingokids é uma boa pedida.

Saiba mais no site do app.

O post Lingokids faz pelas crianças o que o Duolingo faz pelos adultos apareceu primeiro em Meio Bit.

Dimitri, você perdeu outro porta-aviões?

MeioBit - Tue, 30/10/2018 - 18:11

Hoje um leitor se espantou com a notícia de que a Rússia só tinha um porta-aviões, mas em verdade, é até muito. Eu diria que eles tem meio, e por pouco não passaram a ter nenhum, mas estrategicamente faz sentido — apesar de ser contra intuitivo — um país enorme ter poucos navios desse tipo.

Porta-Aviões são fundamentais, 120 mil toneladas de pura diplomacia, na Segunda-Guerra Mundial cimentaram sua posição como meio de projeção de poder. Eles decretaram o fim da Era dos Grandes Encouraçados, mesmo o poderoso Bismarck não resistiu ao poder aéreo.

Em 7 de dezembro de 1941 os EUA tinham três porta-aviões na frota do Pacífico, o Enterprise, o Lexington e o Saratoga, eles eram os alvos principais dos japoneses, mas não estavam em Pearl Harbor na hora do ataque.

Ataque que só foi bem-sucedido por usar SEIS porta-aviões. Um número considerável, já que na época o total da Marinha dos EUA era de 7, no mundo todo. Ao final da Segunda Guerra os EUA tinham 120 porta-aviões no mar, já a União Soviética, ZERO.

Obviamente era inviável manter essa frota toda em tempos de paz, foi quase tudo pra naftalina ou virar gilete, e a doutrina dos EUA passou a ter poucos porta-aviões muito grandes, nucleares de preferência. No auge da Guerra-Fria chegaram a ter 12 ao mesmo tempo, o que é absurdo de caro.

Já os russos só foram ter algo parecido com um porta-aviões em 1967, o Moskva, um porta-helicópteros de 12 mil toneladas:

O primeiro porta-aviões de verdade, que efetivamente portava aviões foi o Kiev, lançando em 1975. Ele era tão pequeno que seu deslocamento era só de 30 mil toneladas, apenas o dobro do nosso Minas Gerais. Levava 32 aviões, 20 helicópteros e usava propulsão convencional.

Ele foi descomissionado em 1993 e vendido para a China, que o transformou em hotel em um parque temático.

Entre 1975 e 1993 os russos chegaram a ter quatro porta-aviões operacionais, em teoria, pois da mesma forma que em backup, onde se você só tem um não tem nenhum, em meios navais quatro porta-aviões não significam quatro porta-aviões efetivamente disponíveis.

Você tem sempre um em patrulha, outro chegando no porto terminando a patrulha, outro em manutenção e outro preparando pra partir.

Neste momento os EUA tem seis porta-aviões operacionais, os outros cinco estão em manutenção de vários tipos, incluindo o USS Washington, que em agosto entrou pro estaleiro pra uma reforma geral e reabastecimento dos reatores nucleares, e só voltará para o mar em 2021.

Esse custo era alto demais para os russos, mas nem foi esse o motivo principal da União Soviética não investir em porta-aviões. Os motivos foram geográficos e geopolíticos.

Apesar de enorme a União Soviética era em grande parte cercada por terra. Seu acesso ao mar ao norte e ao oeste era em portos que congelavam no inverno: não é muito simples operar com porta-aviões acima do Círculo Polar, e no Leste, bem, era simplesmente longe demais. Região desabitada ou com zero infraestrutura pra manter todo o pessoal necessário pra operar uma frota de porta-aviões. E sim, também era frio.

No noroeste estavam cercados de inimigos em potencial, a principal base naval soviética ficava na Lituânia, mas eles sabiam que se fosse preciso ir pra porrada, teriam que enfrentar tudo que os americanos pudessem colocar no estreito da Dinamarca, uma passagem onde a largura máxima é 11 km e a profundidade média, 60 metros. Um verdadeiro pesadelo para submarinos.

O caminho pra sair da Lituânia até mar aberto.

Já o sudeste, pior ainda. O único lugar onde a Rússia podia ter um porto era no Mar Negro, cujo sul era todo tomado pela Turquia, que por acaso era membro da OTAN. Em caso de guerra os navios russos teriam que forçar passagem pelo estreito do Bósforo, imagine 30 km em um canal sinuoso onde a largura às vezes chegava a 1 km, apenas para descer mais um pouco, chegar nas Dardanelas e repetir o processo. Seria uma mistura de caça ao pato com aqueles joguinhos de tower defense.

Esse é o motivo geográfico. O geopolítico é simples: as áreas de interesse da Rússia são todas acessíveis por terra, ela não precisa de porta-aviões pra invadir a Polônia, na verdade só precisa de um VW Scirocco. Ao contrário do mostrado em Amanhecer Violento, os russos não estavam muito focados em invadir os EUA, em caso de guerra feia a resposta seria nuclear e devastadora.

Já os EUA tinham que levar democracia às regiões ameaçadas pelo espectro do comunismo, e isso exigia projeção de força. Por isso tantos porta-aviões.

No final — spoilers — a União Soviética acabou e a Rússia herdou o único porta-aviões operacional da frota, o Almirante Kuznetsov, comissionado em 1990. O problema é que ele não é exatamente topo de linha, mesmo pros padrões russos.

Essa desgraça está num estado tão calamitoso que há quem diga que os americanos não usam satélite pra rastrear, mas detectores de fumaça:

O Kuznetsov é um desastre ambulante, isso quando consegue ambular. Ele é o único caso de um porta-aviões que em sua flotilha leva um.. rebocador. Isso mesmo, o porta-aviões russo quebra tanto que é procedimento normal que ele seja acompanhado de um rebocador de alto-mar, fato que é zoado por todas as marinhas do mundo. Aqui quando ele quebrou na Baía de Biscaia, em 2012:


Alexandr Shakun — СБС “Николай Чикер” в свежую погоду.

Como o Kuznetsov é extremamente zicado (recentemente na Síria ele perdeu um MiG que caiu na água ao pousar, o cabo de arresto arrebentou) ele não tem paz nem quando está no porto.

Ele estava passando por um monte de reformas, e agora no finalzinho, mais precisamente ontem, a bruxa atacou de novo. A manobra era simples: inundar a doca seca, fazer o Kuznetsov flutuar de novo e finalizar as reformas, testar e mandar pro mar. A doca seca é esse monstro aqui:

Como funciona: o navio é rebocado até a posição, dentro da doca seca, que no caso está molhada. Alinhado com os suportes no piso, bombas começam a esvaziar os pontões laterais, e graças a um senhor chamado Arquimedes, eles se erguem e o navio acaba acima do nível do mar, onde é muito mais fácil de trabalhar, se você não for um peixe.

Com essas estruturas são grandes demais pra ser completamente estanques, há bombas o tempo todo mantendo os pontões vazios, mas uma falha de energia fez com que as bombas parassem. Os pontões começaram a inundar, e de forma irregular, afinal desgraça pouca é bobagem. A doca inteira se inclinou, e aqueles dois guindastes caíram, pelo menos um atingiu em cheio o convés do Kuznetsov.

Havia 70 trabalhadores no local, e no meio do barata-voa quatro caíram na água e foram tratados por hipotermia no hospital, um sofreu um ferimento na barriga e outro aparentemente morreu. Segundo relatos durante o acidente foi aberto um buraco de 4 × 5 metros no casco do navio, acima da linha d’água.

Por enquanto só temos uma foto do acidente, dá pra ver o guindaste em cima do porta-aviões.

Dificilmente os russos vão divulgar algum vídeo do acidente, que deve ter sido épico. O que informaram é que o navio foi rebocado para outro estaleiro, e passará um bom tempo sendo consertado. As gaivotas com asma agradecem.

 

O post Dimitri, você perdeu outro porta-aviões? apareceu primeiro em Meio Bit.

New iPhone Passcode Bypass Found Hours After Apple Releases iOS 12.1

THN - Tue, 30/10/2018 - 18:01
It's only been a few hours since Apple releases iOS 12.1 and an iPhone enthusiast has managed to find a passcode bypass hack, once again, that could allow anyone to see all contacts' private information on a locked iPhone. Jose Rodriguez, a Spanish security researcher, contacted The Hacker News and confirmed that he discovered an iPhone passcode bypass bug in the latest version of its iOS

Talos Vulnerability Discovery Year in Review - 2018

Talos - Tue, 30/10/2018 - 16:13

Introduction
Cisco Talos' Vulnerability Discovery Team investigates software and operating system vulnerabilities in order to discover them before malicious threat actors. We provide this information to vendors so that they can create patches and protect their customers as soon as possible. We strive to improve the security of our customers with detection content, which protects them while the vendor is creating, testing, and delivering the patch. These patches ultimately remove the vulnerability in question, which increases security not only for our customers but for everyone. Once these patches become available, the Talos detection content becomes public, as well. You can find all of the release information via the Talos vulnerability information page here.

Over the past several years, our research team has improved the pace at which we disclose vulnerabilities. Talos increased the number of vulnerabilities it disclosed 22 percent year-over-year, and we hope to continue to grow that number. As of Oct. 23, Cisco has updated it's vendor vulnerability and discovery policy. You can read the complete details here.

Philosophy
Our coordinated disclosure philosophy involves working closely with vendors to address the vulnerabilities discovered by our team. Our focus is to protect customers and share this data in coordination with the software vendor. Responsible reporting involves working within the policy outlined below, while also ensuring the vendor has an opportunity to resolve the issue in a timely manner.
Timeline of actions to be taken by Cisco


In the interest of fostering coordinated vulnerability disclosure, Cisco will attempt to work with any vendor on reasonable adjustments to the above timeline if progress is being made and the 90-day default timeline is not adequate for creating a patch or other type of mitigation that addresses the vulnerability. Extenuating circumstances may result in adjustments to the disclosures and timelines when reasonably necessary.

Reporting on Talosintelligence.comThe Talos Vulnerability DiscoveryTeam released more than 200 advisories in Cisco's fiscal year 2017, resulting in 202 CVEs. In FY2018 (period ended July 31, 2018), the team increased the discovery total to 251 advisories, which led to nearly 400 CVEs. During FY2018, Talos contributed at least one vulnerability in every Adobe Reader bulletin, 20 vulnerabilities in Foxit PDF Reader, more than 90 advisories for internet-of-things (IoT) devices, eight vulnerabilities in Natus Neuroworks (EEG software), as well as various vulnerabilities in: VMWare, Nvidia Graphics Drivers, OpenOffice, Intel Graphics Drivers, Ethereum applications, and Google PDFium.





FY2018 saw a marked increase in the number of IoT vulnerabilities identified. As IoT devices increase their market share and devices proliferate the associated vulnerabilities are increasing as server exploitation continues to decline.



ConclusionFinding and disclosing zero-day vulnerabilities via coordinated disclosure helps improve the overall security of the devices and software people use on a day-to-day basis. Talos is committed to this effort, developing programmatic ways to identify problems or flaws that could be otherwise exploited by malicious attackers, as well as having dedicated resources working to ensure clear communication and coordination. These developments help secure the platforms and software customers use and also help provide insight into how Talos can improve its own processes.

For vulnerabilities Talos has disclosed, please refer to our Vulnerability Report Portal here.

To review our Vulnerability Disclosure Policy, please visit this site here.

Apple apresenta iPad Pro com Face ID, MacBook Air com tela Retina e Mac mini mais potente

MeioBit - Tue, 30/10/2018 - 14:30

Pouco mais de um mês depois de anunciar os novos iPhones XS, XS Max e XR e o Apple Watch Series 4, a Apple abriu mais uma vez sua sacolinha para revelar nesta terça-feira (30) novos produtos para seus consumidores. As novidades da vez são o iPad Pro com Face ID e bordas mais finas, um MacBook Air com Display Retina e um mais potente Mac mini, após quatro anos sem novas versões.

Confira aqui tudo o que foi apresentado:

Novo iPad Pro com Face ID e bordas finas

Confirmando todos os vazamentos, o novo iPad Pro segue o design dos novos iPhones e elimina de vez o botão Home. O modelo menor salta de 10,5 para 11 polegadas, mantendo as proporções enquanto o de 12,9 tem uma mesma tela, mas o corpo ficou sensivelmente menor. O display é o mesmo LCD presente no iPhone XR, com a resolução de 2.388 x 1.688 pixels no modelo menor, mantendo a proporção de 264 ppi.

Uma das novidades foi a remoção do conector Lightning: a Apple dá indícios que está cedendo a pressões externas e equipou o iPad Pro com uma porta USB-C, o que o torna compatível com displays externos e permite até carregar um iPhone on the go. Assim, a maçã sinaliza que muito provavelmente o Lightning não será mantido em futuras gerações de seus dispositivos móveis, até para manter sua imagem de empresa verde.

As bordas finas nas laterais e a remoção do botão Home permitiu que o novo iPad Pro ficasse ainda mais fino: o tablet agora ostenta um corpinho de apenas 5,9 mm de espessura, uma redução geral de até 25% no volume em ambos modelos. As bordas permitem inclusive a inclusão dos sensores TrueDepth para o Face ID sem a necessidade de um notch, com a câmera

Na parte dos acessórios, a nova capa-teclado suporta dois ângulos de uso e a Apple Pencil recebeu um novo design sextavado de melhor pegada e obviamente também perdeu o conector Lightning, passando a contar agora com carregamento via indução. Demorou, mas Cupertino reconheceu que espetar a caneta no iPad para carrega-la era uma ideia idiota.

Por dentro, o novo iPad Pro utiliza o novo processador Apple A12X Bionic, um chip octa-core desenvolvido pela TSMC (Samsung quem?) em um processo de litografia de sete nanômetros, assim como o A12 dos novos iPhones e uma GPU de sete núcleos.

Segundo a Apple, este tablet conta com mais de 10 bilhões de transístores que entregam um desempenho superior a 92% dos notebooks disponíveis no mercado. Quando comparado com o iPad Pro anterior, o novo entregaria um desempenho 35% maior em operações single-core e 90% maior em multi-core, e a GPU é duas vezes mais potente. Na parte do som, o novo iPad Pro conta com quatro alto-falantes, com tweeters e woofers para uma experiência mais nítida e fiel.

A pré-venda do iPad Pro já começou nos Estados Unidos; ele chega ao mercado no dia 07 de novembro mas ainda não há uma data definida para o mercado brasileiro. No entanto, a Apple Brasil já revelou os preços.

Estes são os valores do modelo de 11 polegadas:

  • 64 GB e Wi-Fi: R$ 6.799,00;
  • 64 GB e 4G: R$ 7,999,00;
  • 256 GB e Wi-Fi: R$ 7.999,00;
  • 256 GB e 4G: R$ 9.199,00;
  • 512 GB e Wi-Fi: R$ 9.599,00;
  • 512 GB e 4G: R$ 10.799,00;
  • 1 TB e Wi-Fi: R$ 12.799,00;
  • 1 TB e 4G: R$ 13.999,00.

E estes são os preços do modelo de 12,9 polegadas:

  • 64 GB e Wi-Fi: R$ 8.399,00;
  • 64 GB e 4G: R$ 9.599,00;
  • 256 GB e Wi-Fi: R$ 9.599,00;
  • 256 GB e 4G: R$ 10.799,00;
  • 512 GB e Wi-Fi: R$ 11.199,00;
  • 512 GB e 4G: R$ 12.399,00;
  • 1 TB e Wi-Fi: R$ 14.399;00;
  • 1 TB e 4G: R$ 15.599,00;

O iPad Pro de 10,5″ passa a custar a partir de R$ 5.399 na versão de 64 GB e Wi-Fi, enquanto a geração anterior do modelo de 12,9″ foi descontinuada.

Novo MacBook Air

O novo modelo do MacBook Air ganhou finalmente um Display Retina de 13,3 polegadas, com resolução de 4 milhões de pixels e bordas bem mais finas, o que o tornou menor e mais compacto. Ele também recebeu o Touch ID, na forma de um sensor no canto superior direito do teclado e gerenciado pelo chip Apple T2.

Na parte de entradas, a Apple oferece apenas duas portas Thunderbolt 3 para dados e energia, introduzindo o suporte a monitores 5K e placas de vídeo externas, além da saída P2 para fones de ouvido tradicionais.

O teclado utiliza a 3ª geração do controverso design borboleta nas teclas, que irritou muita gente ao longo dos anos, mas segundo a Apple, o conjunto está mais robusto e menos sujeito a danos. O TouchPad, agora 20% maior suporta Force Touch e mais silencioso, enquanto os alto-falantes provém um volume 5% maior, equipado com três microfones e câmera Face Time HD para chamadas em áudio e vídeo. O conjunto está ligeiramente mais silencioso,

Por dentro, a Apple utilizou processadores Intel Core i5 de 8ª geração, 8 ou 16 GB de memória RAM, um SSD de a partir de 128 GB e uma bateria que suporta até 12 horas de navegação em Wi-Fi e até 13 horas de reprodução de vídeo. Tudo num conjunto 17% menor que a geração anterior, com apenas 15,6 mm de espessura na extremidade mais larga e 1,25 Kg de peso.

O Touch ID fica no canto superior direito, ao lado da tecla F12

A pré-venda do MacBook Air já está disponível, e ele chegará às lojas no dia 07 de novembro nos Estados Unidos; a versão com Core i5, 8 GB de RAM e 128 GB de memória Flash custa R$ 10.399,00, com opção de aumentar a RAM para 16 GB e o espaço interno até 1,5 TB. Ainda não há data de lançamento para o Brasil.

Novo Mac mini

O outrora Mac acessível da Apple foi atualizado pela última vez em 2014, e muita gente esperava pela nova versão. Este novo Mac mini, entretanto veio com foco em performance, com opções de processadores quad e hexa-core e suporte de até 64 GB de RAM DDR4, de 2.666 MHz.

Felizmente, a Apple voltou atrás em uma decisão idiota: o pequeno desktop volta a contar com duas entradas SO-DIMM para os pentes de memória, mas por outro lado dificultou um pouco as coisas ao adotar SSDs PCIe, não mais suportando discos tradicionais provavelmente por questões de design e espaço interno. O usuário pode escolher quanto armazenamento deseja antes de comprar um, entre 128 GB e 2 TB.

O hardware do novo Mac mini suporta processadores Intel de 8ª geração Core i3, i5 ou i7, além de contar com quatro portas Thunderbolt 3, duas USB Type-A tradicionais, uma saída HDMI 2.0 (a DisplayPort dançou) e uma Ethernet Gigabit. O design é o mesmo das últimas gerações, compacto e fácil de realizar atualizações.

A intenção da Apple é tornar o Mac mini uma opção para usuários avançados, que desejavam um dispositivo macOS menos caro mas com configurações minimamente decentes para edição de áudio e vídeo. Até então este produto era visto como um Mac de entrada para o público geral, mas agora a maçã está claramente tentando empurrar tais consumidores para o iPad.

E por isso mesmo os preços escalaram. O modelo mais simples, com um processador Intel Core i3 de 3,6 GHz, 8 GB de RAM e SSD de 128 GB custa R$ 6.999,00, e a versão com Core i5 de 3 GHz e 256 GB de armazenamento sai por R$ 9.399,00; o usuário pode equipa-lo com processadores Intel Core i7, até 64 de RAM e 2 TB de RAM por um valor obviamente bem alto, logo o Mac mini não é mais um hardware barato para curiosos.

A pré-venda do novo Mac mini já está disponível; ele chegará às lojas no dia 07 de novembro e de novo, ainda não há uma data de lançamento para o Brasil.

O post Apple apresenta iPad Pro com Face ID, MacBook Air com tela Retina e Mac mini mais potente apareceu primeiro em Meio Bit.

Windows 10 Bug Let UWP Apps Access All Files Without Users' Consent

THN - Tue, 30/10/2018 - 12:58
Microsoft silently patched a bug in its Windows 10 operating system with the October 2018 update (version 1809) that allowed Microsoft Store apps with extensive file system permission to access all files on users' computers without their consent. With Windows 10, Microsoft introduced a common platform, called Universal Windows Platform (UWP), that allows apps to run on any device running

Unpatched MS Word Flaw Could Allow Hackers to Infect Your Computer

THN - Tue, 30/10/2018 - 08:16
Cybersecurity researchers have revealed an unpatched logical flaw in Microsoft Office 2016 and older versions that could allow an attacker to embed malicious code inside a document file, tricking users into running malware onto their computers. Discovered by researchers at Cymulate, the bug abuses the 'Online Video' option in Word documents, a feature that allows users to embedded an online

Signal Secure Messaging App Now Encrypts Sender's Identity As Well

THN - Tue, 30/10/2018 - 06:18
Signal, the popular end-to-end encrypted messaging app, is planning to roll out a new feature that aims to hide the sender's identity from potential attackers trying to intercept the communication. Although messages send via secure messaging services, like Signal, WhatsApp, and Telegram, are fully end-to-end encrypted as they transmit across their servers, each message leaves behind some of

GPlayed's younger brother is a banker — and it's after Russian banks

Talos - Mon, 29/10/2018 - 13:30
This blog post is authored by Vitor Ventura.

Introduction
Cisco Talos published its findings on a new Android trojan known as "GPlayed" on Oct. 11. At the time, we wrote that the trojan seemed to be in the testing stages of development, based on the malware's code patterns, strings and telemetry visibility. Since then, we discovered that there's already a predecessor to GPlayed, which we are calling "GPlayed Banking." Unlike the first version of GPlayed, this is not an all-encompassing banking trojan. It is specifically a banking trojan that's looking to target Sberbank AutoPay users, a service offered by the Russian state-owned bank.
GPlayed Banking is spread in a similar way to the original GPlayed. It's disguised as a fake Google app store, but actually installs the malware once it's launched. This further illustrates the point that Android users need to be educated on how to spot a malicious app, and that they should be careful as to what privileges they assign to certain programs.The malicious application is on the left-hand side.
Trojan architecture and capabilities
This malware is written in .NET using the GPlayed environment for mobile applications. The malware code is implemented in a DLL called "PlayMarket.dll."GPlayed Banking issues its package certificate under a fake name that's not related to the application's name, nor the package's name.Certificate information
The Android package is named "lola.catgirl." The application uses the label "Play Google Market," with an icon designed to look like the legitimate Google app store, and its name is "android.app.Application."
Package permissions
The trojan declares numerous permissions in the manifest, from which we wish to highlight the BIND_DEVICE_ADMIN, which provides nearly full control of the device to the trojan. The working capabilities of this trojan are limited to the ones needed to perform its objective as a banking trojan. The only exception is that it also contains the ability to exfiltrate all of the user's received SMS messages to the command and control (C2).
Trojan details
Once executed, the trojan will start to obtain administrator privileges on the device by requesting that the user change its settings.Privilege escalation requests
If the user cancels the device's administration request, the request dialog will appear again after five seconds repeatedly until the user finally gives it administrator privileges. The malware contains code that could lock the device's screen, but it's never called. The same happens with another feature that needs the device's administrator privilege.Unused code
Notably, in order to perform its activities as a banking trojan, none of these privileges are needed.
In the next step in its initialization process, the trojan will create a timer with a random value that will range between 900 and 1,800 seconds. When triggered, this timer will start a WebView that is loaded from the URL hxxp://sub1[.]tdsworker[.]ru:6565/index_main.html. This WebView will inject an amount of 500, which given the victim's profile, it is safe to assume that there will be rubbles.
The overlay will completely cover the screen which, depending on the device, can make the mobile device unusable until reboot or the WebView is closed. The WebView code couldn't be determined because the C2 was never online during the investigation.WebView blocking device
This WebView overlay technique is the same used by the GPlayed trojan, from the same family. However, GPlayed trojan loaded the WebView from local resources contained in the application package. In that case, the webview would request the user's credit card information to pay for supposed "Google Services." Given the similarities, it is safe to assume that this WebView would have same sort of objective. This change from having the WebView code hosted in the C2 or having it as a resource on the package shows that the authors want to remain independent from the C2.
After the malware creates the WebView, it sends an SMS to the Sberbank AutoPay (+79262000900) service with the word "баланс," which means "balance" in Russian. Upon receiving an answer, the trojan will parse it to determine the account balance. If it is lower than 3,000, the trojan won't do anything. If it is larger than 68,000 the trojan requests a value of 66,000, otherwise it will request the available amount minus 1,000.Balance checking and amount decision
Finally, with the available amount determined, the trojan will create a new WebView object and request the amount defined according to the rules previously shown.
Password extraction code
In order to complete financial transactions, a validation code is necessary. So, the following action is the registration of an SMS handler that will parse any arriving SMS messages and look for the word "пароль," which means "password" in Russian. The malware parses the SMS containing that word to extract the password, which will then be injected into the previously created WebView. We believe this malware is specifically designed to evade the 3-D Secure anti-fraud mechanism because it injects a variable called "s3dscode" with the extracted value to the WebView object. The password is actually the validation code needed to validate the transaction.The SMS receiver handler, beside parsing the 3-D secure validation code, will also send all SMSs to the C2.SMS exfiltration code
The SMSs are exfiltrated using a simple GET request to the REST-based URL hxxp://sub1[.]tdsworker[.]ru:5555/sms/", the format for this request is as follows:
<URL><device id>/<sender address>/<message content>

Trojan activity
This trojan hasn't been observed in the wild yet, and it's not being detected by many antivirus programs at the time of this writing. However, the samples were submitted for detection analysis in nearly the same week as when Talos discovered the malware. Just like in the GPlayed trojan case, the ratio detection verification method was the same. First, the package was submitted followed by the DLL that holds the code. In the case of the DLL, GPlayed and this sample share one of the submission sources, further strengthening the link between the two. Given the architecture, organization and maturity of the code, the most likely relation is that this banking trojan was created based on an early version of the GPlayed trojan code base, by the same author(s) given that they also share a C2.Code comparison (above banking trojan, below, the original GPlayed trojan)
Just like GPlayed, the C2 was never online during our research, but it would be easy to adapt this trojan to a new C2. Therefore, we don't know what was displayed in the WebView step mentioned previously. The icon file used by both malware families is the same, which can be considered another link between the packages.
Conclusion
This trojan was designed with a very specific group of victims in mind, namely Sberbank customers who use the AutoPay service. However, adapting it to fit other banks would be a trivial activity for the developers of the GPlayed malware family.
This malware family is just another example of why mobile users need to be critical about the permissions they accept to certain apps. There's no specific exploit that GPlayed family uses to infect its victims — it can be installed on a device just through a simple spam campaign. Android users need to be aware of two important points: By installing applications from untrusted application stores, they are putting themselves and their data in jeopardy. Also, giving the wrong permissions can make a difference between a malware and a legitimate app. Users cannot trust permissions justifications, as they are provided by the developer, they must be critic about the permissions and assign them on a case by case.
The interception of SMS validation codes technique is not new for banking trojans. But this banking trojan followed by the GPlayed trojan shows a clear evolution of the actors behind this malware families. They went from a simple banking trojan to a full-fledged trojan with capabilities never seen before.
The DLLs used in the malware, which hold the majority of the code, have a low detection ratio and show that anti-virus solutions are not looking at the code in a file and are more so focused on Android packages' permissions and resources. While we have not yet seen these files in the wild, they certainly have the potential to infect a large number of users and could quickly hijack a user's banking credentials.
Coverage
Additional ways our customers can detect and block this threat are listed below.


Advanced Malware Protection (AMP) is ideally suited to prevent the execution of the malware used by these threat actors.
Cisco Cloud Web Security (CWS) or Web Security Appliance (WSA) web scanning prevents access to malicious websites and detects malware used in these attacks.
Email Security can block malicious emails sent by threat actors as part of their campaign.
Network Security appliances such as Next-Generation Firewall (NGFW), Next-Generation Intrusion Prevention System (NGIPS), and Meraki MX can detect malicious activity associated with this threat. AMP Threat Grid helps identify malicious binaries and build protection into all Cisco Security products. Umbrella, our secure internet gateway (SIG), blocks users from connecting to malicious domains, IPs, and URLs, whether users are on or off the corporate network. Open Source SNORTⓇ Subscriber Rule Set customers can stay up to date by downloading the latest rule pack available for purchase on Snort.org.
Indicators of compromise (IOC)URLs

hxxp://sub1[.]tdsworker[.]ru:5555/sms/
hxxp://sub1[.]tdsworker[.]ru:6565/index_main.html

Hashes

Package.apk - 81d4f6796509a998122817aaa34e1c8c6de738e1fff5146009c07be8493f162c
PlayMarket.dll - 3c82d98f63e5894f53a5d2aa06713e9212269f5f55dcb30d78139ae9da21e212

Windows Built-in Antivirus Gets Secure Sandbox Mode – Turn It ON

THN - Mon, 29/10/2018 - 12:51
Microsoft Windows built-in anti-malware tool, Windows Defender, has become the very first antivirus software to have the ability to run inside a sandbox environment. Sandboxing is a process that runs an application in a safe environment isolated from the rest of the operating system and applications on a computer. So that if a sandboxed application gets compromised, the technique prevents its

IBM Buys "Red Hat" Open-Source Software Company for $34 Billion

THN - Mon, 29/10/2018 - 06:17
It's been quite a year for the open source platforms. Earlier this year, Microsoft acquired popular code repository hosting service GitHub for $7.5 billion, and now IBM has just announced the biggest open-source business deal ever. IBM today confirmed that it would be acquiring open source Linux firm Red Hat for $190 per share in cash, working out to a total value of approximately $34 billion.

Threat Roundup for October 19 to October 26

Talos - Fri, 26/10/2018 - 17:25

Today, Talos is is publishing a glimpse into the most prevalent threats we've observed between Oct. 19 and Oct. 26. As with previous roundups, this post isn't meant to be an in-depth analysis. Instead, this post will summarize the threats we've observed by highlighting key behavioral characteristics, indicators of compromise, and discussing how our customers are automatically protected from these threats.

As a reminder, the information provided for the following threats in this post is non-exhaustive and current as of the date of publication. Additionally, please keep in mind that IOC searching is only one part of threat hunting. Spotting a single IOC does not necessarily indicate maliciousness. Detection and coverage for the following threats is subject to updates, pending additional threat or vulnerability analysis. For the most current information, please refer to your Firepower Management Center, Snort.org, or ClamAV.net.

You can find an additional JSON file here that includes the IOCs in this post, as well as all hashes associated with the cluster. That list is limited to 25 hashes in this blog post. As always, please remember that all IOCs contained in this document are indicators, and one single IOC does not indicated maliciousness.

The most prevalent threats highlighted in this roundup are:

  • Win.Virus.Sality-6727001-0
    Virus
    Sality is a file infector that establishes a peer-to-peer botnet. Although it's been prevalent for more than a decade, we continue to see new samples that require marginal attention in order to remain consistent with detection. Once a Sality client bypasses perimeter security, its goal is to execute a downloader component capable of executing additional malware.
     
  • Win.Malware.Nymaim-6726894-0
    Malware
    Nymaim is malware that can be used to deliver ransomware and other malicious payloads. It uses a domain generation algorithm to generate potential command and control (C2) domains to connect to additional payloads.
     
  • Win.Malware.Xcnfe-6725509-0
    Malware
    This cluster provides generic detection for the Dridex banking trojan that's downloaded onto a target's machine.
     
  • Doc.Dropper.Stratos-6724145-0
    Dropper
    This is an obfuscated Microsoft Office macro downloader that attempts to download a malicious payload executable. The sample was unable to download the next stage, so no further analysis is available.
     
  • Win.Downloader.Upatre-6726679-0
    Downloader
    Upatre is a malicious downloader often used by exploit kits and phishing campaigns. Upatre downloads and executes malicious executables, such as banking malware.
     
  • Win.Malware.Cerber-6725830-0
    Malware
    Cerber is ransomware that encrypts documents, photos, databases and other important files using the file extension ".cerber."
     
  • Doc.Malware.00536d-6731394-0
    Malware
    Doc.Malware.00536d-6731394-0 is a malicious Word document that drops malware. It attempts to download and run a second-stage executable from a number of known malicious domains and IP addresses.
     
ThreatsWin.Virus.Sality-6727001-0
Indicators of Compromise
Registry Keys
  • N/A
Mutexes
  • uxJLpe1m
  • \BaseNamedObjects\uxJLpe1m
IP Addresses contacted by malware. Does not indicate maliciousness
  • 206[.]189[.]61[.]126
  • 195[.]38[.]137[.]100
  • 213[.]202[.]229[.]103
  • 217[.]74[.]65[.]23
  • 199[.]59[.]242[.]151
Domain Names contacted by malware. Does not indicate maliciousness
  • dewpoint-eg[.]com
  • suewyllie[.]com
  • 724hizmetgrup[.]com
  • www[.]ceylanogullari[.]com
  • cevatpasa[.]com
Files and or directories created
  • %SystemDrive%\autorun.inf
  • %System16%.ini
  • %LocalAppData%\Temp\ose00000.exe
  • %SystemDrive%\Documents and Settings\Administrator\Cookies\[email protected][1].txt
  • %SystemDrive%\Documents and Settings\Administrator\Cookies\[email protected][2].txt
  • %SystemDrive%\Documents and Settings\Administrator\Cookies\[email protected][1].txt
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kokfo.exe
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ogtfa.exe
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\plkvrx.exe
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\qwet.exe
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\vfhqbt.exe
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wdieh.exe
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winauey.exe
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winbmfbc.exe
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winehogdk.exe
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wineplbg.exe
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winfeas.exe
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wingwtgg.exe
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winhsgjxg.exe
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winiiff.exe
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlamr.exe
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winmucoe.exe
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winoyjfrn.exe
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winqvpnb.exe
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winskeoqt.exe
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wintilmn.exe
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winwlbet.exe
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winwnwhq.exe
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winybmal.exe
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wooydt.exe
  • %LocalAppData%\Temp\jlwdt.exe
  • %LocalAppData%\Temp\ssink.exe
  • %LocalAppData%\Temp\ukpvl.exe
  • %LocalAppData%\Temp\winlobd.exe
  • %LocalAppData%\Temp\winmjeu.exe
  • %LocalAppData%\Temp\wintqpup.exe
  • %AppData%\Microsoft\Windows\Cookies\XTNNC6UJ.txt
  • %LocalAppData%\Temp\winlobd.exe
  • \sgfdr.pif
  • \vqwf.exe
File Hashes
  • 007474f524c04bcfef7bff656f7d673e22496caff0490a111596b5c1a60b61ef
  • 0abf15a831537bd86b7e16ae5032a4813c6e9e9df4f1da7c074c4daa3672c3dd
  • 0e82ae0199228f54e8308755024fa78e0a568f1423cec3cf21d9341a7c99dcb9
  • 18a859dee990feefdcc6196052c1d2becba64fb43d07623e1e573b0f39e63095
  • 18bce4611a9668a2660b0471459cd070361c85d71a4989c1bc967fe04bc54795
  • 2642e382a6a216b518471ac182891b6973a4f4eb569ad4d13cb02b8a840d3f07
  • 5b4c4e796a0e1c9344c3165af210d2b9edd2980de25bfec656bc918809b0be4c
  • 689bdd8a91c2bfaa00de235933b38ca9477ea9aa2eaa880cba50235641376add
  • 865e10fa2439380d7048a0ec2eebdef487f706239e464c47dadf930b22028b11
  • 905e701032eaaa944ccb70d3db97a200d85befefe7faf99d525c9767e5c5d615
  • a2ca43843f5c03adbdb03b91e4cafc162781d8c7e707c7bc161b03f4163218e2
  • ad68745733f455935188c0100aaf057bf1d3454a24e0be0ffff262d2318f6265
  • b535ea6cc31dd9f8a66fbbedb61ed021520ff74f5b42f815eb84022cfb3e4435
  • c38b955f4a4eee3cca1c1bf1ae0f915f75080772c4ae597c2ed76649a056a5dc
  • c40d8c58cc63dc606a9fa854f1774d7f17546170fdfc2679c3b8f6387fa4be6d
  • c5fb97f7e577795bdc7a6076efca8f09e83bd4fb9e68c40916c6784040dbb485
  • d0381f5c52b605b7b43c8b9dce2341b622ed2528df6bd65d527104f3fc1f2f16
  • da77ddf6e01c4cb2694f055a5c69f48bf6546b6831f145297a5cfbb5f64c5563
  • f001f25a35fb04298750c58f37ca4158085c454d784778f9a9c601d9bbbf6b40
  • f0d47851346c738dd836fb6f43005a57305f04e078d07af3a6d84ee586dfdfc0

Coverage
Screenshots of DetectionAMP






ThreatGrid




Umbrella



Win.Malware.Nymaim-6726894-0
Indicators of Compromise
Registry Keys
  • <HKCR>\LOCAL SETTINGS\MUICACHE\3E\52C64B7E
    • Value Name: LanguageList
  • <HKCU>\Software\Microsoft\GOCFK
  • <HKCU>\Software\Microsoft\KPQL
Mutexes
  • N/A
IP Addresses contacted by malware. Does not indicate maliciousness
  • N/A
Domain Names contacted by malware. Does not indicate maliciousness
  • IOCXRQNM[.]COM
  • ZJGGMKGGA[.]COM
  • YEFHBEVI[.]PW
  • DCORFRLWW[.]NET
  • kercnnlwtg[.]in
  • JYWVEW[.]PW
  • ZQQSUQRPEJK[.]IN
  • xhphblba[.]pw
  • FSHAJK[.]COM
  • maffuwnln[.]net
  • RQMNLOKS[.]COM
  • MRHNDJI[.]IN
  • hbdfmtj[.]pw
  • GZKISDVBZQFE[.]IN
  • efntvrhq[.]net
  • QGWKUGNMSJF[.]PW
  • MAFFUWNLN[.]NET
  • dcorfrlww[.]net
  • NWAFZV[.]IN
  • usrhd[.]com
  • HBDFMTJ[.]PW
  • fshajk[.]com
  • QCNRQ[.]NET
  • iocxrqnm[.]com
  • firohrakais[.]in
  • nizrjl[.]in
  • vnouya[.]in
  • EFNTVRHQ[.]NET
  • zqqsuqrpejk[.]in
  • srdhfsdiju[.]com
  • gzkisdvbzqfe[.]in
  • OHMAQTXG[.]IN
  • jywvew[.]pw
  • jpltxxpcojo[.]in
  • MNEZKYAK[.]NET
  • euqsvd[.]net
  • jtcesxohkgm[.]net
  • JPLTXXPCOJO[.]IN
  • QMNMG[.]NET
  • swvpzwktpdxs[.]net
  • dzwuczn[.]net
  • bsedcx[.]pw
  • KERCNNLWTG[.]IN
  • FIROHRAKAIS[.]IN
  • myxnowb[.]com
  • jhfahntxtnus[.]in
  • JTCESXOHKGM[.]NET
  • XHPHBLBA[.]PW
  • zjggmkgga[.]com
  • iknvjbze[.]in
  • QGMBJF[.]IN
  • EUQSVD[.]NET
  • NIZRJL[.]IN
  • rwxryhij[.]net
  • qmnmg[.]net
  • nwafzv[.]in
  • USRHD[.]COM
  • mrhndji[.]in
  • IKNVJBZE[.]IN
  • ohmaqtxg[.]in
  • cprdqjxpp[.]net
  • SRDHFSDIJU[.]COM
  • yefhbevi[.]pw
  • VNOUYA[.]IN
  • LNTBF[.]COM
  • DZWUCZN[.]NET
  • cmmwoqknklxn[.]com
  • rqmnloks[.]com
  • mnezkyak[.]net
  • BSEDCX[.]PW
  • MYXNOWB[.]COM
  • qgwkugnmsjf[.]pw
  • RWXRYHIJ[.]NET
  • qcnrq[.]net
  • CPRDQJXPP[.]NET
  • qgmbjf[.]in
  • lntbf[.]com
  • JHFAHNTXTNUS[.]IN
Files and or directories created
  • %AllUsersProfile%\ph
  • %AllUsersProfile%\ph\eqdw.dbc
  • %LocalAppData%\Temp\gocf.ksv
  • %LocalAppData%\Temp\kpqlnn.iuy
  • %AllUsersProfile%\ph\fktiipx.ftf
  • %LocalAppData%\Temp\gocf.ksv
File Hashes
  • 00570d9bd558b25ac628d4de140897954e3cc1ed3dae8818e3ef580544626e8f
  • 006e51c87642cb26a7d6fb534d37c1d4c4d015934e67284e8e35053b0da8971c
  • 007b40dab88434b29a0c3b92cca04cb13d9f1ddb29202770a2f657becfc939d2
  • 01e202a72e6bf3954e98acf6c4cd8fe660de710e129cd9de425e1e5dcc876232
  • 01fc65a13f2f8f6033e55f860b835361442dfd0ec1443c134b2a6558964a2a2d
  • 0340d472ea1bf41f75e1cf94fc499ca3960518d5dc9fe8cc85f6f56a955ad702
  • 03d97452886804d0bc32e0723b4024d91cc1a64357a74b529452ca007f1b07d4
  • 0491517063ca33e47b325ba2c304f4c8fc3b45956b1bfdff0555936a3bb3678f
  • 064173410c2ca5781a785fccc9457fdd59b25ba2c14aca5bee71f83f136c279d
  • 0679f7d954654a74c02dca0754cffacdce6d4c7887f4976c85b6148033b9942d
  • 06f001ddf5d2c3827b6f28936b2939f16df62745699551a155572433827ec381
  • 07814f096bd2a889317ac70e66cadfe443df1ad96ed2b6452d4252d11d60c8b3
  • 088dce2464cfa134fd0317a2e75f0057de8d60b547d72e66fc1926e9ad355074
  • 08b4430a48bdebc89092cb4f90ad407e51002098a0eeb08574f92a8327e5a140
  • 09007a9eedbb6b7116add49671499f238301ccd3fa763904512517d003cd3625
  • 0d42e7f0984ea9b0be200420bd7221a92c76466c85ded7321cb69a8386db17ff
  • 0de3ad246b5c52c96135f5804ae1118f7df1af1c6f937740d598334214fc1943
  • 0e5b9ae6ee3041d89eefb88c6c868a1c9931391e91068de26720008c6b0c0bf2
  • 0f59a622eb9998369364b47ddae969698a7975b877ce025b1214ccff8b59e7a7
  • 0f724bbd47c80a2feb1f376d282ed84f39306293522656241abbf19532154928
  • 0fa66bd126cb02a367d8ad392b6c446cc8f50922930804526d245784be001c51
  • 0fff0dad13446c46cd2ff79c4fcc6e545df3e6e269917892d3d22bcbdbb7b741
  • 140aa25448483a45722b1c874fbed44f70e2dd8ea9fe9ce1fb479de397c8a95e
  • 1532bc5fd39a7f0a35d9f94bcbf0be36d5f04acfb46829d4163b00abb3c5eb04
  • 15c03875c741546f5eb5d843c7515b1b10201ad5f9495b2f1eb91de5473602f1

Coverage
Screenshots of DetectionAMP




ThreatGrid



Win.Malware.Xcnfe-6725509-0
Indicators of Compromise
Registry Keys
  • N/A
Mutexes
  • HOejWmqMur
  • HPN518Ik4R
  • Lat3nHFoEE
  • OaLnVql4Xa
  • RsyK1I3lWG
  • V7BLDkG8tf
  • XQeR5Zn1SJ
  • hND27SW0LW
  • qJkjChBhfG
  • vXnp0AXNfH
  • wDSifyYhV5
  • wbQpF7mWCE
  • wcX8yaYh6B
  • wfwyjaJYsW
  • wxK54uwMfc
IP Addresses contacted by malware. Does not indicate maliciousness
  • N/A
Domain Names contacted by malware. Does not indicate maliciousness
  • www[.]brmbyczdra[.]com
  • www[.]pn8mtahzna[.]com
  • www[.]tqttwzog79[.]com
  • www[.]ril14w0qvn[.]com
  • www[.]mvbkhpmqux[.]com
  • www[.]uyrhnkdozb[.]com
  • www[.]nutatq5wla[.]com
  • www[.]tpu9fiuayd[.]com
  • www[.]5bc5xh1p5p[.]com
  • www[.]we3jnll0va[.]com
  • www[.]hrwzs9ake4[.]com
  • www[.]knx3hbiwyu[.]com
  • www[.]txovxotdxc[.]com
  • www[.]ean1heykxa[.]com
  • www[.]qjfvz6swvg[.]com
  • www[.]stq1ji6cas[.]com
  • www[.]xoiejztmpo[.]com
  • www[.]cldhtlfyhs[.]com
  • www[.]zhya3boggv[.]com
  • www[.]qvchgu0aax[.]com
  • www[.]brh6bbhql8[.]com
  • www[.]dirmuszaet[.]com
Files and or directories created
  • %SystemDrive%\345791583.exe
  • %SystemDrive%\old_345791583.exe (copy)
  • %SystemDrive%\TEMP\55ddbadda5fe5c7f86a8f8ea7c9405413682686f8057e2b5369adee284e2ace2.exe
  • \TEMP\old_55ddbadda5fe5c7f86a8f8ea7c9405413682686f8057e2b5369adee284e2ace2.exe
File Hashes
  • 0462beb83c7410501f0fe309335b63bdb2197c828d8b3cac860329613fb92f18
  • 07f0c7d1726aa998261db29451ea668364bd226080caf6ebc1e7cd1f65de1864
  • 0eddfc2b11eabf9cf0186363f4727270cdc5ed3619cf8318caaeaf7370da5e10
  • 1748dd5f70ed569ec358f707587718e8a980871e076aa1b1f344f84b7eee0587
  • 255c3d259351d43392c8b01db2a830f50515e0c2672f5421934ade0433cbd6c3
  • 3ea74553c24024b94412137d0337f1b22226af398579bb7f44e674649c18b480
  • 55ddbadda5fe5c7f86a8f8ea7c9405413682686f8057e2b5369adee284e2ace2
  • 68b35209e61e6558069706af6cfda39cbe24366c28e68d36279ce314f922d9b4
  • 6af842bca80ca04a5c65e6fa9fbf85a3c7bf34a49b580397cc5955a0b9aa1134
  • 6c75d30fa43d15ca9f2632e6a794d26de4fc35fcc1ba9fc250afea06f27ad653
  • 719e40a705ffe31bff643a5254f52ca051d0657b59ee920f4b3e75fc83e3fe0c
  • 77b11d472658825617c8520bc75e5084fa3a26a85f90b845270615ddff6622f4
  • 8689c50f5e4cd1fd590a9c5eebc28ba81b5f0a1b52e357811975ac0f59d278db
  • 95e82e623d7f1b34725c1c11026f8149741a4c506379954c6c9d171791302df6
  • 9a624de996ba6e99eb59b50b2631e86057feb3bee9c54d1282705c4486530fbf
  • c556d0c97ae7b7be22f685e829394652401971a0e468eb0824b5ba5537928b96
  • f392f2e34534ef1e74cb911124ebfb531dbd045e4b6e20afc30e878674459131
  • ffc643e3c595c64053e50e0a1ccc2dace32134c3892fbb1a60e215410cdaf428

Coverage
Screenshots of DetectionAMP




ThreatGrid



Doc.Dropper.Stratos-6724145-0
Indicators of Compromise
Registry Keys
  • N/A
Mutexes
  • N/A
IP Addresses contacted by malware. Does not indicate maliciousness
  • 88[.]217[.]189[.]35
Domain Names contacted by malware. Does not indicate maliciousness
  • www[.]kum[.]net
Files and or directories created
  • %UserProfile%\Documents\20181025
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kdinwwrgg\ONSEXGA\PowerShellTrace.format.ps1xml
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kdinwwrgg\ONSEXGA\QsheHY.exe (copy)
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kdinwwrgg\ONSEXGA\Registry.format.ps1xml
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kdinwwrgg\ONSEXGA\System.Management.Automation.dll-Help.xml
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kdinwwrgg\ONSEXGA\WSMan.format.ps1xml
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kdinwwrgg\ONSEXGA\about_execution_policies.help.txt
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kdinwwrgg\ONSEXGA\powershell.exe
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kdinwwrgg\ONSEXGA\powershell.exe.mui
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kdinwwrgg\ONSEXGA\powershell_ise.exe
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kdinwwrgg\ONSEXGA\powershell_ise.resources.dll
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kdinwwrgg\ONSEXGA\pspluginwkr.dll
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kdinwwrgg\ONSEXGA\pwrshsip.dll
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kdinwwrgg\ONSEXGA\types.ps1xml
  • %TEMP%orary Internet Files\Content.Word\~WRS{68695D36-6967-4FDB-A2FF-84784E101F5C}.tmp
  • %SystemDrive%\~$4900185.doc
  • %LocalAppData%\Temp\kdinwwrgg\ONSEXGA\powershell.exe
  • \TEMP\~$a24d5a55e3d33b0a4d183141758c409b639fcd077cfcd062dc53cb8d03d378.doc
  • %LocalAppData%\Temp\onexzlc.exe
  • %LocalAppData%\Temp\kdinwwrgg\ONSEXGA\QsheHY.exe
  • %LocalAppData%\Temp\onexzlc.exe
File Hashes
  • 00d3e76c7614df1533cbb40d0b3977cfce6e5f01b8cc0aa6ea858891ef104715
  • 16079ba3e75ebbc34e3ef692277332d41ee0d1aa248a24c7f5ba74d88f28d01b
  • 1ded830b66a15ef7288f088b3b4b1a84fa55bf0700538953614f5e2369128fdc
  • 217d2260555214d8e6e72dd5dd7ade95b206efebdd948ad05a1dd88e4e39730e
  • 33a99f39eb8a1d9fe223b4ca61d21fe8086b2a908e00954959b971868424e46b
  • 35a24d5a55e3d33b0a4d183141758c409b639fcd077cfcd062dc53cb8d03d378
  • 3927bc5e8064ab1fedd6e0b9826aef4fda01e6be3b218b9b482d4ae60d929d67
  • 402a1bd3bd18102d3955b0e5dcab8b76b8c1025fb828d410c1fa93a872a2f1f9
  • 42c74a8a4e195017753e917153702bbd4d6812576cd94f0fc0035bed6aa1ce1f
  • 42ff1fdd87f84e321a4348a5b113ba72634fade79646df750ec72f907d787db9
  • 523de9a89e6d2f5713fcc4b7e3ea1d27fa27d13e5d17a0f08aab6d86d9e2a9b6
  • 55953f034bc3edf5248b9c978916a2eb45bbf641892baffd7744ce0027cdaa2c
  • 5ed8c51ce0a7706599d5f7bbe843fbdb8fed579591012146fb2fbd92bfece4f8
  • 616d166cd0fc20ce5e583b9c0c306833fc4a371214bc9a3b5f9d33deac385c68
  • 781c06eeafa87a7a27b573fde822faae4ac0ebd7a19ad7400ac8595e1a89fcaa
  • 83245b8849c886659767d6227051ea8b48ead681cbe62c12a4557cf8c3a2b61d
  • 934a7d7edf49198d685569e2f5e40e225f90e407a87478243379ef71d7f4f6c2
  • 9653288c0ca91e1b968a39e2f8b2e7c7b5b881e064c0bf2d234ea0b0619911ce
  • b15f383006ceff832ef575057a0a75cba726822864d37aef5feabc43ca316971
  • b41b3a7b83f22af9892cc69801086343924d8ee23f5bf8062cc2748c9301f1a8
  • c08ea9800cdb66012a4adfc3a5bba200f7f1db8cc37f50c133201f5ce46660c3
  • d182a022ed754bb7c963540d0a8d9cd7579b458d4c2057d5f72caeb11566b2b9
  • d3a40ec14f52e1e7e1494ee7e04ad651e38618e29284d3205ec21cef6e9699f2
  • da9f374901e55c225f03ec68dadc672e13e9f0dc36508fe416cec8faf87795af
  • e8c4870bb9d6e7cb597a86c97f2a64c71734aecbd9c72f7302b730dcdeffabe0

Coverage
Screenshots of DetectionAMP



ThreatGrid



Umbrella



Malware



Win.Downloader.Upatre-6726679-0
Indicators of Compromise
Registry Keys
  • N/A
Mutexes
  • N/A
IP Addresses contacted by malware. Does not indicate maliciousness
  • 83[.]136[.]254[.]57
Domain Names contacted by malware. Does not indicate maliciousness
  • cardiffpower[.]com
Files and or directories created
  • %LocalAppData%\Temp\kgfdfjdk.exe
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kgfdfjdk.exe
  • %SystemDrive%\DOCUME~1\ADMINI~1\LOCALS~1\Temp\lrtsdnn.exe
File Hashes
  • 02c04966bbd775626d1738bf454148543e8cc4564ff9f1ba3110395f96b05ab9
  • 031edbb534d9bf394bebf4cc7f64338d7212b05a7a7bf2a75f5348feaeabb9c5
  • 11e046d9a88238806a7458c5f17dfec74c1038dcacb7a345f492f5d9b285255f
  • 1273cdf1e5440ec05d61930132df0152be89eff4e28ac59de8e653022f664579
  • 184e4171672a8eba20a357aabd274a454ed1c71a0aed1efbb028b9676c53ccd3
  • 2556e8e75d5c1cb3f6fd2e716242c991dc9af8138561483993ce179c3d50e48b
  • 2eb229efaa5a043263e6546583c811738d5695a8afbb035f3c76fe80929c18eb
  • 32867f896bd20600c6712759889c031984e933ef1b0b4dfa9e061bfa0b6e994a
  • 4b8d61f0af68f03e586773b1226e635df5f6b2a417c88131885aa4201ad96c6b
  • 4caf12084718881f7d0fee2c4655b7afb8c27803f0c1bbeceb4c48a9532cb3c8
  • 4e07e7190e98511ba11637eeff341227aaed60ca58e96bbd69fd5659f808b56c
  • 6d8fabfefcb131b3535940fab547c10e5de430a079113671d2d09cf0c9582ed1
  • 826a5879182924c1f00f72885583baddcb8cd3ce9596a5bdab44abeea5f02ab9
  • 9c7e51d51513e337bba8b4fcb88264203986e387a8b9d820b9d6a0f2cfca26ef
  • c71f83b153fb1e488930375d7a62eb77c34493f617b415447cd6b6e7cefb68e3
  • f1a99a424971247e557d9f2d6c90e1e27f1c3407ced0913701f5f6bd40cdc4bb

Coverage
Screenshots of DetectionAMP



ThreatGrid



Umbrella



Win.Malware.Cerber-6725830-0
Indicators of Compromise
Registry Keys
  • N/A
Mutexes
  • N/A
IP Addresses contacted by malware. Does not indicate maliciousness
  • N/A
Domain Names contacted by malware. Does not indicate maliciousness
  • ip-api[.]com
  • ipinfo[.]io
  • freegeoip[.]net
Files and or directories created
  • %SystemDrive%\Temp\HncDownload\# DECRYPT MY FILES #.html
  • %SystemDrive%\Temp\HncDownload\# DECRYPT MY FILES #.txt
  • %SystemDrive%\Temp\HncDownload\# DECRYPT MY FILES #.url
  • %SystemDrive%\Temp\HncDownload\# DECRYPT MY FILES #.vbs
  • %SystemDrive%\Temp\HncDownload\Update.log
  • %SystemDrive%\Temp\HncDownload\Rmp7-WGqEy.cerber (copy)
File Hashes
  • 0015a572f00b8ec6f68bb6a3683f7741a1a35d436c868ef545e016a279c7740d
  • 00200aac1922a420afc4390974ad1f099bf86eb6294e757ab22004628f2be226
  • 00528962871098906eb33d0422c1a9b7bdd0cbe481af1bc058d1c2a09793f055
  • 01ef8b829770bea681075ea9b9ad648c5cf8c9db42aba719d921c6841d0ffa6f
  • 04eb627d86eeff6c9314fac423f535d798ed95d3384df9e0944447af7898ab0a
  • 05506752a964566bc3ec936db6da6e577bf3e1c04d2dadb1143cd137ff66e715
  • 059eced85a1c189ec1eceb9cb642e801db20cc61d40782afd7fc479169e0a799
  • 0655f2a8831b5aaece1fe2af39583c6261564a13fffec7354857ae440c824786
  • 065c909c3c855be6646202eaaaad38e47c234be5927f8b635b9e9a0482c99965
  • 06f20532a0285a7e01634e319a78db15d3eb08e39c72ee92412c161be3c87d33
  • 072114ad12468fb6610c20c9912bd40b5e25e0183dab9edff8b93aff79cfa846
  • 078d4a7287160344439bd701f2fbf027c76dbc85e2d9ae98a586d69ebdca712f
  • 07bbda40f1bfd84bc619fdaa05ac029251d919b8bd100f724905400fb107beb7
  • 07d09bac351855dd383ed882657241b3db150d1a24019af08233b1b73795cdb6
  • 081f9d0b1bd3ea8e7b69d0ff6c93c27e9e76c29124cdb539141a439bdb2bf8ab
  • 08b4cd3370515fe4936d3126b12c738b2acd704ce24830119b1d69faef6c7291
  • 08c0234c26c9b8576d428b2fc177ca4e9140ddfae8c213369a86bb4ae2fc4b06
  • 097db35097f7ef2d8b91a517980e399c92e9938208110846561581d2bf5bb96f
  • 09abc80ec4c160755e133f356e909219b2939f78ebb7896973094c78de55f42b
  • 0b07fbacc4450198d6f430bff653791c43417af9e6d11f46b6ac75711e89c2a1
  • 0b4123bc026cc6ac0282295c5d7bd9271514cdc771c9a84e359f3ee5858bf811
  • 0b62139f8be2e7640c17e4c6ddc5c4c7812fd061480ea112718ac5e12ea70838
  • 0bf510cbc1ee26748f285b6dd9f5e8d96b26ba5d732e6f9b1ad4e6b1695292ed
  • 0c90601d82e2725a11bba65b9eb98c2154d6e2b27aa813936e75e7f740128971
  • 0cdc982e7c0fe5c5d9100ff621c424af79ec3dd49e718a454af3a14f9add4c54

Coverage
Screenshots of DetectionAMP




ThreatGrid




Umbrella





Doc.Malware.00536d-6731394-0
Indicators of Compromise
Registry Keys
  • N/A
Mutexes
  • Local\WinSpl64To32Mutex_e162_0_3000
  • Local\MSIMGSIZECacheMutex
  • Local\VERMGMTBlockListFileMutex
  • Local\URLBLOCK_DOWNLOAD_MUTEX
  • Local\URLBLOCK_FILEMAPSWITCH_MUTEX_1860
  • Local\URLBLOCK_HASHFILESWITCH_MUTEX
  • Local\URLBLOCK_FILEMAPSWITCH_MUTEX_576
  • Local\URLBLOCK_FILEMAPSWITCH_MUTEX_1224
  • Local\URLBLOCK_FILEMAPSWITCH_MUTEX_1560
IP Addresses contacted by malware. Does not indicate maliciousness
  • 204[.]79[.]197[.]200
  • 144[.]217[.]0[.]194
  • 54[.]39[.]74[.]124
  • 8[.]208[.]9[.]98
Domain Names contacted by malware. Does not indicate maliciousness
  • tt[.]zicino[.]at
  • doom[.]matr[.]at
  • ovellonist[.]com
  • ut[.]ritpur[.]at
  • app[.]xenope[.]at
  • u2[.]tip5top[.]at
Files and or directories created
  • %LocalAppData%\Temp\~DFA1AFEB97E8C0B1FD.TMP
  • %LocalAppData%\Temp\~DFFFF0E8FCA29DD7E1.TMP
  • %AppData%\20938.exe
  • %AppData%\Microsoft\Office\Recent\346748415.doc.LNK
  • %LocalAppData%\Temp\n3j5vfst.vvc.psm1
  • %AppData%\99fc8a68.exe
  • %LocalAppData%\Temp\1fxpdoag.uzv.ps1
File Hashes
  • 4e6c2a6715fd91a76a06321eebd22430fa47e1a298a12e6d5134327e62215c07
  • 57b3f97cf7f8d8bfc4aef53f82cc1b1e154d7fcad2302048192e44afd47cf07b
  • 6ca1773b14b136dd7b3e7906f73d0d05f21d00e1f829303ac9167454f1b22bee
  • 7ca67da6488d5e5acf74919348ebfe4a780a7f70cc3b49455d0f588a2150ad8e
  • 88fe8fc07008bdbd6a87f96184cc3ced3e2df8a1678d7d145ef6affb62683cbb
  • a3c3656b7c7471d26a98acc02233ef906cb3bc20f4225c81fd3ff07111498ce5
  • a72f70f2b0ea6638b3da69ed3807059ec98bc258deeb17fe3fdfa392b3c606a8
  • c9aade2865566b50d1827c45b070f32c1db891101ed4783fcb471f43fa043958
  • ca9b78bb32da00431081f4385ac85ee341e7e668aa934dbea8f5ab44b9621179
  • ce31ffafe8ea619a703e04f7b16559999530f89ddb8fc78545bcee8f4e3c45ec
  • f6feed4b063c2e25fdaf7af79954d78fbd6db361916f512a8e73f6665f8fb3e4

Coverage
Screenshots of DetectionAMP



ThreatGrid



Umbrella



Vulnerability Spotlight: Talos-2018-0694 - MKVToolNix mkvinfo read_one_element Code Execution Vulnerability

Talos - Fri, 26/10/2018 - 14:16




Piotr Bania, Cory Duplantis and Martin Zeiser of Cisco Talos discovered this vulnerability.

Overview
Today, Cisco Talos is disclosing a vulnerability that we identified in the MKVToolNix mkvinfo utility that parses the Matroska file format video files (.mkv files).

MKVToolNix is a set of tools to create, alter and inspect Matroska files on Linux, Windows and other operating systems.

Matroska is a file format for storing common multimedia content, like movies or TV shows, with implementations consisting of mostly of open-source software. Matroska file extensions are MKV for video, MK3D for stereoscopic video, MKA for audio-only files and MKS for subtitle-only files.




MKV files are multimedia container formats. An MKV container can incorporate audio, video, and subtitles into a single file — even if those elements use different types of encoding. For example, you could have an MKV file that contains H.264 video and an MP3 or AAC file for audio.

Vulnerability details
TALOS-2018-0694 (CVE-2018-4022) is a use-after-free vulnerability that exists in the MKVToolNix mkvinfo tool and its handling of the MKV (Matroska video) file format. An attacker may be able to create a malicious MKV file that would trigger the vulnerability and allow the attacker to execute code in the context of the current user.

While reading a new element, the mkvinfo parser attempts to validate the current element by checking if it has a particular valid value. If there is no such value, the parser deletes the element since the read was invalid.

However, even if the element is deleted, the value is passed back to the calling function via a variable, but there is no validation, even if this element is valid and was not freed before.

It is possible to forge a file in a way that the vulnerable function frees an element so that another delete operation triggers a use-after-free vulnerability.

Affected version
The vulnerability is confirmed in the 64-bit version 25.0.0 of the mkvinfo tool, but it may also be present in earlier versions. Users are advised to update their MKVToolNix toolset to version 28.2.0 or later.



Coverage
The following SNORTⓇ Rules detect attempts to exploit these vulnerabilities. Please note that additional rules may be released at a future date and current rules are subject to change pending additional vulnerability information. For all current rule information, please refer to your Firepower Management Center or Snort.org.

Snort Rules:



New Privilege Escalation Flaw Affects Most Linux Distributions

THN - Fri, 26/10/2018 - 11:59
An Indian security researcher has discovered a highly critical flaw in X.Org Server package that impacts OpenBSD and most Linux distributions, including Debian, Ubuntu, CentOS, Red Hat, and Fedora. Xorg X server is a popular open-source implementation of the X11 system (display server) that offers a graphical environment to a wider range of hardware and OS platforms. It serves as an

Girl Games: Goethe-Institut e Sofa fazem hackathon pra mulheres programadoras de games

MeioBit - Thu, 25/10/2018 - 17:23

O Goethe-Institut (ou Instituto Goethe, se você preferir) de São Paulo está com uma iniciativa bem legal para capacitar mulheres jovens pra trabalharem com games, um hackathon (ou code-a-thon) de duas semanas com jovens programadoras de vários países da América do Sul, Brasil, Argentina, Bolívia, Colômbia e Peru, e também da Alemanha, é claro.

O projeto vai acontecer no EBAC (Escola Britânica de Artes Criativas) com uma turma de 13 mulheres de cerca de 20 anos, com aulas práticas de programação e desenvolvimento de games. A direção é das curadoras Ricarda Messner (Alemanha) e Caia Hagel (Canadá), que também são editoras da Sofa, não a música do Frank Zappa, mas a revista, que ficou famosa por lançar um assunto tabu a cada edição.

As alunas serão divididas em grupos para criar games com temáticas femininas e narrativas atuais, o que quer que este último termo signifique. Acredito que o objetivo é criar jogos nos quais mulheres exerçam papel de protagonistas. Por acaso, hoje fazem 22 anos que Tomb Raider foi lançado, com a inesquecível heroína Lara Croft.

Uma das partes interessantes do evento serão as palestras com desenvolvedores do Brasil e do exterior, a abertura do Girl Games por exemplo será feita por Brie Code da Tru Luv Media, que além do nome cool também é desenvolvedora de games e trabalhou em jogos da franquia Assassin’s Creed.

O Girl Games vai fazer parte do SP Urban Digital Festival, com uma apresentação dos jogos desenvolvidos no projeto no Museu da Imagem e do Som de São Paulo. Durante a exibição, o público presente no museu poderá testar os games rodando em tablets. Imagens dos jogos desenvolvidos também serão projetados na fachada do edifício da Fiesp, na Av. Paulista.

A programação do Girl Games também inclui a palestra Women in Industry e o Women Game Jam, um hackathon de 48 horas para mulheres que vai acontecer em várias cidades do Brasil, com inscrições abertas por este site.

As mulheres sempre foram parte essencial da história da computação, desde que Ada Lovelace (Augusta Ada King) criou o primeiro algoritmo para ser processado por uma máquina, se tornando a primeira programadora da história. Se não fosse pela incrível Margaret Hamilton, a humanidade não teria conseguido pisar na Lua.

Para saber mais sobre o code-a-thon de jogos digitais, visite o site do Goethe-Institut.

O post Girl Games: Goethe-Institut e Sofa fazem hackathon pra mulheres programadoras de games apareceu primeiro em Meio Bit.

A hidroelétrica ideal para estocar vento e viabilizar energias alternativas

MeioBit - Thu, 25/10/2018 - 15:36

Muito se zoou a Dilma por causa da bobagem de estocar vento, mas esse é um problema real que afeta todo o modelo de energias alternativas renováveis, e como não é possível estocar vento ou luz, essas tecnologias podem nunca se tornar majoritárias, mas há uma solução…

Existem dois grandes problemas envolvendo energias alternativas: O primeiro é que o consumo é variável. Durante o dia áreas residenciais apresentam baixo consumo, já áreas comerciais trabalham em alta. No final do expediente milhões de escritórios são fechados, as luzes apagadas, computadores desligados. Subitamente toda aquela demanda de energia desaparece e as usinas nucleares, termo ou hidroelétricas reduzem sua geração, para acompanhar a demanda.

Isso é importante, energia não pode ser criada ou destruída, se você continuar injetando sei lá, 1.21GW na rede e essa energia não tiver pra onde ir, coisas ruins acontecem.

Com uma hora depois, quando as pessoas estão chegando em casa, usam chuveiros elétricos e ligam o ar-condicionado. Caso essa demanda não seja atendida a energia da região cai abaixo de valores mínimos e temos um blecaute. Por isso as usinas começam a queimar mais nêutrons, a verter mais água e a demanda é atendida.

