BugTraq.Ru Информационная безопасность без паники и всерьез https://bugtraq.ru/ BugTraq.Ru https://bugtraq.ru/img/button.gif https://bugtraq.ru/ 88 31 Три миллиона электронных замков готовы открыть свои двери https://bugtraq.ru/rsn/archive/2024/03/01.html Около трех миллионов популярных электронных замков Saflok швейцарской компании dormakaba, которыми оборудованы многие отели (около 13 тысяч), парковки и лифты в 131 странах, оказались подвержены уязвимости, получившей название, конечно же, Unsaflok. Чтобы воспользоваться уязвимостью, потребуются две карты — одна перепрограммирует замок, вторая его откроет. Модификация карт может быть проделана с помощью такого оборудования, как Flipper Zero, или даже просто Android-смартфоном с поддержкой NFC. <p>Производитель начал работу по исправлению уязвимости в ноябре 2023 года, спустя год после обнаружения. Пока заменено около 36 процентов замков.<br><a href="http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=17&m=169417">обсуждение</a> | <a href="https://telegram.me/bugtraq">Telegram</a> Fri, 22 Mar 2024 20:22:08 +0300 bugtraq уязвимости Doom на газонокосилках https://bugtraq.ru/rsn/archive/2024/02/01.html Husqvarna совместно с Bethesda подготовила к выходу к апрелю (и вроде бы не к первому) версию Doom, работающую на роботизированных газонокосилках Nera (ценой в жалкую пару тысяч долларов), <a href="https://www.youtube.com/watch?v=lp3X4IL4_UA">ролик с анонсом прилагается</a>. Печально, но столь полезная функция будет временной и отключится 9 сентября. Жаль, что не на бензопилах, было бы аутентичней.<br><a href="http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=17&m=169412">обсуждение</a> | <a href="https://telegram.me/bugtraq">Telegram</a> Wed, 28 Feb 2024 17:19:00 +0300 bugtraq Умер Никлаус Вирт https://bugtraq.ru/rsn/archive/2024/01/01.html 1 января скончался Никлаус Вирт, создатель Паскаля, Модулы и Оберона, автор классического учебника «Алгоритмы + структуры данных = программы», один из отцов структурного программирования.<br><a href="http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=17&m=169407">обсуждение</a> | <a href="https://telegram.me/bugtraq">Telegram</a> Thu, 04 Jan 2024 14:05:00 +0300 bugtraq rip С наступающим https://bugtraq.ru/rsn/archive/2023/12/03.html И традиционное поздравление с неуклонно приближающимся unix time 1704056400.<br><a href="http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=17&m=169405">обсуждение</a> | <a href="https://telegram.me/bugtraq">Telegram</a> Sun, 31 Dec 2023 23:59:00 +0300 bugtraq ny Четверть приложений, использующих Log4j, до сих пор уязвима https://bugtraq.ru/rsn/archive/2023/12/02.html Спустя два года после обнародования крайне опасной <a href="https://bugtraq.ru/rsn/archive/2021/12/01.html">уязвимости в используемой для протоколирования библиотеке Apache Log4j</a> каждое четвёртое приложение с Log4j по-прежнему остаётся уязвимым. Судя по тому, что 32% потенциальных жертв вообще пользуется версиями, вышедшими до 2014, они в принципе не пытались что-то обновлять после своего запуска.<br><a href="http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=17&m=169403">обсуждение</a> | <a href="https://telegram.me/bugtraq">Telegram</a> Mon, 11 Dec 2023 18:29:00 +0300 bugtraq уязвимости java Google Drive находит файлы https://bugtraq.ru/rsn/archive/2023/12/01.html Google подтвердила, что небольшое число пользователей Google Drive for desktop версий с 84.0.0.0 по 84.0.4.0 <a href="https://bugtraq.ru/rsn/archive/2023/11/01.html">столкнулось с проблемой синхронизации локальных файлов</a> (с точки зрения пользователей проявлявшейся в потере этих файлов). Версия 85.0.13.0 для Windows и macOS получила инструмент для их восстановления, доступный как через меню, так и из командной строки. После завершения восстановления файлы будут записаны в отдельный каталог, по умолчанию Google Drive Recovery на рабочем столе. Для успешного восстановления важно, чтобы пользователь не успел отключить десктопный клиент от своего аккаунта и удалить каталог %USERPROFILE%\AppData\Local\Google.