информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Страшный баг в WindowsSpanning Tree Protocol: недокументированное применениеАтака на Internet
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 Foreshadow продолжает дело Meltdown... 
 Попасть под лошадь 
 Последний спокойный день для сайтов... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / RSN
RSN
RSN
архив
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
предложить новость
экспорт
конкурс




Подписка:
BuqTraq: Обзор
RSN
РВС
БСК



Paragon Partition Manager 7.0

Foreshadow продолжает дело Meltdown и Spectre
dl // 15.08.18 16:59
Спекулятивное выполнение команд еще долго будет аукаться производителям современных процессоров.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2018/08/01.html]
Как выяснилось, параллельно с исследованиями, приведшими к реализации атак Meltdown и Spectre, немного поставивших всех на уши прошлой зимой, еще две команды независимо исследовали аналогичные уязвимости, позволяющие получить доступ к кэшу L1 и защищенным областям Intel SGX (Software Guard Extensions), реализованным в процессорах семейств Skylake и Kaby Lake и предназначенным для хранения особо критичной информации.

Одним из наиболее неприятных векторов атаки с использованием трех уязвимостей, получивших общее название Foreshadow (или L1 Terminal Fault, L1TF) называется получение доступа к гипервизору, т.е. фактически ко всем соседним виртуальным машинам, что особенно критично для облачных провайдеров.

Intel была извещена в январе этого года, так что время подготовиться было. Intel выпустила рекомендации для производителей ОС, виртуальных машин и прикладного софта, использующего SGX. Microsoft обновила свою облачную инфраструктуру и подготовила обновления для своих ОС и Hyper-V. Amazon и Google тоже отрапортовали о том, что пользователям их облаков больше ничего не угрожает. Соответствующие патчи выпущены для VMware, XEN, основных дистрибутивов Linux и т.п.

Источник: Foreshadow
теги: intel, meltdown  |  обсудить  |  все отзывы (0)


Попасть под лошадь
dl // 27.07.18 14:39
Уже пару недель разворачивается история с очередным скамом, в котором людям демонстрируют давно утекший пароль от одного из популярных сервисов (благо за последний десяток лет таких случаев хватало), после чего рассказывают страшилку о том, как за ними следили и их снимали (в духе эпизода Shut Up and Dance из Black Mirror), требуя выкуп в биткойнах (порядок сумм - от тысячи долларов).
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2018/07/03.html]
Вишенка на торте - демонстрируют только пароль, а поскольку многие не заморачиваются их сменой и разнообразием, неопытные пользователи действительно могут занервничать и повестись. Внезапно выяснилось, что на угрозы повелось уже полторы сотни человек (на самом деле даже больше, кошельки в письмах фигурируют разные).

Вчера ровно такое же письмо счастья пришло и мне, под раздачу попал древний пароль от заброшенного аккаунта в myspace (в упор не помню, зачем его вообще там заводил). Запросили, правда, уже 7 штук - видимо, после поднятого шума дела у ребят пошли хуже.

From: Berty Holwell <ymbrynacbf@outlook.com>
To: "dl@bugtraq.ru" <dl@bugtraq.ru>
Subject: dl - XXX
Date: Thu, 26 Jul 2018 19:19:51 +0000

XXX is your password. Lets get straight to the point. You don't know me and you're probably wondering why you're getting this e mail? Neither anyone has paid me to check you.

Well, I installed a malware on the adult vids (adult porn) site and there's more, you visited this site to have fun (you know what I mean). When you were viewing videos, your web browser started out operating as a RDP having a keylogger which provided me with access to your screen as well as webcam. Just after that, my software obtained your complete contacts from your Messenger, FB, and e-mailaccount. After that I made a video. 1st part displays the video you were watching (you have a good taste haha . . .), and second part displays the recording of your webcam, yeah its u.

There are only 2 options. Shall we read up on each one of these choices in aspects:

First solution is to just ignore this e-mail. Consequently, I am going to send your actual video recording to every single one of your contacts and also you can easily imagine about the disgrace you will see. Do not forget if you are in a romantic relationship, precisely how this will affect?

Next solution is to pay me $7000. We are going to name it as a donation. As a consequence, I will right away discard your video footage. You will keep your way of life like this never occurred and you will never hear back again from me.

You'll make the payment by Bitcoin (if you do not know this, search for "how to buy bitcoin" in Google).

BTC Address: 1PrfQHXSKv1ZuKCjJTtxUZEXjcsBeyrK4Z [CASE SENSITIVE so copy & paste it]

If you have been planning on going to the police, good, this e mail can not be traced back to me. I have covered my steps. I am also not trying to ask you for money much, I wish to be compensated. You have one day to pay. I've a special pixel within this e-mail, and at this moment I know that you have read through this message. If I don't receive the BitCoins, I definitely will send out your video to all of your contacts including family members, colleagues, etc. Having said that, if I do get paid, I'll erase the recording right away. If you really want proof, reply with Yes & I will send out your video to your 7 contacts. It is a non-negotiable offer, and thus do not waste my personal time & yours by replying to this message.

Источник: Bleeping Computer
теги: leak  |  обсудить  |  все отзывы (0)


Последний спокойный день для сайтов без https
dl // 23.07.18 18:08
Начиная с версии 68, выходящей 24 июля, Chrome начинает отмечать сайты, не использующие https, как небезопасные.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2018/07/02.html]
В первом миллионе самых популярных сайтов таковых нашлось 542 тысячи.

Источник: The Register
теги: chrome, https  |  обсудить  |  все отзывы (3)


Google по-тихому включила изоляцию сайтов в последних версиях Chrome
dl // 12.07.18 16:13
Внезапно выяснилось, что начиная с вышедшей в конце мая 67-й версии у большинства пользователей в Chrome по умолчанию включена строгая изоляция сайтов.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2018/07/01.html]
С практической точки зрения включение этой опции приводит к созданию отдельного процесса для каждого домена ценой десятипроцентного роста потребления памяти. В Google считают, что это поведение позволит откатить предыдущие изменения, которые делались для блокировки Meltdown и Spectre (загрубление таймеров и запрет SharedArrayBuffer).

Честно говоря, не вполне понятно, кто все эти 99% пользователей, у которых включилась эта настройка, в большинстве комментариев на slashdot отмечается, что у chrome://flags/#enable-site-per-process стоит значение Disabled. Возможно, речь идет о соседнем флаге #site-isolation-trial-opt-out.

Источник: Google Security Blog
теги: chrome  |  обсудить  |  все отзывы (0)


25 лет FreeBSD
dl // 19.06.18 12:33
19 июня 1993 года при обсуждении анонса нового форка BSD 4.3 Дэвид Гринман (David Greenman) предложил использовать имя FreeBSD.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2018/06/02.html]
Спустя 25 лет FreeBSD Foundation объявила этот день днём FreeBSD.

К сожалению, побывав за это время в лидерах серверных систем для веба, в последние годы FreeBSD уверенно скатывалась до теперь уже примерно 1% всех юниксов на вебе. Вот и у нас так уж получилось, что пару дней назад BugTraq.Ru отметил приближение юбилея FreeBSD окончательной миграцией с неё на Debian.

Источник: FreeBSD Archives, FreeBSD Day
теги: freebsd  |  обсудить  |  все отзывы (2)




1  |  2  |  3  |  4  |  5  |  6  |  7  |  8  |  9  |  10 >>  »    »»


Предложить свою новость

анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube


Rambler's Top100
Рейтинг@Mail.ru



  Copyright © 2001-2018 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach