https://bugtraq.ru/review/archive/2015/02-08-15.html

десяткоапгрейдное; Уязвимости в мобильных клиентах АСУ ТП; Уязвимость в AppStore ставит разработчиков под удар; Уязвимость в Android ставит под удар почти миллиард пользователей.

#369, 02.08.2015

десяткоапгрейдное
dl // 30.07.15 13:43
Windows 10 встала поверх семерки на удивление с небольшими проблемами. Небольшие танцы с бубнами были связаны с тем, что на основной домашней машине раньше был Enterprise, нормально не апгрейдящийся ни в Pro, ни в Education, доступные в DreamSpark, что решилось правкой четырех ключей в реестре. При рестарте криво встали лишь драйверы NVidia, пришлось несколько раз попинать, традиционно потерялся звук (SB X-Fi и без апгрейдов любил раз в полгода сходить с ума, лечится простым запретом и разрешением в Device Manager), были перепутаны цветовые профили для мониторов, и даже после исправления калибровка для второго монитора автоматом не грузилась (вылечилось сносом уже бесполезного UltraMon). Наконец, слетела активация офиса. А в остальном все нормально, даже асусовский софт для работы с железом живет. Из софта пришлось пожертвовать только старым Acronis TrueImage Home 2012, с ним оно даже не пыталось апгрейдиться.

Из заметных косяков апгрейда на глаза пока попалось полностью снесенное содержимое каталога Window\Installer, что автоматом тянет за собой кучу пустых иконок и невозможность удаления или апгрейда многих программ. Лечится переносом из Windows.old по мере необходимости. Хотя при честном апгрейде Pro в Pro на другой машине этот каталог был аккуратно перенесен, да и сам апгрейд через Windows Update прошел гораздо более гладко.

Новостарый Start со странной сортировкой в All Apps, конечно, все равно не вызывает восторга, но привычный True Launch Bar работает и даже не потребовал перенастройки. Хотя увеличенная область для прикрепленных приложений выигрывает у плоского списка семерки - и иконки хорошо группируются, и вся панель растягивается на любой вкус. А еще туда можно прикреплять избранные любимые разделы из настроек, что совсем роскошно.

Ушла необходимости в UltraMon - наконец-то система показывает таскбар на втором мониторе, причем с вполне гибкими настройками. Новый просмотрщик фото - какое-то позорище, половину фотографий не может просмотреть, постоянно выводит "We can't open this file". Собсно, как он, так и штатный плейер попались на глаза только в момент перенастройки на IrfanView и MPC, но безумно криво то, что в Explorer иконки на превьюшки заменяются только у больших картинок (навскидку - больше, чем 1024х1024), уж не знаю, с чем это связано (хотя всякие танцы с бубном типа очистки кэшей и перекидывания туда-суда переключателей про показ превью вроде бы почти везде помогли). Тонкие оконные рамки приятны, только вот прицеливаться в правый нижний угол окон для их ресайза стало гораздо противней. Ну и скроллинг фоновых окон очень удобен.

Так что в целом вполне пристойно, хотя для меня системный пользовательский интерфейс уже давно вторичен, его функции по большей части давно взяла на себя связка Far/AutoHotkey/TLB, спокойно переезжающая с системы на систему. Ну а что там под капотом, еще посмотрим.

Уязвимости в мобильных клиентах АСУ ТП
dl // 28.07.15 15:52
Digital Security опубликовала анализ 20 Android-приложений, так или иначе взаимодействующих с инфраструктурой крупных предприятий, включая решения для управления PLC, OPC и MES-клиенты, клиенты для удаленного управления SCADA. Рассматривались приложения достаточно известных производителей, таких как Siemens, GE, Schnieder Electric, Movicon, Autobase.

Всего было обнаружено 50 уязвимостей, большинство из которых относится к разряду логических и архитектурых, достаточно простых для использования. В ассортименте: незащищенные или недостаточно защищенные методы передачи и хранения данных (в частности, некорректное использование SSL или самопальные криптоалгоритмы), удаленная атака на отказ в доступе на клиент и сервер, SQL-инъекции, использование недоверенных входных данных в качестве параметров настройки техпроцесса и др. Любопытно, что в приложениях удаленного доступа было найдено больше уязвимостей и слабостей, чем в клиентах для работы внутри безопасного периметра.

Атаки, использующие эти уязвимости, вполне способны создать ложное представление о текущем состоянии технологического процесса, что может привести к принятию неверных решений с тяжелыми последствиями для предприятия.

По итогам анализа делается вывод о крайне тяжелой ситуации в области защищенности мобильных клиентов для АСУ ТП. Качество кода в рассмотренных решениях очень низкое, встречаются поистине курьезные ошибки и уязвимости. Возможно, это связано с тем, что область АСУ ТП очень специфична, и разработчики мобильных решений просто не отдают себе отчета в происходящем.
Источник: Digital Security

Уязвимость в AppStore ставит разработчиков под удар
dl // 28.07.15 15:22
Забавная уязвимость обнаружилась в App Store/iTunes. Путем модификации имени своего устройства и внедрения в него скриптованного кода, покупатель может заставить выполниться этот код на стороне продавца (поскольку имя устройство включается в счета как на стороне покупателя, так и на стороне продавца). Ну а дальше уже открываются широкие возможности для перехвата пользовательских сессий, фишинга, манипулирования служебными компонентами и т.п.
Источник: ZDNet

Уязвимость в Android ставит под удар почти миллиард пользователей
dl // 27.07.15 21:40
Zimperium Mobile Security сообщила об опасной уязвимости в Android версии 2.2 и старше, позволяющей с минимальными усилиями выполнить удаленный код на устройстве. Проблема затаилась в движке Stagefright, обрабатывающем ряд популярных медиа-форматов и выполняющемся на ряде устройств с системными правами доступа. Написанный ради ускорения работы на C++, он содержит ряд уязвимостей, худшая из которых не требует взаимодействия с пользователем - ему не нужно открывать никакие файлы, фактически атакующему достаточно узнать телефонный номер жертвы и отправить MMS. Причем аккуратно подготовленная атака еще и сама удалит это сообщение, так что жертва даже не узнает, что ее телефон уже полностью захвачен.

Уязвимость затрагивает 95% всех устройств с Android (т.е. примерно 950 миллионов). Хуже всего придется устройствам до 4.x Jelly Bean (примерно 11%), приложения в которых выполняются без индивидуальных песочниц.

Google уже извещена и выпустила срочный патч, но учитывая то, что он должен сначала добраться до производителей конкретных моделей, которые очень неторопливо обновляют свои прошивки, а старые устройства (причем наиболее уязвимые) вообще не получают никаких обновлений, ситуация выглядит крайне неприятно. Детали атаки обещано обнародовать на следующей неделе на конференции Black Hat.
Источник: Zimperium blog