информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Spanning Tree Protocol: недокументированное применениеАтака на InternetВсе любят мед
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 Неприятные уязвимости в роутерах... 
 Chrome отмечает десятилетие редизайном 
 Foreshadow продолжает дело Meltdown... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / обзор / архив / 2012
АРХИВ
главная
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
1998
1997




The Bat!

Подписка:
BuqTraq: Обзор
RSN
РВС
БСК



The Bat!

И еще один маковский троян; FireFox будет блокировать автовоспроизведение в плагинах; Apple выпустила третье подряд обновление для Java; Пятилетняя уязвимость в Samba; Формально несуществующая уязвимость в Facebook для iOS и Android.

#318, 15.04.2012

И еще один маковский троян
dl // 15.04.12 00:25
Только Apple научилась очищать пользовательские системы от Flashback, как ему на смену пришел новый троян SabPub со вполне традиционной функциональностью - снятие скриншотов, передача файлов, выполнение команд. Впрочем, использует он ровно ту же Java-уязвимость, так что последние исправления защищают и от него.
Источник: ZDNet


FireFox будет блокировать автовоспроизведение в плагинах
dl // 14.04.12 01:47
Разработчики FireFox работают над функцией "click to play", отключающей автоматическое воспроизведение контента плагинами - все эти flash-ролики, java-апплеты, pdf-файлы. Вместо содержимого ролика пользователь увидит статичную картинку, лишь после клика по которой начнется воспроизведение. Аналогичная функциональность давно доступна после установки плагинов NoScript, FlashBlock и т.п.

Предполагается, что это значительно снизит риск от заражений через плагины, поскольку именно сладкая троица Java+Flash+Acrobat лидирует по числу используемых уязвимостей.
Источник: InfoWorld


Apple выпустила третье подряд обновление для Java
dl // 13.04.12 04:17
Вскоре после обновления Mac OS X на прошлой неделе, которое исправляло уязвимость в Java, было выпущено еще одно, а сейчас и третье.

На этот раз оно включает очистку от трояна Flashback, который по разным оценкам заразил от 500 до 700 тысяч Маков. Кроме того, обновление по умолчанию блокирует автоматическое выполнение Java-апплетов. Его можно разрешить в настройках, но если Java-плагин определит, что апплеты не загружались в течение длительного времени, он опять их запретит.

В принципе, это можно считать приемлемым решением проблемы с Java на Маках. Но макоюзерам не стоит расслабляться - им еще только предстоит дождаться обновления Самбы.
Источник: Slashdot


Пятилетняя уязвимость в Samba
dl // 11.04.12 22:12
Разработчики Samba выпустили исправление уязвимости, допускающей исполнение удаленного кода с правами root. Причем патчи были выпущены не только для поддерживаемых версий (3.4.x, 3.5.x, и 3.6.x), но и вообще для всех версий, начиная с 3.0.x, поскольку впервые уязвимость появилась в версии 3.0.25, вышедшей аж в 2007 году.

Другими словами, в течение пяти лет все работающие в SMB-сетях юниксы, от Linux до FreeBSD и MacOS, жили с нараспашку открытыми системами.

Разумеется, применение патча крайне рекомендуется, вполне вероятно существование готового эксплоита. Отдельный привет хочется передать пользователям MacOS с учетом той скорости, с которой Apple выпускает свои обновления.
Источник: ZDNet


Формально несуществующая уязвимость в Facebook для iOS и Android
dl // 06.04.12 03:55
Британский разработчик Гарет Райт (Gareth Wright) обнаружил, что приложения, работающие с Facebook как под iOS, так и под Android, без должного трепета относятся к защите пользовательских данных. Началось с того, что он нашел в папке одного из приложений файл, в котором открытым текстом лежал выданный токен для доступа к Facebook (хэш, который используется приложениями после успешной авторизации, чтобы не терзать пользователя каждый раз вводом логина/пароля). Имея этот хэш, уже можно вытащить из Facebook некую интересную информацию, доступную приложению, с помощью запросов на FQL (Facebook Query Language).

Дальше все стало еще веселее - в каталоге родного приложения Facebook нашелся файл com.Facebook.plist, в котором лежал не просто токен, а целый OAuth-ключ с временем жизни аж до 1 января 4001 года. Копирования информации из этого файла уже достаточно для полного доступа к Facebook-аккаунту.

В Facebook отчасти признали проблему, уточнив, что от шифрования этих данных все равно не было бы толку, поскольку ключ для дешифровки все равно пришлось бы хранить на этой же системе. Кроме того, для успешной атаки нужно либо приложение, способное получить доступ к чужому каталогу (что возможно лишь в джейлбрейкнутой iOS либо рутованном андроиде), либо подключение устройства по USB.

По поводу первого сценария в Facebook с чистой совестью заявили, что ломающие свои системы сами себе злобные Буратины, ну а по поводу второго - что нельзя ожидать чудес от авторов прикладного софта, если злоумышленник получил физический доступ к вашему телефону или компьютеру.

То, что ситуация вполне стандартная, подтверждает обнаруженный на следующей же день аналогичный файл com.getdropbox.Dropbox.plist, обнаруженный в каталоге понятно какого приложения.
Источник: ZDNet




обсудить  |  все отзывы (0)  
[14274]

анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



назад «     » вперед


  Copyright © 2001-2018 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach