информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Где водятся OGRыSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 Google по-тихому включила изоляцию... 
 25 лет FreeBSD 
 Microsoft покупает GitHub 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / обзор / архив / 2011
АРХИВ
главная
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
1998
1997






Подписка:
BuqTraq: Обзор
RSN
РВС
БСК



Paragon Partition Manager 7.0

Авира-суицидник; DoS на SSL; Умер Джон Маккарти; Вскрытие iPad магнитом, а iPhone - голосом; Взлом 180 тысяч ASP.Net сайтов через sql-инъекции; Adobe опять придется чинить подсматривающие камеры на Маках.

#309, 27.10.2011

Авира-суицидник
dl // 26.10.11 20:49
Популярный бесплатный антивирус Avira переплюнул достижения всяких там Microsoft с McAfee, последовав примеру судьи Уоргрейва и свершив истинное правосудие над собой.

После очередного обновления Авира стал (стала?) распознавать свой же компонент AESCRIPT.DLL как часть трояна TR/Spy.463227. Срочно выпущенное обновление 7.11.16.146 исправляет эту проблему.
Источник: The Register


DoS на SSL
dl // 26.10.11 17:15
Группа The Hackers Choice опубликовала инструмент, предназначенный для проведения атак на SSL-серверы. Судя по всему, используется классическая схема исчерпания ресурсов, при которой сервер бомбится незавершенными хэндшейками. Утверждается, что с учетом существенно большей трудоемкости установления SSL-соединения со стороны сервера простой ноутбук на DSL-соединении может положить сервер на 30-гигабитном линке.

Данная реализация атаки ориентирована на включенный SSL-Renegotiation, но заявляется, что его отключение не является панацеей, поскольку атака может быть модифицирована. Из чего делается вывод, что решения, устраняющего проблему при сохранении привычной функциональности пока фактически не существует.

С последним моментом лично мне не все понятно. Атаки, построенные по данной схеме, давно известны и могут быть реализованы практически для любого протокола с хэндшейком и подобным перекосом в затратах на коннект. Давно известны и способы борьбы - выставление более жестких таймаутов, аккуратная очистка "залипших" сессий, ограничение на количество коннектов с одного клиента.

Так что проблема - да, реальна. Неразрешима - сомневаюсь. Вот вылетит в ближайшие дни gmail с facebook'ом, тогда поверю :)
Источник: The Hackers Choice


Умер Джон Маккарти
dl // 25.10.11 11:31
Джон Маккарти, создавший первый язык функционального программирования LISP и предложивший само понятие "Artificial Intelligence", умер в возрасте 84 лет.

LISP и C - два краеугольных камня, на которых выстроено здание современного программирования, демонстрирующие при этом два диаметрально противоположных подхода к решению задач (это ведь тоже все отсюда: "программисты на Лиспе знают, насколько важно управление памятью, и поэтому не могут отдать его пользователю; программисты на С тоже знают, насколько важно управление памятью, и поэтому не могут оставить его системе"). Маккарти, автор первого, и Ритчи, автор второго, - многовато для одного месяца.
Источник: The Register


Вскрытие iPad магнитом, а iPhone - голосом
dl // 21.10.11 11:29
Забавно совпавшая пара новостей про обход запароленного экрана блокировки на iPhone 4S и iPad 2.

В первом случае блокировку удается обойти с помощью средства голосового управления Siri - оказывается, по умолчанию настройки позволяют использовать ее в довольно приличном объеме (разве что без запуска приложений) и на заблокированном устройстве. Лечится настройкой - хотя понятно, что это лишь обратная сторона удобства, иначе люди, использующие пароль на блокировке, просто потеряют все преимущества голосового управления.

Во втором случае обойти блокировку позволяет простое закрытие/открытие Smart Cover на экране выключения планшета (обход не полный, блокировка со Springboard практически безопасна, в отличие от блокировки из отдельных приложений). Разумеется, вместо Smart Cover подойдет любой магнит. Пока лечится лишь вырабатыванием привычки выходить из активной программы перед блокировкой.
Источник: cnet, iphones.ru


Взлом 180 тысяч ASP.Net сайтов через sql-инъекции
dl // 21.10.11 00:22
Согласно исследователям из Armorize, взломщикам удалось с помощью классической атаки класса SQL injection внедрить на 180 тысяч сайтов с ASP.Net код на JavaScript, подгружающий iframe с одного из двух внешних сайтов (один американский, другой русский). Ну а там уже пользователей с устаревшими браузерами либо непропатченными Adobe Reader, Adobe Flash или Java ждали с распростертыми объятиями. Любопытно, что атака проводилась лишь на пользователей со следующими дефолтовыми языками: English, French, German, Italian, Polish, Breton.
Источник: InfoWorld


Adobe опять придется чинить подсматривающие камеры на Маках
dl // 21.10.11 00:03
Три года назад Adobe подарила миру новый класс атак, получивший название clickjacking - положив swf-файл в iframe, атакующий сайт мог получить доступ к веб-камере и микрофону жертвы.

Тогда Adobe обошла проблему, добавив в панель управления Flash код, препятствующий ее размещению в iframe. И вот сейчас выяснилось, что на маковских Firefox и Safari небольшая игра с CSS позволяет обмануть пользователя, скрыв эту панель под чем-нибудь относительно невинным.

Adobe обещает исправить уязвимость в ближайшее время - поскольку код панели целиком и полностью загружается с ее серверов, пользователям даже не придется ничего обновлять.
Источник: The Register




обсудить  |  все отзывы (0)  
[10041]

анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd gnome google gpl hp ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



назад «     » вперед


  Copyright © 2001-2018 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach