Взлом Chronopay
dl // 27.12.10 15:57
Утро понедельника встретило посетителей сайта платежной системы Хронопей сообщением о взломе базы, который привел к утечке всех персональных данных пользователей системы за два последних года - включая полную информацию по использованным кредитным картам.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/12/09.html]
К сообщению прилагалась рекомендация немедленно заблокировать карты, использованные для платежей через систему.

Чуть позже руководство Хронопей опровергло это заявление, заявив, что у них "всего лишь" угнали домен компании и разместили там это объявление - для дискредитации компании.

Угон домена у платежной системы - не самая лучшая ее характеристика, но это все же из серии "ужас", а не "ужас-ужас", вроде бы пользователи могут спать спокойно. Правда, утверждается, что в течение некоторого времени была подменена и веб-форма платежного шлюза, где был установлен уже отключенный редирект на ресурсы взломщиков (не вполне понятно, использовалось ли это для кражи информации).

Однако чуть позже взломщики решили подтвердить свои заявления, выложив в открытый доступ ssl-сертификаты, используемые системой, и фрагмент базы по использованным кредиткам. На первый взгляд сертификаты выглядят вполне правдоподобно, что же касается данных - как минимум есть уже один человек, опознавший себя (хотя как раз не исключено, что это привет перехвату платежной формы, данные больше похожи не на дамп базы, а на лог того, что вводили пользователи).

Так что, возможно, рекомендация заблокировать карту не так уж преждевременна - особенно если на ней не включена услуга слежения за операциями.

Источник: chronofail.livejournal.com обсудить  |  все отзывы (2)

Новая уязвимость затрагивает все версии IE
dl // 23.12.10 11:06
Microsoft признала существование недавно обнародованной уязвимости в IE, приводящей к удаленному исполнению кода.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/12/08.html]
Проблемным модулем оказалась библиотека mscorie.dll, к тому же собранная без ключа /DYNAMICBASE, что не дает воспользоваться механизмом ASLR (Address Space Layout Randomization, препятствует фиксированному расположению кода в памяти, что существенно затрудняет внедрение атакующего кода).

В качестве мер борьбы пока предлагается два варианта - установить Enhanced Mitigation Experience Toolkit (EMET) и добавить в его список ограничений iexplore.exe (что приведет к принудительному ASLR для всех библиотек, используемых IE), либо установить во всех зонах ограничения безопасности в положение High, запретив выполнение ActiveX и Active Scripting.

Источник: Security Research & Defense теги: microsoft, ie  |  обсудить  |  все отзывы (1)

Скандал вокруг закладок в OpenBSD
dl // 15.12.10 17:02
Основатель и лидер проектов OpenBSD и OpenSSH Тео де Раадт (Theo de Raadt) обнародовал полученное им письмо от Грегори Перри (Gregory Perry), который, будучи техническим директором компании NETSEC, занимался вопросами финансирования разработки OpenBSD Crypto Framework (OCF).
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/12/07.html]
OCF - вспомогательная библиотека, позволяющая абстрагироваться от конкретной реализации криптоалгоритмов (подобно механизму криптопровайдеров в MS CryptoAPI), в первую очередь используемая в OpenBSD'шной реализации IPsec.

По словам Перри, в то же время он консультировал ФБР в рамках проекта, занимавшегося внедрением закладок в смарткарты и прочие аппаратные средства защиты. Кроме того, он сообщил, что тогда же ФБР внедрила ряд закладок и в OCF, и вот теперь закончившаяся десятилетняя подписка о разглашении перестала мешать раскрытию этого милого факта.

Опять же по словам Перри, именно подобные действия ФБР стали причиной потери финансирования OpenBSD от DARPA, поскольку военные не очень любят пользоваться продуктами с чужими закладками. И именно это является основной причиной того, что ФБР активно рекомендует использовать OpenBSD при построении VPN и решений на основе виртуализации.

Основная неприятность заключается в том, что реализации IPSec из OpenBSD используются и рядом других продуктов, так что подобные закладки могли затронуть и их.

Комментируя это письмо, Тео де Раадт заметил, что за десять лет развития IPsec в нем изменилось столько кода, что непонятно, осталось ли какое-то влияние от этих закладок сейчас - даже если допустить, что эти обвинения правдивы - и призвал к аудиту потенциально затронутого кода.

Упомянутый в письме Перри Джейсон Райт (Jason Wright) отверг все обвинения в свой адрес. По его словам, Перри даже не работал в NETSEC, когда там шла разработка OCF. Райт потребовал извинений от Перри и приветствовал аудит того кода, что он написал для OpenBSD.

Источник: Slashdot теги: unix, vpn  |  обсудить  |  все отзывы (5)

Декабрьские обновления от MS
dl // 14.12.10 21:56
Очередной рекордный вторник - 17 обновлений, закрывающих почти четыре десятка уязвимостей.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/12/06.html]

Критических обновлений всего два - очередной кумулятивный апдейт IE и исправление удаленного исполнения кода в драйвере OpenType Font. Одно "умеренное" - устраняет DoS на Microsoft Exchange Server. И остальные важные: повышение привилегий в Task Scheduler, драйверах уровня ядра, Routing and Remote Access NDProxy, компоненте Consent UI от UAC; DoS на службы Windows Netlogon и Hyper-V; удаленное исполнение кода в Windows Movie Maker, Windows Media Encoder, Microsoft Publisher, Microsoft SharePoint, Windows Address Book, Internet Connection Signup Wizard, в графических фильтрах Microsoft Office, а также при работе с файлами .eml, .rss и.wpost, размещенными в сетевых каталогах.

Источник: Microsoft Security Bulletin Summary теги: microsoft, patch  |  обсудить  |  все отзывы (0)

Утечка паролей Lifehacker с Gizmodo
dl // 13.12.10 15:13
На этих выходных обнаружилась утечка базы паролей от аккаунтов, используемых для комментирования в популярных ресурсах Gawker Media - таких как Lifehacker, Gizmodo, Gawker, Jezebel, io9, Jalopnik, Kotaku, Deadspin, Fleshbot.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/12/05.html]

Несмотря на то, что пароли хранились в зашифрованом виде, пользователям предлагается исходить из того, что они полностью раскрыты - что особенно опасно для любителей использовать один пароль на все случаи жизни. Утечка не затронула пользователей, авторизующихся с помощью Facebook Connect.

Источник: livehacker теги: leak, facebook  |  обсудить  |  все отзывы (0)

««    «   151  |  152  |  153  |  154  |  155  |  156  |  157  |  158  |  159  |  160   »    »»

Предложить свою новость