информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Spanning Tree Protocol: недокументированное применениеСтрашный баг в WindowsСетевые кракеры и правда о деле Левина
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft Authenticator теряет... 
 Облачнолазурное 
 TeamViewer обвинил в своем взломе... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / обзор / архив / 2015
АРХИВ
главная
2024
2023
2022
2021
2020
2019
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
1998
1997






Подписка:
BuqTraq: Обзор
RSN
РВС
БСК




десяткоапгрейдное; Уязвимости в мобильных клиентах АСУ ТП; Уязвимость в AppStore ставит разработчиков под удар; Уязвимость в Android ставит под удар почти миллиард пользователей.

#369, 02.08.2015

десяткоапгрейдное
dl // 30.07.15 13:43
Windows 10 встала поверх семерки на удивление с небольшими проблемами. Небольшие танцы с бубнами были связаны с тем, что на основной домашней машине раньше был Enterprise, нормально не апгрейдящийся ни в Pro, ни в Education, доступные в DreamSpark, что решилось правкой четырех ключей в реестре. При рестарте криво встали лишь драйверы NVidia, пришлось несколько раз попинать, традиционно потерялся звук (SB X-Fi и без апгрейдов любил раз в полгода сходить с ума, лечится простым запретом и разрешением в Device Manager), были перепутаны цветовые профили для мониторов, и даже после исправления калибровка для второго монитора автоматом не грузилась (вылечилось сносом уже бесполезного UltraMon). Наконец, слетела активация офиса. А в остальном все нормально, даже асусовский софт для работы с железом живет. Из софта пришлось пожертвовать только старым Acronis TrueImage Home 2012, с ним оно даже не пыталось апгрейдиться.

Из заметных косяков апгрейда на глаза пока попалось полностью снесенное содержимое каталога Window\Installer, что автоматом тянет за собой кучу пустых иконок и невозможность удаления или апгрейда многих программ. Лечится переносом из Windows.old по мере необходимости. Хотя при честном апгрейде Pro в Pro на другой машине этот каталог был аккуратно перенесен, да и сам апгрейд через Windows Update прошел гораздо более гладко.

Новостарый Start со странной сортировкой в All Apps, конечно, все равно не вызывает восторга, но привычный True Launch Bar работает и даже не потребовал перенастройки. Хотя увеличенная область для прикрепленных приложений выигрывает у плоского списка семерки - и иконки хорошо группируются, и вся панель растягивается на любой вкус. А еще туда можно прикреплять избранные любимые разделы из настроек, что совсем роскошно.

Ушла необходимости в UltraMon - наконец-то система показывает таскбар на втором мониторе, причем с вполне гибкими настройками. Новый просмотрщик фото - какое-то позорище, половину фотографий не может просмотреть, постоянно выводит "We can't open this file". Собсно, как он, так и штатный плейер попались на глаза только в момент перенастройки на IrfanView и MPC, но безумно криво то, что в Explorer иконки на превьюшки заменяются только у больших картинок (навскидку - больше, чем 1024х1024), уж не знаю, с чем это связано (хотя всякие танцы с бубном типа очистки кэшей и перекидывания туда-суда переключателей про показ превью вроде бы почти везде помогли). Тонкие оконные рамки приятны, только вот прицеливаться в правый нижний угол окон для их ресайза стало гораздо противней. Ну и скроллинг фоновых окон очень удобен.

Так что в целом вполне пристойно, хотя для меня системный пользовательский интерфейс уже давно вторичен, его функции по большей части давно взяла на себя связка Far/AutoHotkey/TLB, спокойно переезжающая с системы на систему. Ну а что там под капотом, еще посмотрим.


Уязвимости в мобильных клиентах АСУ ТП
dl // 28.07.15 15:52
Digital Security опубликовала анализ 20 Android-приложений, так или иначе взаимодействующих с инфраструктурой крупных предприятий, включая решения для управления PLC, OPC и MES-клиенты, клиенты для удаленного управления SCADA. Рассматривались приложения достаточно известных производителей, таких как Siemens, GE, Schnieder Electric, Movicon, Autobase.

Всего было обнаружено 50 уязвимостей, большинство из которых относится к разряду логических и архитектурых, достаточно простых для использования. В ассортименте: незащищенные или недостаточно защищенные методы передачи и хранения данных (в частности, некорректное использование SSL или самопальные криптоалгоритмы), удаленная атака на отказ в доступе на клиент и сервер, SQL-инъекции, использование недоверенных входных данных в качестве параметров настройки техпроцесса и др. Любопытно, что в приложениях удаленного доступа было найдено больше уязвимостей и слабостей, чем в клиентах для работы внутри безопасного периметра.

Атаки, использующие эти уязвимости, вполне способны создать ложное представление о текущем состоянии технологического процесса, что может привести к принятию неверных решений с тяжелыми последствиями для предприятия.

По итогам анализа делается вывод о крайне тяжелой ситуации в области защищенности мобильных клиентов для АСУ ТП. Качество кода в рассмотренных решениях очень низкое, встречаются поистине курьезные ошибки и уязвимости. Возможно, это связано с тем, что область АСУ ТП очень специфична, и разработчики мобильных решений просто не отдают себе отчета в происходящем.
Источник: Digital Security


Уязвимость в AppStore ставит разработчиков под удар
dl // 28.07.15 15:22
Забавная уязвимость обнаружилась в App Store/iTunes. Путем модификации имени своего устройства и внедрения в него скриптованного кода, покупатель может заставить выполниться этот код на стороне продавца (поскольку имя устройство включается в счета как на стороне покупателя, так и на стороне продавца). Ну а дальше уже открываются широкие возможности для перехвата пользовательских сессий, фишинга, манипулирования служебными компонентами и т.п.
Источник: ZDNet


Уязвимость в Android ставит под удар почти миллиард пользователей
dl // 27.07.15 21:40
Zimperium Mobile Security сообщила об опасной уязвимости в Android версии 2.2 и старше, позволяющей с минимальными усилиями выполнить удаленный код на устройстве. Проблема затаилась в движке Stagefright, обрабатывающем ряд популярных медиа-форматов и выполняющемся на ряде устройств с системными правами доступа. Написанный ради ускорения работы на C++, он содержит ряд уязвимостей, худшая из которых не требует взаимодействия с пользователем - ему не нужно открывать никакие файлы, фактически атакующему достаточно узнать телефонный номер жертвы и отправить MMS. Причем аккуратно подготовленная атака еще и сама удалит это сообщение, так что жертва даже не узнает, что ее телефон уже полностью захвачен.

Уязвимость затрагивает 95% всех устройств с Android (т.е. примерно 950 миллионов). Хуже всего придется устройствам до 4.x Jelly Bean (примерно 11%), приложения в которых выполняются без индивидуальных песочниц.

Google уже извещена и выпустила срочный патч, но учитывая то, что он должен сначала добраться до производителей конкретных моделей, которые очень неторопливо обновляют свои прошивки, а старые устройства (причем наиболее уязвимые) вообще не получают никаких обновлений, ситуация выглядит крайне неприятно. Детали атаки обещано обнародовать на следующей неделе на конференции Black Hat.
Источник: Zimperium blog




обсудить  |  все отзывы (0)
[35641]

анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd fsf github gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint programming pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssh ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



назад «     » вперед


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach