Утечка мегафонных SMS
dl // 18.07.11 14:10
Простой поисковый запрос позволяет вытащить содержимое SMS, отправленных через сайт Мегафона за прошедшие полтора месяца.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/07/06.html]
Тексты SMS начинаются с конца второй страницы результатов поиска, возможно, поэтому дырка и не была сразу обнаружена. В кэше яндекса лежит полный текст сообщения и телефон адресата. Первые сообщения датированы началом июня (легко определяется заданием диапазона дат в расширенной форме поиска).

Схема утечки вполне тривиальна и не требует конспиративных теорий для объяснения: после отправки СМС пользователю показывалась страница с подтверждением, доступ к которой был не защищен. Предположительно, на мегафоновском сайте была включена Яндекс.Метрика, с помощью которой помимо пользователя о странице немедленно узнавал Яндекс и засасывал в свой кэш (другой вариант - то же самое происходило с помощью Яндекс.Бара).

Естественно, в Яндексе можно задать и поиск всех SMS, отправленных на произвольный номер, так что счастливым пользователям Мегафона стоит проверить свой номер - just in case.

Источник: golubchikav LJ, dirty.ru теги: leak  |  обсудить  |  все отзывы (14)

Трансляция в Google+
dl // 16.07.11 16:10
В качестве пробного шара добавил трансляцию новостей на Google+.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/07/05.html]
Адрес простой - http://gplus.to/bugtraq. Ну и до кучи полный список доступных трансляций:

Facebook, Twitter, LiveJournal, исходный RSS.

Источник: Google+ теги: google, facebook, twitter, livejournal  |  обсудить  |  все отзывы (0)

XSS в Skype
dl // 15.07.11 19:16
Недостаточная фильтрация информации из поля с номером мобильного телефона позволяет внедрить туда код на javascript, который будет выполняться при каждом логине пользователя, добавившего этот контакт к себе.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/07/04.html]
Последствия - от перехвата сессии и смены пароля до получения контроля над компьютером жертвы.

Источник: InfoWorld теги: skype, javascript  |  обсудить  |  все отзывы (0)

Взлом водафоновских фемтосот
dl // 15.07.11 14:41
Фемтосота - это такая маленькая базовая станция, которую ставят в небольших компаниях или в больших квартирах для расширения зоны доступа.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/07/03.html]

Команда The Hacker's Choice описала способ использования нескольких уязвимостей в схеме работы фемтосот, используемых Vodafone. Первая позволяет атакующему использовать фемтосоту с расстояния до 50 метров без ведома ее владельца, вторая позволяет перехватить передаваемые по сети ключи. Для этого потребуется административный доступ к фемтосоте, что не вызывает особых проблем после обнаружения стандартного пароля рута "newsys". С этого момента появляется возможность перехвата пользовательского трафика, передача sms и звонков от чужого имени и прочие понятные прелести.

Сама Vodafone утверждает, что THC сообщила ей о проблеме в 2009 году, в 2010 она была устранена, сеть и пользователи не пострадали. THC в свою очередь утверждает, что исправлен был лишь описанный способ получения администраторского доступа к фемтосоте, но принципиальная проблема, связанная с передачей и возможным перехватом ключей, осталась незатронутой, а с тех пор были обнаружены и другие способы получения администраторского доступа.

Источник: The Hacker's Choice обсудить  |  все отзывы (0)

Июльские обновления от MS
dl // 12.07.11 23:13
22 уязвимости закрывается четырьмя исправлениями: одним критическим (исправляет удаленное исполнение кода в стеке bluetooth), тремя важными - удаленное исполнение кода в Visio, повышение привилегий в Client/Server Run-time Subsystem и в 15 различных драйверах уровня ядра.

Источник: Microsoft Security Bulletin Summary теги: microsoft, patch  |  обсудить  |  все отзывы (0)

««    «   141  |  142  |  143  |  144  |  145  |  146  |  147  |  148  |  149  |  150   »    »»

Предложить свою новость