Успешная атака на SSL
dl // 20.02.09 22:33
Исследователь, называющий себя Moxie Marlinspike, продемонстрировал на очередной BlackHat-конференции утилиту SSLstrip, которая реализует технику перехвата SSL-соединений, основанную на том факте, что, как правило, перед началом взаимодействия по https и установкой SSL-соединения пользователи заходят на некоторую обычную веб-страницу с помощью незащищенного http-соединения, где и нажимают заветную кнопку Login.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2009/02/09.html]

Прелесть этой атаки в том, что собственно SSL-соединение никто и не атакует. SSLstrip работает как обычный прокси, отслеживающий http-трафик. Хотя пользователь искренне считает, что взаимодействует с сайтом по https, на самом деле он общается с SSLstrip по простому http, ну а та в свою очередь честно идет на сайт по https от имени пользователя. Путем подмены favicon даже получается имитировать значок защищенного соединения, ну а http там в строке адреса или https - на такую мелочь не каждый обратит внимание.

По словам автора атаки, с помощью SSLstrip за сутки ему удалось собрать 117 паролей к почтовым аккаунтам, семь логинов PayPal и 16 номеров кредитных карт.

Источник: InfoWorld теги: ssl  |  обсудить  |  все отзывы (1)

Пара недель с уязвимым Акробатом
dl // 20.02.09 18:25
Adobe сообщила о критической уязвимости в Adobe Reader и Acrobat (как девятой, так и более ранних версий), которая может приводить к аварийному завершению приложения и исполнению произвольного кода на атакуемой системе.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2009/02/08.html]
Имеются свидетельства успешного использования данной уязвимости. Дополнительную радость этой новости придает тот факт, что Adobe планирует выпустить исправление для девятки аж 11 марта, а для других версий еще чуть позже. До тех же пор пользователям предлагается положиться на свои антивирусы и не открывать документы из непроверенных источников.

Тем временем Sourcefire выпустила неофициальный патч для девятой версии Reader. Без гарантий и поддержки, разумеется.

Источник: Adobe теги: adobe, acrobat, patch, уязвимости  |  обсудить  |  все отзывы (1)

Vista SP2 RC
dl // 20.02.09 13:48
Microsoft анонсировала выход Release Candidate вторых сервис паков для Vista и Windows Server 2008.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2009/02/07.html]
Желающие смогут забрать их через Windows Update.

Источник: My Digital Life теги: microsoft, vista, windows, server  |  обсудить  |  все отзывы (0)

Итальянская полиция оказалась бессильной перед Skype
dl // 15.02.09 14:42
Миланские полицейские озабочены тем, что представители организованной преступности стали все активнее пользоваться Скайпом для переговоров.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2009/02/06.html]
Система шифрования, которой компания ни с кем не делится, не дает использовать привычные для полицейских методы перехвата. Тревогу подняли таможенники и налоговики, услышав, как подозреваемый в перевозке наркотиков предложил сообщнику переключиться на Скайп для уточнения деталей по поставке двухкилограммовой партии кокаина.

Любопытно, что несмотря на то, что полиция стала все активнее использовать средства технического перехвата и все более зависеть от них в последнее время, правительство Италии наоборот собирается ограничить возможности по прослушиванию переговоров, разрешив использование прослушки только для наиболее серьезных преступлений и запретив огласку результатов до вынесения вердикта суда (что с учетом медлительности итальянского правосудия может означать задержку на полтора десятка лет).

Итальянские журналисты крайне негативно относятся к готовящемуся законопроекту, в то время как многие политики (включая самого премьер-министра Берлускони, частные телефонные разговоры которого регулярно утекали в печать), явно вздохнут с облегчением.

Источник: BBC теги: skype  |  обсудить  |  все отзывы (22)

Ложный факт в Википедии подтвердил себя сам
dl // 11.02.09 17:34
Новый министр экономики Германии благодаря происхождению из аристократической семьи с длинной историей обладает не менее длинным именем: Karl Theodor Maria Nikolaus Johann Jacob Philipp Franz Joseph Sylvester Freiherr von und zu Guttenberg.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2009/02/05.html]
Когда только пошли слухи о его возможном назначении, кто-то подправил посвященную ему страницу в Википедии, добавив Wilhelm между Philipp и Franz (Вильгельмом больше, Вильгельмом меньше, делов-то). Когда же назначение случилось, и немецкая, и международная пресса, включая весьма известные газеты и телеканалы, просто взяли имя из Википедии. Тем временем в википедийной статье случился откат, мотивированный необходимостью подтверждения информации. Каковое и предоставили, сославшись на авторитетный источник в виде статьи на spiegel.de, автор которой взял "полное" имя министра - правильно - из Википедии. Круг замкнулся.

Источник: Slashdot теги: wikipedia, stuff  |  обсудить  |  все отзывы (3)

««    «   191  |  192  |  193  |  194  |  195  |  196  |  197  |  198  |  199  |  200   »    »»

Предложить свою новость