Образцово-показательный взлом через OpenSSL за три часа
dl // 12.04.14 14:26
11 апреля в блоге CloudFlare была опубликована успокаивающая заметка, рассказывающая о малой вероятности успешного использования Heartbleed для извлечения приватного ключа.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2014/04/03.html]
Сама CloudFlare получила раннее предупреждение об уязвимости и пропатчила свои серверы пару недель назад, процесс перевыпуска ключей запущен, не о чем волноваться, расходимся.

На всякий случай CloudFlare объявила награду в 10 тысяч долларов за извлечение приватного ключа со специально подготовленного для этого конкурса сервера.

Победитель определился уже через 9 часов. Первым к финишу пришел Федор Индутный, которому для извлечения ключа потребовалось 3 часа и 2.5 миллиона запросов. Еще через 50 минут с задачей справился Илкка Маттила (Ilkka Mattila) со ста тысячами запросов.

Источник: CloudFlare теги: ssl  |  обсудить  |  все отзывы (1)

Прощальные патчи для XP и Office 2003
dl // 08.04.14 23:48
Прощание в день прекращения поддержки XP получилось довольно скромненьким - четыре патча, 11 уязвимостей.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2014/04/02.html]
Два критичных закрывают три удаленных исполнения кода в Office (включая недавнее с rtf-файлами) и шесть в IE. И еще два важных закрывают удаленное исполнение кода в MS Publisher и при обработке cmd/bat (требующее довольно изощренного сценария удаленное исполнение кода).

Источник: Microsoft Security Bulletin Summary теги: microsoft, patch  |  обсудить  |  все отзывы (1)

Критичная уязвимость в OpenSSL
dl // 08.04.14 16:52
Внесенная в декабре 2011 года при реализации расширения Heartbeat (RFC6520) для протокола TLS/DTLS уязвимость позволяет атакующему получить доступ к 64к памяти атакуемого сервиса.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2014/04/01.html]
При определенной настойчивости это может привести к утечке массы критичной информации; в качестве очевидного примера - к утечке приватных ключей и полной дешифровке защищаемого трафика.

Уязвимости подвержены версии OpenSSL с 1.0.1 по 1.0.1f, вышедшая вчера версия 1.0.1g ее устраняет. Ветки 1.0.0 и 0.9.8 не затронуты.

Фактически это означает, что в течение двух с лишним лет кто угодно мог тихо накапливать приватные ключи и прослушивать трафик как бы защищенных соединений. Теперь администраторам предстоит увлекательная работа по отзыву и перевыпуску всех ключей, использованных в сочетании с OpenSSL 1.0.1, а также тщательному перетряхиванию всей критичной информации, которую это могло зацепить.

Что самое неприятное, атака может привести к утечке чего угодно, что находится в этот момент в памяти сервера - хэши, пароли, личные сведения и т.п., при этом в логах не останется никаких следов. С учетом того, что OpenSSL используется в Apache, Tor, nginx, возможный ущерб пока просто не поддается оценке. Уже слышны рассказы про две трети всех существующих сайтов; в реальности все не так печально, хоть по иронии судьбы больше всего пострадали те, кто больше заботился о безопасности.

А есть ведь еще куча домашних роутеров, пользователи которых вообще не представляют, что там используется и как это исправлять, даже если производители спохватятся относительно быстро. В целом, ощущения от случившегося и возможных последствий - катастрофа с большой буквы П (как написал Шнайер, 11 по шкале от 1 до 10).

Источник: The Heartbleed Bug теги: уязвимости, ssl  |  обсудить  |  все отзывы (11)

Symantec обнаружила банкоматную малварь
dl // 26.03.14 16:16
Symantec сообщает об обнаружении Plotus - вредоносного ПО, направленного на атаку определенного (не названного) типа банкоматов.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2014/03/08.html]
Заражение требует прямого доступа к банкомату, первые версии управлялись непосредственно с клавиатуры - самого банкомата либо прикрепленной, последняя версия доросла до управления через sms. Взломщик подключает мобильный телефон, играющий роль контроллера, к usb-порту банкомата, при получении определенной sms тот посылает через usb пакет с определенной сигнатурой и идущей следом управляющей последовательностью. Отслеживающий весь трафик банкомата Plotus обнаруживает пакет и выдает нужную сумму денег подошедшему курьеру.

Symantec напоминает, что 95 процентов банкоматов до сих пор использует Windows XP, поддержка которой прекращается через две недели (хотя Microsoft продлила поддержку встроенных систем до января 2016).

Источник: InfoWorld теги: symantec  |  обсудить  |  все отзывы (0)

Microsoft советует заблокировать поддержку RTF в Word
dl // 25.03.14 10:45
Microsoft предупредила об уже используемой в атаках уязвимости в Microsoft Word, приводящей к исполнению произвольного кода при открытии rtf-файлов (в том числе при просмотре сообщений в Outlook, если Word назначен там просмотрщиком по умолчанию).
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2014/03/07.html]
Обнаруженные атаки нацелены на Word 2000, однако уязвимости подвержены все версии Word с 2003 по 2013, а также Microsoft Word Viewer и Microsoft Office for Mac 2011.

Пока пользователям предлагается заблокировать поддержку rtf в Word - с помощью соответствующего Fix It либо редактирования реестра.

Источник: SecurityWeek теги: microsoft  |  обсудить  |  все отзывы (0)

««    «   71  |  72  |  73  |  74  |  75  |  76  |  77  |  78  |  79  |  80   »    »»

Предложить свою новость