BugTraq.Ru: RSN

Russian Security Newsline
Хотите установить RSN на своем сайте?

Четверть приложений, использующих Log4j, до сих пор уязвима
dl // 11.12.23 18:29
Спустя два года после обнародования крайне опасной уязвимости в используемой для протоколирования библиотеке Apache Log4j каждое четвёртое приложение с Log4j по-прежнему остаётся уязвимым.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2023/12/02.html]
Судя по тому, что 32% потенциальных жертв вообще пользуется версиями, вышедшими до 2014, они в принципе не пытались что-то обновлять после своего запуска.

Источник: The Register
теги: уязвимости, java | обсудить | все отзывы (0)

Google Drive находит файлы
dl // 07.12.23 01:46
Google подтвердила, что небольшое число пользователей Google Drive for desktop версий с 84.0.0.0 по 84.0.4.0 столкнулось с проблемой синхронизации локальных файлов (с точки зрения пользователей проявлявшейся в потере этих файлов).

Версия 85.0.13.0 для Windows и macOS получила инструмент для их восстановления, доступный как через меню, так и из командной строки.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2023/12/01.html]
После завершения восстановления файлы будут записаны в отдельный каталог, по умолчанию Google Drive Recovery на рабочем столе.

Для успешного восстановления важно, чтобы пользователь не успел отключить десктопный клиент от своего аккаунта и удалить каталог %USERPROFILE%\AppData\Local\Google.

Источник: ZDNet
теги: google | обсудить | все отзывы (0)

Google Drive теряет файлы
dl // 27.11.23 20:02
Ряд пользователей Google Drive потерял данные за несколько месяцев.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2023/11/01.html]
Первой ласточкой стало сообщение на форуме поддержки от южнокорейского пользователя, который обнаружил, что его Drive откатился на состояние мая 2023 года. В комментариях отметился еще десяток с лишним пользователей, сообщивших об аналогичных проблемах, плюс нашлись и независимые сообщения.

Пострадавшие стали получать письма от службы поддержки, в которых признавалось наличие проблемы. Google исследует случившееся, но пока безуспешно. Пользователям, столкнувшимся с подобными симптомами, рекомендовано не вносить никакие изменения и не пытаться ничего восстанавливать самостоятельно.

Источник: Mashable
теги: google | обсудить | все отзывы (0)

Атака в стиле Meltdown на iOS/macOS-браузеры
dl // 25.10.23 22:40
Обнародованные пять с лишним лет назад атаки Meltdown и Spectre, основанные на использовании механизма спекулятивного выполнения команд в немирных целях, открыли совершенно новый класс атак, представители которого с тех пор периодически всплывают в самых разных окружениях, несмотря на различные ухищрения разработчиков процессоров и компиляторов.

На этот раз под раздачу попал Safari и другие браузеры, основанные на движке WebKit и работающие под iOS/macOS на процессорах A12-A15 и M1-M2, разработанных Apple для своих устройств.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2023/10/03.html]

Ключевым фактором использования уязвимости, описанной группой исследователей iLeakage, стала способность WebKit объединять обработку сайтов с разных доменов в рамках одного процесса при использовании метода JavaScript window.open.

Для успешного осуществления атаки уязвимый браузер должен провести около пяти минут на атакующем его сайте. После того, как процесс калибровки будет закончен, эта страница может использовать window.open для открытия самых разных сайтов, вытягивая при этом различную персональную информацию. В качестве демонстрации используется извлечение введенных при автозаполнении паролей, истории просмотров на YouTube, содержимого Gmail.

Apple пообещала закрыть уязвимость в одном из следующих обновлений.

Источник: Ars Technica
теги: apple, уязвимости | обсудить | все отзывы (0)

Microsoft планирует избавиться от NTLM
dl // 15.10.23 18:40
Несмотря на то, что с 2000 года основным протоколом аутентификации в Windows стал Kerberos, в ситуациях, когда контроллер домена недоступен или просто отсутствует, по-прежнему используется NTLM-аутентификация.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2023/10/02.html]
Microsoft планирует решить эту проблему, добавив в Windows 11 поддержку IAKerb для ситуаций, когда контроллер домена напрямую недоступен, и локального Key Distribution Center (KDC) for Kerberos для поддержки локальных аккаунтов, типичных для домашних сетей.

Microsoft предполагает в дальнейшем мониторить активность использования NTLM, надеясь в будущем полностью отключить его поддержку.

Источник: Windows IT Pro Blog
теги: microsoft | обсудить | все отзывы (0)

« 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 » »»

Предложить свою новость