Декабрьские обновления от MS
dl // 14.12.11 00:01
13 обновлений, из которых 3 критических.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/12/03.html]
Критические: очередное исправление драйвера TrueType-шрифтов, кумулятивное обновление Kill Bits для ActiveX, устранение удаленного исполнения кода в Windows Media Player и Windows Media Center. Важные: кумулятивное обновление IE, устранение удаленного исполнения кода в китайском и нормальном Офисе, Publisher, PowerPoint, Excel, OLE, Active Directory, повышения привилегий в Client/Server Run-time Subsystem и ядре.

Источник: Microsoft Security Bulletin Summary теги: microsoft, patch  |  обсудить  |  все отзывы (0)

Adobe Reader zero-day
dl // 07.12.11 11:30
Adobe подтвердила существование очередной и уже используемой уязвимости в Reader, пообещав исправление до конца этой недели.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/12/02.html]
Предположительно, атаки, ее использующие, были направлены на крупных американских военных поставщиков - Adobe официально поблагодарила команды безопасности Lockheed Martin и MITRE (организация, управляющая рядом исследовательских центров, финансируемых правительством).

Источник: InfoWorld теги: adobe, acrobat  |  обсудить  |  все отзывы (0)

Дырка в Facebook раскрыла приватные фотографии
dl // 07.12.11 01:39
Опубликованная в понедельник пошаговая инструкция позволила всем желающим добраться до приватных пользовательских фотографий в Facebook.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/12/01.html]
Любопытно, что под раздачу попал и сам основатель фейсбука Цукерберг. 13 утянутых с его аккаунта фотографий были опубликованы под заголовком "It's time to fix those security flaws Facebook...".

Источник: The Register теги: facebook  |  обсудить  |  все отзывы (6)

Гугль решил защититься от будущих атак на свой https-трафик
dl // 24.11.11 01:19
Большинство текущих реализаций HTTPS предполагает существование единственного неизменного секретного ключа, известного только владельцам домена, который уже используется для шифрования сессионных ключей.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/11/05.html]
Однако история показывает, что многие решения, обеспечивающие приемлемую безопасность при своем внедрении, через некоторое время обходились за счет роста производительности вычислительной техники.

Решив подстраховаться от будущих атак на свой https-трафик, в Гугле решили перейти на схему, предусматривающую постоянную замену не только сессионных, но и секретных ключей, которые теперь не будут сохраняться в постоянной памяти (и фактически даже администратор сервера через некоторое время не сможет расшифровать старый https-трафик).

Поскольку SSL не был разработан для такого сценария использования, гуглеинженерам пришлось разработать расширение популярной библиотеки OpenSSL, которое будет интегрировано в будущую версию 1.0.1. Пока сочетание выбранной схемы передачи ключей ECDHE RSA и алгоритма шифрования RC4 128 поддерживается лишь FireFox и Chrome.

Источник: InfoWorld теги: google  |  обсудить  |  все отзывы (6)

Исследователи из Microsoft и Корнелла считают, что нашли принципиальную уязвимость в Bitcoin
dl // 16.11.11 04:06
Уязвимость эта не из тех, что приводит к проблемам безопасности, но может отразиться на поведении всей этой системы распределенной валюты.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/11/04.html]
По мнению авторов исследования, период, когда биткойны добывались практически из воздуха, благополучно завершился и основным способом заработка становится честная работа по верификации чужих транзакций. При этом у пользователей оказывается все меньше стимулов производить эту обработку в распределенном стиле, а не придерживать информацию для себя - зачем отдавать эту работу какой-нибудь китайской молотилке, когда можно не торопясь сделать ее у себя. Ну а поскольку отдельные пользователи проводят эту верификацию заведомо медленней, чем если бы они не жадничали, это начнет постепенно приводить к замедлению системы вплоть до малопригодности.

Исследователи предложили модифицированный способ вознаграждения, который будет стимулировать пользователей делиться транзакциями. Впрочем, один из разработчиков, работающих над Bitcoin, заявил, что исследование описывает очень интересную, но сугубо теоретическую проблему, с которой вряд ли придется иметь дело в ближайшем будущем.

Источник: Slashdot обсудить  |  все отзывы (1)

««    «   131  |  132  |  133  |  134  |  135  |  136  |  137  |  138  |  139  |  140   »    »»

Предложить свою новость