Como você faz isso com uma usina elétrica ou solar? Não dá pra forçar uma célula solar a gerar menos energia. Quer dizer, até dá, só colocar na sombra, mas aí você tem uma capacidade instalada subutilizada. e temos o problema dos dias nublados e da duração variável do dia, durante as estações do ano.

Se você tem um momento de alta demanda e cai justamente num dia chuvoso e sem ventos, já era, seu lindo sistema de energia alternativa vai pras cucuias e os cidadãos da sua cidade vai exigir que você reabra a termoelétrica que gera eletricidade queimando filhotes de panda, que seja.

Você pode atenuar isso usando bancos de baterias como os que a Tesla instalou na Austrália, mas é uma solução muito cara, não escala para cidades inteiras. Somente usinas tradicionais conseguem a potência e a agilidade para atender a demanda variável do mercado de energia. Felizmente esse mesmo mercado sem-querer já achou a solução pro nosso problema!

Essa solução surgiu de pura especulação, uma forma de ganhar dinheiro com o mercado de energia, que é incrivelmente complexo, com custos variáveis de acordo com a hora do dia.

Em terminados momentos a oferta de energia é grande demais, e essa energia precisa ir para algum lugar, então as geradoras vendem a um preço bem em conta. Em outros momentos a demanda é muito alta, as pessoas realmente precisam de energia naquele momento. As geradoras cobram mais caro das distribuidoras, que não tem saída a não ser pagar. (nota: eu simplifiquei EXTREMAMENTE o processo)

Um belo dia alguém imaginou: “E se a gente pudesse comprar energia barata, armazenar, e quando a demanda estivesse em horário de pico a gente revendesse essa energia, com lucro?”

Mesmo seguindo o conselho dos advogados e respeitando as Leis da Termodinâmica, é possível obter lucro, a diferença entre o custo da energia na alta e na baixa demanda compensa o investimento, que não é pouco.

A solução escolhida para estocar energia é transformar a energia elétrica da rede em energia gravitacional potencial, uma descrição altamente sofisticada de algo tão simples quanto levar um balde morro acima.

Uma hidroelétrica convencional usa o fluxo de um rio represado para mover turbinas e gerar eletricidade. São obras imensas que afetam o ecossistema e o microclima de áreas de milhares de quilômetros quadrados. Já uma hidroelétrica de bombeamento é bem diferente, se parece com isto:

O conceito é besta, simples mesmo: Quando a eletricidade é barata, bombas enchem o reservatório no alto com água do lago inferior. Nas horas em que a eletricidade é cara, a água é usada para acionar os geradores na base da colina, produzindo eletricidade que é repassada para o sistema, com lucro.

Esse tipo de armazenamento de energia é  mais usado no mundo 95% da energia mundial armazenada utiliza esse modelo de hidroelétrica. Estima-se que um total de 184 Gigawatts estão disponíveis nessas usinas, isso dá 13.1 Itaipus ou 152 DeLoreans.

No Japão há usinas que usam água do mar, que é mais corrosivo pros equipamentos mas tem a vantagem de não precisar de um lago de escoamento. Um bom exemplo dessa tecnologia é a Usina Limmern em Linthal, na Suíça. Eles usam turbinas da GE que funcionam tanto como bomba quanto como gerador, o que economiza horrores, você não precisa duplicar o encanamento.

Ou seja: O grande problema das energias alternativas na realidade não existe, a não ser em lugares onde realmente seja inviável construir esse tipo de usina, ou em países tão incompetentes que constroem o parque eólico mas esquecem de fazer as linhas de transmissão.

O post A hidroelétrica ideal para estocar vento e viabilizar energias alternativas apareceu primeiro em Meio Bit.

Vulnerability Spotlight: TALOS-2018-0635/0636 - Sophos HitmanPro.Alert memory disclosure and code execution vulnerabilities

Talos - Thu, 25/10/2018 - 13:43
Marcin Noga of Cisco Talos discovered this vulnerability.


Overview Cisco Talos is disclosing two vulnerabilities in Sophos HitmanPro.Alert, a malware detection and protection tool. Both vulnerabilities lie in the input/output control (IOCTL) message handler. One could allow an attacker to read kernel memory contents, while the other allows code execution and privilege escalation.


Vulnerability Details
TALOS-2018-0635 (CVE-2018-3970) - HitmanPro.Alert hmpalert Kernel Memory Disclosure Vulnerability.

An exploitable memory disclosure vulnerability exists in the IOCTL-handler function of Sophos HitmanPro.Alert, version 3.7.6.744. A specially crafted IOCTL request sent by any user on the system to the hmpalert device results in the contents from the privileged kernel memory returning to the user. You can read the full details of the vulnerability here.

TALOS-2018-0636 (CVE-2018-3971) -HitmanPro.Alert hmpalert Privilege Escalation Vulnerability

An additional exploitable vulnerability also exists in the IOCTL-handler function of Sophos HitmanPro.Alert, version 3.7.6.744. Similar to the vulnerability described above, any user on the system can send a specially crafted IOCTL request to the hmpalert device that allows the user to write to memory, resulting in remote code execution and privilege escalation. You can read the full details of the vulnerability here.

CoverageThe following SNORTⓇ rules will detect exploitation attempts. Note that additional rules may be released at a future date, and current rules are subject to change, pending additional vulnerability information. For the most current rule information, please refer to your Firepower Management Center or Snort.org.

Snort Rule: 47295-47296

To review our Vulnerability Disclosure Policy, please visit this site.

Xiaomi Mi Mix 3 esconde câmeras selfie com um slide

MeioBit - Thu, 25/10/2018 - 12:00

A Xiaomi pode ter a fama de kibadora, mas foi ela quem primeiro brincou com smartphones de design quase sem bordas com o Mi Mix, lançado em 2016. Agora ele chega à sua terceira versão, com uma solução já adotada por concorrentes chineses para permitir mais espaço na parte frontal: as câmeras selfie ficam escondidas sob um slide.

A companhia chinesa afirma que o display do Mi Mix 3, um Super AMOLED de 6,4 polegadas, proporção 18,5:9 e resolução de 2.340 x 1.080 pixels (403 ppi) ocupa uma área de 93,4% da frente do dispositivo, o que foi conseguido eliminando o espaço inferior anteriormente ocupado pela câmera selfie. No entanto, ao invés de adotar uma solução semelhante à da Samsung, que está estudando display transparentes ou da Vivo, que empregou uma câmera retrátil a Xiaomi se inspirou numa ideia da também chinesa Doogee, que apresentou o Doogee Mix 4 na MWWC 2018.

O corpo do smartphone conta com um slide, similar aos que equipavam alguns modelos com teclados QWERTY no passado (como o até hoje querido por muitos Motorola Milestone) que ao ser deslizado para cima, revela os sensores e o par de câmeras frontais: o sensor principal conta com 24 megapixels, 1/2,8″ e pixels de 0,9µm, enquanto o secundário possui 2 MP e deep lens, para ajustes de profundidade de campo.

O conjunto principal de câmeras também é duplo, com dois sensores de 24 MP sendo o principal com 1/2,55″, abertura f/1,8, pixels de 1,4 µm, autofoco com detecção de fase Dual Pixel e estabilizador óptico de imagens com quatro eixos; o secundário possui 1/3,4″ e zoom de 2x. Juntas, elas podem filmar em 4K a 30 fps e contam com Flash LED e HDR. Completam o design um corpo de metal e o leitor de impressões digitais, na parte traseira.

A Xiaomi incluiu uma série de recursos de Inteligência Artificial no Mi Mix 3, para permitir a captura de fotos de qualidade nos mais diversos cenários e situações; coisas como Modo Retrato, OCR, reconhecimento de elementos capturados e etc., já presentes em modelos de ponta da concorrência também poderão ser encontrados neste gadget.

Por dentro, o Mi Mix 3 traz o que se espera de um smartphone premium: SoC Snapdragon 845 da Qualcomm, octa-core Kryo 385 com quatro núcleos Gold de 2,8 GHz, quatro Silver de 1,7 GHz e GPU Adreno 630, 6, 8 ou até 10 GB de memória RAM (o primeiro do mercado com tudo isso), 128, 256 ou 512 GB de espaço interno não expansível, Dual-SIM, Bluetooth 5.0, aptX HD, BLE, NFC, A-GPS, GLONASS, BDS, GALILEO, QZSS, porta USB Type-C, bateria de 3.200 mAh e Android 8.1 Oreo. Ele não conta com conector P2 para fones de ouvido tradicionais, mas um adaptador acompanha o kit.

Preços e disponibilidade

O Mi Mix 3 será lançado na China oficialmente no dia 1° de novembro, mas a pré-venda já começou. O modelo com 6 GB de RAM e 128 GB de espaço interno custa ¥ 3.299 (R$ 1.771,47 em valores de hoje, 25/10/2018), o com 8 GB e 256 GB sai por ¥ 3.999 (R$ 2.144,57) e o com 10 GB e 512 GB possui preço sugerido de ¥ 4.999 (R$ 2.680,82).

Como a Xiaomi não mais atua no Brasil (e mesmo que o fizesse, venderia apenas modelos de entrada), a única opção para adquirir um é importando.

O post Xiaomi Mi Mix 3 esconde câmeras selfie com um slide apareceu primeiro em Meio Bit.

Facebook Fined £500,000 for Cambridge Analytica Data Scandal

THN - Thu, 25/10/2018 - 11:26
Facebook has finally been slapped with its first fine of £500,000 for allowing political consultancy firm Cambridge Analytica to improperly gather and misuse data of 87 million users. The fine has been imposed by the UK's Information Commissioner's Office (ICO) and was calculated using the UK's old Data Protection Act 1998 which can levy a maximum penalty of £500,000 — ironically that’s

Pages

Subscribe to Shiga Tecnologia aggregator