LiveJournal заблокировал аутентификацию по OpenID для переименованных аккаунтов
dl // 22.07.10 14:29
Дело в том, что с 14 июля в LiveJournal появилось правило, допускающее удаление старых аккаунтов.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/07/12.html]
Поскольку при этом LJ не в состоянии удалить регистрации на сторонных ресурсах, рассчитывающих на OpenID-аутентификацию, при переименовании аккаунта в имя, совпадающее с удаленным, у нового пользователя появляется возможность получить доступ к ним от имени удаленного пользователя. И самым простым оказалось совсем прикрыть OpenID-аутентификацию для переименованных аккаунтов, не разбираясь, совпало ли новое имя с каким-то старым.

Пока открытым остается вопрос, что произойдет, если новое имя совпало со старым не в результате переименования, а в результате "чистой" регистрации с нуля.

Источник: LJ RU Support теги: livejournal  |  обсудить  |  все отзывы (0)

Миллионы домашних роутеров оказались уязвимыми
dl // 22.07.10 10:53
На предстоящей конференции Black Hat обещана демонстрация уязвимости, затрагивающей множество роутеров, в том числе таких популярных производителей как Netgear, Linksys, Belkin, и которая может быть использована просто через веб.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/07/11.html]

Затронутые роутеры могут быть обмануты с помощью хорошо известной атаки класса DNS rebinding, после чего начинают считать ip посетителя резервным ip атакующего сайта, а обращения с сайта - обращениями из локальной сети. Ну а дальше это вполне может открыть доступ к администрированию роутером со всеми вытекающими последствиями. Обычно администраторский фронт-энд недоступен из внешней сети и запаролен, но данная атака позволяет обойти первое препятствие, а большинство домашних пользователей не занимается такой ерундой как смена дефолтового пароля.

Из 30 протестированных моделей половина оказалась уязвимой к данной атаке.

Источник: Forbes.com, via IT Reports теги: уязвимости  |  обсудить  |  все отзывы (2)

Пробуем социализироваться
dl // 21.07.10 20:03
Счастливые пользователи Facebook теперь могут оставлять комментарии к отдельным заметкам RSN, не используя логин от форума.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/07/10.html]
Соответствующая форма и комментарии других пользователей выводятся перед блоком "последние новости". Если приживется, подумаю о более плотной интеграции.

теги: facebook  |  обсудить  |  все отзывы (0)

Microsoft выпустила средство для блокировки уязвимых ярлыков
dl // 21.07.10 17:47
Уязвимость в Windows Shell, дающая возможность исполнения произвольного кода с локальными правами при простом просмотре lnk/pif-файлов (в оболочке, диалоге открытия файла и т.п.), пока может быть заблокирована единственным способом - полным запретом отображения иконок, ассоциированных с этими файлами.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/07/09.html]
И хотя манипуляции с реестром, которые необходимо проделать для этого запрета, весьма просты, Microsoft, трезво оценивая средний уровень пользователей, выпустила простейшую утилиту, выполняющую нужные действия в несколько кликов. До выпуска нормального патча это лучшее, что можно предложить пользователям.

Источник: Microsoft Security Advisory теги: microsoft  |  обсудить  |  все отзывы (0)

Adobe добавит песочницу в Reader
dl // 20.07.10 20:54
Adobe Reader, ставший самой популярной мишенью для атак (как взломщиков, так и критиков), обретет в ближайшее время так называемую песочницу, реализующую защищенный режим работы.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/07/08.html]
В этом режиме (который будет включен по умолчанию) приложение будет иметь минимальные возможности по нанесению вреда пользовательской системе - будет заблокирована работа с реестром и файловой системой, запуск внешних приложений и т.п.

Песочница появится в следующей версии Reader'а, которая ожидается в этом году. Работа над ней продолжалась в течение последнего года.

Источник: The Register теги: adobe, acrobat  |  обсудить  |  все отзывы (1)

««    «   161  |  162  |  163  |  164  |  165  |  166  |  167  |  168  |  169  |  170   »    »»

Предложить свою новость