информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Атака на InternetВсе любят мед
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 Уязвимость, давшая доступ к системе... 
 Oracle выпустила срочный патч для... 
 Атака на WPA2 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / RSN
RSN
RSN
архив
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
предложить новость
экспорт
конкурс




Подписка:
BuqTraq: Обзор
RSN
РВС
БСК



The Bat!

Уязвимость, давшая доступ к системе учёта уязвимостей Google
dl // 22.11.17 18:43
Алекс Бирсан (Alex Birsan) сообщил о забавном наборе уязвимостей, позволившем заработать 15,600 $ и проникнуть в святая святых Google - закрытую от внешнего мира систему учёта уязвимостей.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2017/11/02.html]

Первая уязвимость позволяла преобразовать произвольный gmail-аккаунт в аккаунт из корпоративного домена @google.com. В Issue Tracker она пробраться не позволила, но открыла дверь к разным корпоративным плюшкам и была оценена Google спустя 11 часов после извещения в 3 с небольшим тысячи.

Вторая уязвимость позволила получать извещения об обсуждениях уязвимостей, идентификаторы которых оказалось легко экстраполировать. Это было оценено Google в 5 тысяч через 5 часов.

Наконец, третьей попыткой стал достаточно простой post-запрос, включающий подобранный идентификатор уязвимости и позволяющий получать детальную информацию о любой зарегистрированной уязвимости. Тут время реакции сократилось до 1 часа, а вознаграждение выросло до 7500.

Источник: ZDNet
теги: google  |  обсудить  |  все отзывы (0)


Oracle выпустила срочный патч для Identity Manager
dl // 12.11.17 14:56
Oracle прервала свой традиционный квартальный цикл выхода патчей, чтобы выпустить срочное исправление Oracle Identity Manager, обеспечивающего идентификацию пользователей при работе с Oracle Fusion Middleware.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2017/11/01.html]
Исправленная уязвимость позволяла полностью захватить управление OIM, удалённо и без предварительной аутентификации, простым http-запросом.

Источник: ZDNet
теги: oracle, patch  |  обсудить  |  все отзывы (0)


Атака на WPA2
dl // 16.10.17 13:50
Мати Ванхоф (Mathy Vanhoef) из imec–DistriNet, KU Leuven опубликовал материалы своего будущего выступления на декабрьской конференции Black Hat Europe, посвященного классу атак на WPA2, названному Key Reinstallation Attacks (KRACK).
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2017/10/03.html]
Уточняется, что за время с подачи этих материалов на рассмотрение (19 мая) был обнаружен еще более простой способ реализации этой атаки, который будет обнародован на конференции.

Идея атаки заключается во внедрении в четырёхэтапный процесс "рукопожатия" WPA2 с помощью сбора и повторной отправки сообщений с 3 и 4 этапов. При этом атакующему удается заставить клиентов сбросить счетчики пакетов, играющих роль вектора инициализации. При использовании протокола AES-CCMP появляется возможность дешифровки передаваемых пакетов, а в случае протоколов WPA-TKIP либо GCMP еще и возможность внедрения своей информации.

Плохая новость заключается в том, что с большой вероятностью уязвимы все современные wifi-устройства. Хорошая - в том, что для устранения уязвимости достаточно исправить любого из участников взаимодействия: пропатченная точка доступа выводит из-под удара подключающихся к ней уязвимых клиентов, а пропатченный клиент может спокойно подключаться к уязвимой точке доступа.

Источник: Key Reinstallation Attacks
теги: wifi, wpa, crypto  |  обсудить  |  все отзывы (1)


Outlook полгода отправлял зашифрованные письма открытым текстом
dl // 11.10.17 23:59
В последнем обновлении Microsoft исправила неприятную уязвимость в Outlook, существовавшую по крайней мере полгода и делавшую бессмысленным использование S/MIME.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2017/10/02.html]
Несмотря на то, что отправляемые письма честно помечались как зашифрованные, создавая у отправителя иллюзию защищенности, их текст попадал в письмо еще и в блоке с открытым текстом, доступным для просмотра всем транзитным узлам.

Источник: ZDNet
теги: microsoft, outlook, crypto  |  обсудить  |  все отзывы (0)


Google считает, что Microsoft подставляет пользователей Windows 7 и 8
dl // 08.10.17 19:19
Исследователи из Google Project Zero, проанализировав такие крупные обновления Windows 10, как Anniversary Update и Creator's Update, пришли к мнению, что Microsoft предпочитает по-тихому исправлять в них уязвимости, присутствующие и в более ранних версиях Windows.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2017/10/01.html]
Причем до Windows 7 и 8 эти исправления добираются гораздо позже, что открывает широкие возможности для злобных хакеров, которым список подобных уязвимостей фактически преподносится на блюдечке.

В качестве примера приводится функция NtGdiGetGlyphOutline, простое сравнение кода которой выявило наличие уязвимости, исправленной в Windows 10 и остававшейся незакрытой в Windows 7 и 8.1 вплоть до сентября 2017.

Источник: The Register
теги: microsoft, patch, windows  |  обсудить  |  все отзывы (0)




1  |  2  |  3  |  4  |  5  |  6  |  7  |  8  |  9  |  10 >>  »    »»


Предложить свою новость

анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd gnome google gpl hp ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee microsoft mozilla mysql netware nginx novell open source opera oracle os/2 outlook password patch php powerpoint pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



мини-реклама
Хотите сделать сайт? Начните с ознакомительных обзоров, например тут.

Rambler's Top100
Рейтинг@Mail.ru



  Copyright © 2001-2017 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach