Эплозакладочное
dl // 31.01.11 19:12
Многие владельцы джейлбрейкнутых i-устройств отлично знают программу Installous, дающую возможность, скажем так, ознакомиться с платными версиями софта перед их покупкой.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/01/03.html]
В комплекте с самой утилитой ставится AppSync, заточенный под конкретную версию iOS, который позволяет ставить этот софт, минуя iTunes, а заодно уговаривает iTunes его синхронизировать и не сносить.

До недавнего времени AppSync 4.2 весил около 200к и при установке патчил installd, отвечающий за синхронизацию. Однако на днях в репозитарии hackulo.us появилась версия AppSync 4.0x, подходящая для всех четверок, весящая всего 722 байта, не занимающаяся никакими патчами, но создающая подкаталог tdmtanf в каталоге /var/mobile/. После недоуменных вопросов автор AppSync ответил, что еще в версии 4.0 Apple оставила некий отладочный код в installd, который позволил обойти всю защиту путем создания этого волшебного каталога.

Другими словами: вот уже несколько месяцев в нескольких версиях iOS существует классическая отладочная закладка, позволяющая минимальными усилиями обойтись без возни с цифровыми подписями, защищающими софт от кражи.

Этот факт стал известен взломщикам почти сразу, но только сейчас эту закладку решили использовать (не иначе как решив, что в новых прошивках она все равно не выживет, так что чего уж ее скрывать).

Источник: Hackulous Forum теги: apple  |  обсудить  |  все отзывы (3)

Windows 7 SP1 утек
dl // 14.01.11 22:54
RTM-версии Windows 7 SP1 и Windows Server 2008 R2 SP1 утекли в сеть за несколько дней до предполагаемой рассылки по партнерам, которая, по слухам, ожидалась 18 января.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/01/02.html]
Сервис пак включает около 625 различных исправлений и улучшений и не принесет с собой заметных новшеств. Инсталлятор включает ресурсы для всех 36 основных языков.

Источник: My Digital Life теги: microsoft, service pack  |  обсудить  |  все отзывы (0)

Январские обновления от MS
dl // 11.01.11 22:57
На этот раз очень скромненько, особенно на фоне декабрьского мегапатча - всего два патча.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/01/01.html]
Один критический, закрывает две уязвимости в Microsoft Data Access Components, приводящие к удаленному исполнению кода. Другой важный, убирает опять же удаленное исполнение кода в Windows Backup Manager.

Источник: Microsoft Security Bulletin Summary теги: microsoft, patch  |  обсудить  |  все отзывы (0)

С наступающим
dl // 31.12.10 23:59
Оставляя сайт на недельном частичном автопилоте и с учетом специфики места пребывания, заранее поздравляю всех присутствующих с неизбежно наступающим примиди второй декады нивоза 219 года Республики.

теги: ny  |  обсудить  |  все отзывы (6)

Взлом Chronopay
dl // 27.12.10 15:57
Утро понедельника встретило посетителей сайта платежной системы Хронопей сообщением о взломе базы, который привел к утечке всех персональных данных пользователей системы за два последних года - включая полную информацию по использованным кредитным картам.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/12/09.html]
К сообщению прилагалась рекомендация немедленно заблокировать карты, использованные для платежей через систему.

Чуть позже руководство Хронопей опровергло это заявление, заявив, что у них "всего лишь" угнали домен компании и разместили там это объявление - для дискредитации компании.

Угон домена у платежной системы - не самая лучшая ее характеристика, но это все же из серии "ужас", а не "ужас-ужас", вроде бы пользователи могут спать спокойно. Правда, утверждается, что в течение некоторого времени была подменена и веб-форма платежного шлюза, где был установлен уже отключенный редирект на ресурсы взломщиков (не вполне понятно, использовалось ли это для кражи информации).

Однако чуть позже взломщики решили подтвердить свои заявления, выложив в открытый доступ ssl-сертификаты, используемые системой, и фрагмент базы по использованным кредиткам. На первый взгляд сертификаты выглядят вполне правдоподобно, что же касается данных - как минимум есть уже один человек, опознавший себя (хотя как раз не исключено, что это привет перехвату платежной формы, данные больше похожи не на дамп базы, а на лог того, что вводили пользователи).

Так что, возможно, рекомендация заблокировать карту не так уж преждевременна - особенно если на ней не включена услуга слежения за операциями.

Источник: chronofail.livejournal.com обсудить  |  все отзывы (2)

««    «   151  |  152  |  153  |  154  |  155  |  156  |  157  |  158  |  159  |  160   »    »»

Предложить свою новость