Ослабленная криптография в Android SSL
dl // 15.10.13 02:02
По словам автора приложения APRSdroid, начиная с Android 2.3 при установке SSL-соединения вместо использовавшейся ранее комбинации алгоритмов шифрования и хэширования AES256 и SHA1 первой стала предлагаться значительно более слабая комбинация из RC4 и MD5.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2013/10/04.html]

Причиной этого, судя по всему, является замена в версии 2.3 ранее используемого списка приоритетов алгоритмов из OpenSSL на стандартный список из Java 1.6, который не слишком менялся со времен Java 1.4.0 (2002 год). Уже в 2011 году в Java 7 криптография была значительно усилена, но Android по-прежнему сохраняет приверженность решениям десятилетней давности.

Вопрос, была ли причиной злонамеренность или просто некомпетентность, остается открытым.

Источник: op-co.de blog теги: android, retro  |  обсудить  |  все отзывы (0)

Бэкдор в роутерах D-Link
dl // 13.10.13 11:45
В прошивке v1.13 роутера D-Link DIR-100 обнаружилась забавная проверка, позволяющая получить полный доступ к администрированию без всяких паролей.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2013/10/03.html]
Достаточно установить в качестве UserAgent своего браузера строку "xmlset_roodkcableoj28840ybtide". Скорее всего, задеты и другие модели, использующие ту же прошивку. Любопытно, что при обратном прочтении "roodkcableoj28840ybtide" превращается во вполне говорящую "editby04882joelbackdoor".

Источник: /dev/ttyS0 теги: router  |  обсудить  |  все отзывы (0)

Юбилейные октябрьские обновления от MS
dl // 08.10.13 23:29
14 октября 2003 года Microsoft запустила новую схему выхода патчей по вторым вторникам каждого месяца.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2013/10/02.html]
Первая порция включила пять исправлений. С тех пор эта внесшая предсказуемость в работу администраторов система стала привычной и была подхвачена многими другими производителями. И вот на подходе первый заметный юбилей.

Ну а этот октябрь принес восемь исправлений, закрывающих 28 уязвимостей, по 4 критичных и важных. Критичные: кумулятивное обновление IE, исправление удаленного исполнения кода в многострадальных обработчиков OpenType и TrueType шрифтов, в .NET Framework и Windows Common Control Library. Важные: удаленное исполнение кода в SharePoint Server, Excel и Word, утечка информации в Silverlight.

Источник: Microsoft Security Bulletin Summary теги: microsoft, patch  |  обсудить  |  все отзывы (3)

Крупный взлом Adobe
dl // 04.10.13 12:04
Adobe сообщает о взломе своей сети, результатом которого стала компрометация почти трех миллионов пользовательских аккаунтов.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2013/10/01.html]
Утекшая информация включает имена пользователей, зашифрованные пароли, зашифрованные номера кредиток. Пароли затронутых пользователей сброшены, им высланы соответствующие предупреждения.

Взломщики также получили доступ к исходному коду Adobe Acrobat, ColdFusion, ColdFusion Builder и других неназванных продуктов.

Источник: Adobe Blogs теги: adobe, leak  |  обсудить  |  все отзывы (0)

Обман сканера отпечатков пальцев iPhone 5S
dl // 23.09.13 00:05
Члены Chaos Computer Club продемонстрировали простой способ обмана сенсора Touch ID, встроенного в iPhone 5S, с помощью вполне доступных подручных средств.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2013/09/07.html]

Достаточно сфотографировать исходный отпечаток с разрешением 2400 DPI, инвертировать его и распечатать на лазерном принтере с разрешением 1200 DPI и высокой плотностью тонера, после чего нанести на распечатку тонкий слой латексного молочка. Полученного слепка вполне достаточно, чтобы обмануть сенсор в стиле Mission Impossible без всяких отрезаний пальцев. Отличие от опубликованной девять лет назад инструкции - только в увеличенном разрешении.

Собственно говоря, все это лишний раз иллюстрирует хорошо известный факт: биометрия не является надежным средством защиты и более-менее прилично работает лишь в системах с физическим контролем. К тому же чем больше она распространяется, тем больше появляется мест для утечки ваших пальчиков. Которые, между прочим, уже не поменять - в отличие от банального пароля или пин-кода.

Конечно, Touch ID лучше, чем полное отсутствие защиты, но не стоит ожидать от него чудес.

Источник: Engadget теги: ios  |  обсудить  |  все отзывы (5)

««    «   81  |  82  |  83  |  84  |  85  |  86  |  87  |  88  |  89  |  90   »    »»

Предложить свою новость