https://bugtraq.ru/review/archive/2017/20-02-17.html

Google опять обнародовала неисправленную уязвимость в Windows; Ссылка смерти для Windows; Metasploit теперь проверяет и умные устройства; Google запустила собственный CA; Google выпустила набор тестов для проверки криптобиблиотек.

#383, 20.02.2017

Google опять обнародовала неисправленную уязвимость в Windows
dl // 20.02.17 02:02
В то время как Microsoft перенесла выход февральских патчей на март "из-за возникших в последний момент проблем, затрагивающих отдельных пользователей", Google в очередной раз исполнила свой любимый номер, обнародовав информацию о неисправленной уязвимости.

Уязвимость затрагивает gdi32.dll и позволяет прочитать память атакованной системы с помощью вредоносного emf-файла (в том числе, спрятанного внутри других документов). Первый раз она была обнародована в том же стиле еще в марте прошлого года вместе с пачкой других уязвимостей, закрыта в июне, но, по мнению инженеров Google, исправление оказалось недостаточным.
Источник: BleepingComputer

Ссылка смерти для Windows
dl // 05.02.17 13:48
В реализации SMB-протокола всех поддерживаемых версий Windows содержится уязвимость, приводящая к синему экрану смерти (BSOD) при получении некорректного ответа от SMB-сервера. Неприятность этой уязвимости в том, что подключение к вредоносному серверу может быть спровоцировано, например, ссылкой на изображение в теле html-страницы или в письме (открыть ссылку, правда, придется в Internet Explorer).

Microsoft была поставлена в известность об этой уязвимости еще в сентябре, исправление ожидалось в декабрьской порции обновлений, но было отложено до февраля. Код, демонстрирующий уязвимость, уже выложен на GitHub.
Источник: The Register

Metasploit теперь проверяет и умные устройства
dl // 03.02.17 20:30
Популярный пентестовый фреймворк Metasploit обзавелся поддержкой "умных" устройств (IoT). Теперь поддерживются не только сетевые соединения, но и прямое подключение, а также работа через REST API.
Источник: ZDNet

Google запустила собственный CA
dl // 27.01.17 19:56
Google объявила о создании Google Trust Services, своего собственного Certificate Authority, основное назначение которого - поддержка сертификатов Google и Alphabet. Google Trust Services будет использовать в своей работе четыре своих корневых сертификата и два купленных у GlobalSign. Используемый ранее подчиненный CA GIAG2 будет поддерживаться в течение неопределенного времени.

One ring to rule them all.
Источник: Google Security Blog

Google выпустила набор тестов для проверки криптобиблиотек
dl // 20.12.16 23:29
Проект Wycheproof предназначен для проверки криптографических библиотек на предмет подверженности известным слабостям. Включает более 80 тестов, охватывающих более 40 типовых ошибок. Заодно выпущен готовый к использованию инструментарий для проверки криптопровайдеров Java Cryptography Architecture.
Источник: The Register