Взлом HTTPS: десятилетняя теоретическая уязвимость в SSL/TLS стала реальной; 5 bootrom-уязвимостей в iPad 2; Поддельных голландcких сертификатов уже больше пяти сотен; Линуксовый репозиторий Kernel.org был зарутован 17 дней; В скандале с сертификатами к Google присоединились Mozilla, Yahoo, Tor и WordPress.

#307, 26.09.2011

Взлом HTTPS: десятилетняя теоретическая уязвимость в SSL/TLS стала реальной
dl // 26.09.11 23:46
Представленная в минувшую пятницу атака BEAST (Browser Exploit Against SSL/TLS) сделала возможной использование уязвимости в TLS 1.0 и более ранних версий, которая была впервые обнародована в 2002 году, но долгое время считалась практически нереализуемой из-за нетривиального сочетания необходимых условий.

Переводя на человеческий язык, появилась реальная возможность перехвата https-соединений без возни с поддельными сертификатами - привет любителям почитать почту через халявные хотспоты.

Проблема в том, что TLS 1.1 и 1.2 поддерживаются далеко не всеми современными браузерами, а в тех, что поддерживаются, не включены по умолчанию. Пока в число счастливчиков попадают пользователи последних версий IE, Opera и Windows-версии Safari (причем и им потребуется явно включить поддержку TLS 1.1 и 1.2 в настройках). Пользователям Chrome, FireFox, Safari/Mac пока остается лишь ждать обновлений.
Источник: InfoWorld

5 bootrom-уязвимостей в iPad 2
dl // 17.09.11 16:56
Участник Chronic Dev-team p0sixninja рассказал о пяти обнаруженных bootrom-уязвимостях в чипе Apple A5, который используется в iPad 2 и с большой вероятностью будет стоять и в пятом айфоне. Уровень, на котором они обнаружены, означает невозможность их исправления простым обновлением прошивки. Что означает прямую дорогу к созданию неустраняемого непривязанного джейлбрейка как для iPad 2, так и для iPhone 5 - по крайней мере, до обновления аппаратной части.
Источник: Limera1n.cc

Поддельных голландcких сертификатов уже больше пяти сотен
dl // 06.09.11 17:41
По словам одного из разработчиков Mozilla, подтвержденный список сертификатов, выданных DigiNotar неведомо кому, вырос до 531 позиции. Среди затронутых доменов CIA, MI6, Mossad, Microsoft, Yahoo, Skype, Facebook, Twitter и служба Microsoft's Windows Update.

Особую пикантность ситуации придает то, что, оказывается, в самой DigiNotar о взломе узнали еще 19 июля, по-тихому отозвали несколько сотен сертификатов и решили на этом успокоиться в надежде, что никто об этом не узнает. А F-Secure подлила масла в огонь, рассказав, что обнаружила признаки взлома сети DigiNotar аж в 2009 году. Google и Mozilla уже заявили, что навсегда заблокировали все сертификаты DigiNotar, включая те, что были выданы голландскому правительству. По этому поводу Mozilla даже обновит старый FireFox 3.6.
Источник: InfoWorld

Линуксовый репозиторий Kernel.org был зарутован 17 дней
dl // 01.09.11 11:24
Linux Kernel Organization подтвердила, что ряд серверов, отвечающих за хранение и распространение Linux, был заражен софтом, занимающимся предоставлением root-доступа, модификацией системного ПО, протоколированием паролей и действий пользователей (затронуто было 448 пользователей kernel.org).

Атака случилась не позднее 12 августа и не была обнаружена в течение последующих 17 дней (!!!). Троян был обнаружен на машине одного разработчика ядра H Peter Anvin, далее на серверах kernel.org Hera и Odin1. Были модифицированы файлы, относящиеся к ssh (openssh, openssh-server и openssh-clients), загрузчик трояна добавлен в rc3.d.

Способ атаки пока неизвестен, предположительно использовался руткит Phalanx.

Пострадавшие верят (ну да, что им еще остается), что сам репозитарий и хранящийся в нем код не был затронут. Проверка, разумеется, сейчас проводится.
Источник: The Register

В скандале с сертификатами к Google присоединились Mozilla, Yahoo, Tor и WordPress
dl // 01.09.11 00:17
DigiNotar соизволила рассказать про некоторые другие сайты, вошедшие в те "несколько дюжин", для которых были выданы левые сертификаты.

Под раздачу попали (по крайней мере) addons.mozilla.org, Yahoo.com, Tor Project, WordPress и иранский Baladin. Сертификаты были выданы 10 июля, отозваны 29 августа, сколько их реально использовали - неизвестно. Как неизвестно, и какие еще сайты затронуты (пока лишь есть информация, что в вышедшем во вторник Chromium прошитый список заблокированных сертификатов увеличился на 247 позиций).
Источник: The Register