Принципиальная уязвимость в USB
dl // 01.08.14 14:01
USB-устройства всегда были большой головной болью с точки зрения безопасности.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2014/08/01.html]
Понадобилось больше десятка лет, чтобы справиться с банальным автозапуском, сценарий с подсовыванием зараженных флешек не описывался только ленивым.

Теперь, похоже, история выходит на новый виток. Немецкие исследователи Карстен Ноль (Karsten Nohl) и Якоб Лель (Jakob Lell) анонсировали на 7 августа демонстрацию атаки BadUSB, основанной на использовании накопителя с модифицированной прошивкой. Подобное устройство может имитировать работу других устройств - например, клавиатуры. Таким образом, простое подключение накопителя может привести к выполнению команд, установке троянов и т.п. В дальнейшем успешно атакованная система может стать источником заражения других подключенных устройств.

Особую прелесть атаке придает тот факт, что она практически необнаружима современными средствами - никто не контролирует прошивки usb-устройств. Число популярных контроллеров, используемых в устройствах, вполне конечно, а их защитой никто толком не занимается.

Источник: Wired теги: usb  |  обсудить  |  все отзывы (4)

МВД объявило конкурс на проведение исследования возможности получения информации о пользователях Tor
dl // 24.07.14 14:57
На сайте госзакупок уже почти две недели висит заявка на выполнение НИР "Исследование возможности получения технической информации о пользователях (пользовательском оборудовании) анонимной сети ТОR".
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2014/07/02.html]

Бросившимся кричать "распил, распил" хочется напомнить, что c Tor'ом связана богатая история как утечек, так и подобных исследований. Из последнего - анонсированный и позднее отмененный доклад о бюджетном взломе Tor на ближайшем Black Hat. А порой можно и без взлома обойтись, как в случае с прошлогодним вычислением гарвардского "подрывника".

Источник: Сайт госзакупок теги: анонимность  |  обсудить  |  все отзывы (1)

Июльские обновления от MS
dl // 09.07.14 01:23
Шесть обновлений, закрывающих 29 уязвимостей; два критичных, три важных.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2014/07/01.html]
Кумулятивное обновление IE закрывает 24 уязвимости, еще одно критичное исправление закрывает удаленное исполнение кода в Windows Journal. Оставшиеся: эскалация привилегий в экранной клавиатуре, Ancillary Function Driver (AFD) и DirectShow, DoS на Microsoft Service Bus for Windows Server.

Источник: Microsoft Security Bulletin Summary теги: microsoft, patch  |  обсудить  |  все отзывы (0)

20-летняя уязвимость в библиотеке LZO
dl // 28.06.14 15:22
Целочисленное переполнение в реализации популярного алгоритма сжатия LZO (Lempel–Ziv–Oberhumer) может привести как к DoS-атакам, так и к удаленному исполнению кода при (не)удачном стечении обстоятельств.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2014/06/04.html]
LZO используется в ряде современных ключевых продуктов, большинство из которых оказалось подвержено как минимум DoS, - от ядра Linux, OpenVPN, Android и mplayer2 до Apache Hadoop и Juniper Junos IPsec. Практически ее можно найти в любом современном линуксе, вплоть до марсианских роверов.

Уже вышли исправления для ядер Linux, ffmpeg, libav.

Источник: DarkReading теги: retro  |  обсудить  |  все отзывы (1)

Гугль форкнул OpenSSL
dl // 21.06.14 18:32
Вслед за OpenBSD, анонсировавшей свой форк OpenSSL под именем LibReSSL, об аналогичных планах отписался Адам Лэнгли (Adam Langley) - человек, отвечающий за сетевой стек в Google Chrome, да и вообще за всю гуглевскую https-инфраструктуру.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2014/06/03.html]
Результат, который должен скоро появиться в репозитории Chromium, получил предварительное имя BoringSSL.

Основная идея этого форка - перестать страдать многочислеными патчами OpenSSL, которыми приходилось раньше заниматься разработчикам Chrome и Android (которые потом иногда входили, а иногда не входили в состав основного пакета), а держать свою отлаженную версию и подтягивать в нее при необходимости функциональность, появляющуюся в OpenSSL.

Источник: Slashdot теги: google, ssl  |  обсудить  |  все отзывы (0)

««    «   71  |  72  |  73  |  74  |  75  |  76  |  77  |  78  |  79  |  80   »    »»

Предложить свою новость