<br><a href="http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=17&m=169401">обсуждение</a> | <a href="https://telegram.me/bugtraq">Telegram</a> Thu, 07 Dec 2023 01:46:00 +0300 bugtraq google Google Drive теряет файлы https://bugtraq.ru/rsn/archive/2023/11/01.html Ряд пользователей Google Drive потерял данные за несколько месяцев. Первой ласточкой стало сообщение на форуме поддержки от южнокорейского пользователя, который обнаружил, что его Drive откатился на состояние мая 2023 года. В комментариях отметился еще десяток с лишним пользователей, сообщивших об аналогичных проблемах, плюс нашлись и независимые сообщения. Пострадавшие стали получать письма от службы поддержки, в которых признавалось наличие проблемы. Google исследует случившееся, но пока безуспешно. Пользователям, столкнувшимся с подобными симптомами, рекомендовано не вносить никакие изменения и не пытаться ничего восстанавливать самостоятельно.<br><a href="http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=17&m=169400">обсуждение</a> | <a href="https://telegram.me/bugtraq">Telegram</a> Mon, 27 Nov 2023 20:02:00 +0300 bugtraq google Атака в стиле Meltdown на iOS/macOS-браузеры https://bugtraq.ru/rsn/archive/2023/10/03.html Обнародованные пять с лишним лет назад <a href="https://bugtraq.ru/rsn/archive/2018/01/01.html">атаки Meltdown и Spectre</a>, основанные на использовании механизма спекулятивного выполнения команд в немирных целях, открыли совершенно новый класс атак, представители которого с тех пор периодически всплывают в самых разных окружениях, несмотря на различные ухищрения разработчиков процессоров и компиляторов. <p>На этот раз под раздачу попал Safari и другие браузеры, основанные на движке WebKit и работающие под iOS/macOS на процессорах A12-A15 и M1-M2, разработанных Apple для своих устройств. <p>Ключевым фактором использования уязвимости, описанной группой исследователей iLeakage, стала способность WebKit объединять обработку сайтов с разных доменов в рамках одного процесса при использовании метода JavaScript window.open. <p>Для успешного осуществления атаки уязвимый браузер должен провести около пяти минут на атакующем его сайте. После того, как процесс калибровки будет закончен, эта страница может использовать...<a href="//bugtraq.ru/rsn/archive/2023/10/03.html" title="полный текст">&raquo;&raquo;</a><br><a href="http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=17&m=169398">обсуждение</a> | <a href="https://telegram.me/bugtraq">Telegram</a> Wed, 25 Oct 2023 22:40:50 +0300 bugtraq apple уязвимости Microsoft планирует избавиться от NTLM https://bugtraq.ru/rsn/archive/2023/10/02.html Несмотря на то, что с 2000 года основным протоколом аутентификации в Windows стал Kerberos, в ситуациях, когда контроллер домена недоступен или просто отсутствует, по-прежнему используется NTLM-аутентификация. Microsoft планирует решить эту проблему, добавив в Windows 11 поддержку IAKerb для ситуаций, когда контроллер домена напрямую недоступен, и локального Key Distribution Center (KDC) for Kerberos для поддержки локальных аккаунтов, типичных для домашних сетей. Microsoft предполагает в дальнейшем мониторить активность использования NTLM, надеясь в будущем полностью отключить его поддержку.<br><a href="http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=17&m=169396">обсуждение</a> | <a href="https://telegram.me/bugtraq">Telegram</a> Sun, 15 Oct 2023 18:40:00 +0300 bugtraq microsoft Microsoft убивает VBScript https://bugtraq.ru/rsn/archive/2023/10/01.html Microsoft объявила о планах исключить поддержку VBScript из будущих релизов Windows, хотя и сохранив возможность его установки по желанию пользователя. Появившийся 27 лет назад, VBScript давно и безнадежно уступил тому же PowerShell, и сейчас по большей части используется не столько для автоматизации, сколько для внедрения вредоносных приложений. Даже из Internet Explorer он был исключен за пару лет до смерти самого IE, а текущая версия 5.8 была выпущена аж в 2010 году.<br><a href="http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=17&m=169395">обсуждение</a> | <a href="https://telegram.me/bugtraq">Telegram</a> Wed, 11 Oct 2023 23:46:00 +0300 bugtraq microsoft