BugTraq.Ru: RSN

Russian Security Newsline
Хотите установить RSN на своем сайте?

Oracle выпустила внеочередной патч
dl // 15.08.12 16:15
Oracle не стала дожидаться очередной квартальной серии патчей и срочно выпустила исправление уязвимости, продемонстрированной в прошлом месяце на конференции Black Hat.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/08/05.html]
Уязвимость позволяла аутентифицированным пользователям получить администраторский доступ к базе.

Источник: The Register
теги: oracle, patch | обсудить | все отзывы (0)

Обновление flash, shockwave, acrobat
dl // 15.08.12 01:47
Adobe выпустила большую пачку обновлений для Acrobat/Reader, Shockwave и Flash.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/08/04.html]
Больше всего уязвимостей закрыто в акробате, все уязвимости относятся к критичным. Одновременно вышло и обновление Chrome (большая часть закрытых уязвимостей обнаружена как раз Google Security Team), который с конца прошлого месяца включает ранее анонсированную более "глубокую" песочницу для Flash.

Источник: Adobe Security Bulletins
теги: adobe, flash, acrobat | обсудить | все отзывы (0)

Августовские обновления от MS
dl // 14.08.12 21:55
Всего девять, закрывающих 14 уязвимостей, пять критичных, четыре важных.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/08/03.html]
Критичные - кумулятивное обновление IE, закрытие удаленного исполнения кода в Remote Desktop Protocol, стандартных элементах управления, сетевых компонентах, Microsoft Exchange Server WebReady Document Viewing. Важные - эскалация привилегий в драйверах уровня ядра и удаленное исполнение кода в движках JScript и VBScript под 64-битными системами, в Microsoft Visio и при обработке Computer Graphics Metafile в Microsoft Office.

Источник: Microsoft Security Bulletin Summary
теги: microsoft, patch | обсудить | все отзывы (0)

Утечка пользовательской информации с Battle.net
dl // 10.08.12 12:12
Blizzard признала факт взлома своей внутренней сети, результатом которого стала утечка информации о почте пользователей (всех, кроме китайских).
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/08/02.html]
Кроме того, взломщики получили доступ к контрольным вопросам и информации о мобильной и dial-in аутентификации пользователей североамериканских серверов (в основном это США, Австралия, Новая Зеландия, Латинская Америка и Юго-Восточная Азия). Несмотря на то, что компания считает, что этой информации недостаточно для получения доступа к аккаунтам, пользователям предложено поменять пароли.

Источник: cnet
теги: leak | обсудить | все отзывы (0)

Как Amazon с Apple помогли захватить чужие аккаунты
dl // 08.08.12 20:44
В конце прошлой недели прошла захватывающая информация о том, как сотрудник Gizmodo Мэт Хонан (Mat Honan) в течение получаса наблюдал полный захват своих аккаунтов и стирание информации на всех своих Apple-устройствах.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/08/01.html]
Тогда это стало лишь поводом вспомнить о всех яйцах в одной корзине и потоптаться по разумности столь безоглядного доверия Apple, позволившего после захвата аккаунта iCloud стереть все на iPhone, iPad'е и MacBook'е Мэта. Предполагалось, что захват стал возможным из-за долгого использования семизначного пароля к iCloud, который и был подобран взломщиком.

Однако все оказалось гораздо интереснее. Для начала, причиной случившегося стал приглянувшийся взломщику трехбуквенный твиттер Мэта. Сам же захват стал возможен из-за исключительно удачного сочетания политик Apple и Amazon, ну и определенной беспечности пострадавшего.

Первым делом взломщик узнал gmail-адрес Мэта, опубликованный на его сайте (сайт, само собой, был залинкован в твиттере). Двухфакторную авторизацию в gmail Мэт не использовал, и взломщик увидел на странице восстановления пароля предложение получить ссылку на адрес m****n@me.com. Зная, что восстанавливается адрес mhonan@gmail.com, найти соответствие звездочкам было нетрудно, что дало имя аккаунта в iCloud.

Для восстановления пароля через AppleCare оказалось достаточно указать имя, адрес и четыре последние цифры номера кредитки (здесь есть вина Apple, которая признала, что сотрудник техподдержки допустил оплошность, поскольку взломщик не ответил ни на один контрольный вопрос). Имя с адресом были извлечены из Whois личного сайта, с кредиткой помог Amazon, который на пользовательской странице показывает как раз четыре последних цифры номеров привязанных к аккаунту кредиток. Тут была проведена изящная двуступенчатая операция. Сначала взломщик сгенерировал левый номер кредитки и через службу поддержки Амазона добавил ее в аккаунт Мэта (для этого оказалось достаточно указать имя и адреса нормальной и бумажной почты). Далее опять же через службу поддержки Амазона к аккаунту был добавлен новый почтовый адрес (для этого потребовалось указать номер кредитки, которая была добавлена на первом этапе).

Имея заветные 4 цифры, взломщик получил доступ к iCloud, оттуда уже по цепочке к gmail, твиттеру и т.п. Ну и до кучи снес всю информацию на привязанных к аккаунту устройствах.

Сразу после этой истории Apple с Amazon пересмотрели свои правила восстановления доступа к аккаунтам. Apple, например, просто перестала восстанавливать пароли по телефону.

Источник: Wired
теги: apple, amazon | обсудить | все отзывы (2)

«« « 111 | 112 | 113 | 114 | 115 | 116 | 117 | 118 | 119 | 120 » »»

Предложить свою новость