Джейлбрейк iOS 7
dl // 22.12.13 17:09
Группа evad3ers выпустила непривязанный (что приятно) джейлбрейк iOS 7.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2013/12/09.html]
Поддерживаются все устройства и все версии вплоть до 7.0.4, перед применением необходимо отключить пароль на блокировку/TouchID. С учетом того, что взломщики не стали ждать релиза iOS 7.1, беты которой уже доступны, есть шанс, что в ней будут закрыты использованные в этом джейлбрейке уязвимости (сложный выбор, 7.1 все-таки заметно улучшили).

Обновлявшим iOS по воздуху пока лучше воздержаться - джейлбрейк приводит к зависанию устройства при перезагрузке, уже готовится обновление.

Кроме того, выяснилось, что этот джейлбрейк впервые за всю историю взломов iOS устанавливает в систему клиентское приложение китайского магазина приложений Taiji, которое активируется при выборе китайского языка в качестве системного. В отличие от привычной Cydia, старательно дистанцирующейся от пиратского софта, в Taiji этого добра хоть отбавляй.

Источник: evad3ers теги: ios  |  обсудить  |  все отзывы (0)

Первая уязвимость/закладка в Telegram обнаружилась через три дня после объявления награды за взлом
dl // 22.12.13 15:43
После дружной критики так называемого защищенного протокола MTProto, используемого в мессенджере Telegram, Павел Дуров решил сделать широкий жест, объявив награду в 200 тысяч долларов за расшифровку трафика Telegram.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2013/12/08.html]
Несмотря на то, что большого смысла в подобных конкурсах нет, а их организаторы, как правило, ничем не рискуют, с частью суммы уже пришлось расстаться.

Выяснилось, что разработчики протокола решили улучшить используемый для обмена ключами старый добрый протокол Диффи-Хеллмана, добавив в него xor с некой получаемой от сервера случайной последовательностью nonce. Предположительно это делалось для подстраховки от плохой реализации ГСЧ на клиенте, на практике же могло привести к элементарной реализации атаки man-in-the-middle на стороне сервера, который легко может формировать этот nonce так, чтобы на ходу подменить публичные ключи взаимодействующих сторон.

В переводе на русский, при проектировании протокола либо была проявлена, мягко говоря, некомпетентность, либо была сознательно добавлена закладка, потенциально открывающая серверу доступ ко всему проходящему через него трафику.

Обнаруживший уязвимость пользователь habrahabr получил награду в 100 тысяч долларов, а Павлу Дурову пришлось утешиться словами гордости за отечественных разработчиков, обогнавших в поиске плюх именитых американских криптографов.

Источник: Habrahabr теги: уязвимости, telegram  |  обсудить  |  все отзывы (0)

Firefox 26 по умолчанию блокирует Java
dl // 11.12.13 01:54
Всего-то на пару версий позже запланированного в свежевышедшем Firefox включили для Java-плагина режим click-to-run.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2013/12/07.html]
Теперь при каждой попытке его загрузки пользователю выдается предупреждение, которое можно убрать лишь для конкретной страницы. Строго говоря, подобное поведение запланировано вообще для всех плагинов, и основным исключением пока остается Flash, резать который таким образом пока не решаются.

Источник: The Register теги: firefox, java  |  обсудить  |  все отзывы (0)

Декабрьские обновления от MS
dl // 10.12.13 23:32
11 обновлений, закрывающих 23 уязвимости.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2013/12/06.html]
5 критичных закрывают удаленное исполнение кода в Microsoft Graphics Component, Microsoft Scripting Runtime Object Library и Microsoft Exchange Server, обход проверки подписи PE-файлов в функции WinVerifyTrust и 7 уязвимостей в IE. Важные - удаленное исполнение кода в Microsoft SharePoint Server, эскалацию привилегий в драйверах уровня ядра, клиенте LRPC, ASP.NET SignalR; утечку информации в Microsoft Office и обход ограничений безпасности в Microsoft Office Shared Component.

Источник: Microsoft Security Bulletin Summary обсудить  |  все отзывы (0)

Конкурс по поиску простых чисел от Microsoft
dl // 07.12.13 13:11
Microsoft объявила о старте конкурса по поиску простых чисел с использованием платформы Windows Azure.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2013/12/05.html]
Участникам предлагается получить бесплатную месячную подписку, настроить облачные машины и использовать их для поиска новых простых чисел либо каким-то своим алгоритмом, либо с помощью уже предустановленной там программы Primo.

Целью конкурса является не поиск очередного самого большого числа, а исследование пропущенных областей (поскольку обычно проверяются не все возможные значения, а удовлетворяющие некоторым закономерностям - как, например, числа Мерсенна, в рамках проекта по поиску которых было найдено последнее самое большое простое число).

Конкурс продлится до 29 марта 2014. В его рамках предлагается регистрировать конкурсы поменьше - например, устроить соревнование между школами Южного Бутова во имя повышения интереса к математике.

Windows Azure настолько не востребована, что Microsoft фактически говорит, ну займите наши облака хоть чем-нибудь?

Источник: The Prime Challenge теги: microsoft, dnet  |  обсудить  |  все отзывы (4)

««    «   81  |  82  |  83  |  84  |  85  |  86  |  87  |  88  |  89  |  90   »    »»

Предложить свою новость