https://bugtraq.ru/review/archive/2005/19-12-05.html

Пара резисторов вместо квантовой криптографии; Ежемесячные исправления от Microsoft; Полку виртуальных машин прибыло; Google исправляет уязвимость в Desktop Search; Файрвольные новости: Sygate out, Kerio back.

#217, 19.12.2005

Пара резисторов вместо квантовой криптографии
dl // 18.12.05 13:52
Профессор техасского университета Ласло Киш предложил схему обеспечения безопасного канала связи, на первый взгляд дающую результаты, аналогичные тем, что пытаются достичь, вбухав миллионы долларов в квантовую криптографию. Схема проста до безобразия: обе стороны на каждом такте случайным образом подключают к двухпроводной передающей цепи резисторы, имеющие разное сопротивление (скажем, один резистор из пары с сопротивлениями 10 и 1000 Ом), после чего измеряют силу тока в цепи. Зная величину своего сопротивления, каждая сторона элементарно определяет, что подключил ее визави, в то время как постороннему наблюдателю, врезавшемуся в линию, известна только сумма сопротивлений. Переданная таким образом информация вполне может быть использована в качестве сессионного ключа для любого классического криптоалгоритма.

Разумеется, не исключено, что в схеме есть и подводные камни, которые вполне могут возникнуть при смешении дискретного мира криптографии с аналоговым миром цепей и сопротивлений. Кроме того, пропускная способность ее невелика - порядка двух килобит при километровом линке. Наконец, она защищает только от пассивного прослушивания и уязвима к аткам man-in-the-middle, поэтому требует дополнительной аутентификации. Впрочем, квантовое распределение ключей страдает примерно теми же проблемами, оставаясь на несколько порядков дороже. Да и сама идея как минимум любопытная.
Источник: Wired, Schneier on Security

Ежемесячные исправления от Microsoft
dl // 14.12.05 08:09
На этот раз два обновления, критическое и важное: кумулятивное обновления для IE, лечащее 4 уязвимости (и заодно удаляющее компонент из сониевского патча), и исправление уязвимости в ядре системы, допускающей повышение пользовательских привилегий.
Источник: MS Security Bulletins

Полку виртуальных машин прибыло
dl // 13.12.05 03:02
Parallels, Inc. объявила о выходе релиза виртуальной машины Parallels Workstation 2.0 (несмотря на номер, это первая доступная публично версия). Доступны версии для Linux и Windows, обеспечивается широкая поддержка гостевых систем, включая такую экзотику на сегодня, как OS/2 Warp и eComStation, не говоря уж о всех Windows, FreeBSD и популярных Linux'ах. Цена в 49$ за лицензию также является самой низкой в индустрии.

С технической точки зрения интерес представляет реализованная технология Lightweight Hypervisor. Встроенный в ВМ гипервизор частично отстраняет хостовую ОС от физического процессора, самостоятельно обрабатывая все прерывания и исключения. В результате достигается большая изоляции гостевых ОС, повышается стабильность и производительность.

Наконец, Parallels Workstation поддерживает Intel Virtualization Technology (VT-x) и специально оптимизирована для работы в VT-mode на новейших VT-enabled процессорах от Intel. Обещается поддержка архитектуры AMD Pacifica после того как та станет доступной.
Источник: описание продукта

Google исправляет уязвимость в Desktop Search
dl // 06.12.05 18:43
Google устранила возможность использования Google Desktop для атаки на компьютеры с Internet Explorer'ом. Уязвимость была связана с некорректной обработке CSS в IE, что позволяло атакующему создать web-страницу, запускающую, к примеру, поиск паролей на локальной системе. Поскольку проблема возникала на стыке IE и Google Desktop, Google не стала дожидаться исправлений от MS и внесла модификации в службу Desktop Search, блокирующие подобные удаленные атаки. Исправление прошло прозрачно для пользователей.

А вообще, данный случай - любопытная демонстрация того, как не слишком опасная уязвимость (передача CSS-данных из одного домена в другой), требующая очень специфических условий для использования, оказалась многократно усилена за счет возникновения этих самых условий в популярном стороннем продукте, работающем с локальными данными.
Источник: CIO Today

Файрвольные новости: Sygate out, Kerio back
dl // 02.12.05 14:23
Плохая новость для пользователей Sygate Personal Firewall : через месяц после окончательного приобретения Sygate Technologies случился вполне предсказуемый шаг - Symantec объявила о прекращении выпуска этой линейки, подсластив пилюлю обещанием специальной цены в случае апгрейда с Sygate на продукты семейства Norton.

Хорошая новость для пользователей Kerio Personal Firewall, огорченных чуть ранее известием о прекращении его выпуска по причине возросшей конкуренции и невозможности дополнить его самостоятельными антивирусными решениями. Sunbelt Software, известная своим антиспайверным продуктом CounterSpy, объявила в четверг о планируемой покупке KPF у Kerio. Приобретение будет завершено к концу месяца, первое время продукт будет выходить под именем Sunbelt Kerio Personal Firewall. Обещается поддержка текущих пользователей, сохранение политики предоставления домашним пользователям бесплатной облегченной версии и снижение цены на полный пакет после завершения сделки. Предполагается развитие и до корпоративной версии.
Источник: ZDNet, еще ZDNet