Американский сайт Касперских три с половиной часа раздавал трояны
dl // 19.10.10 23:47
Путем использованиия уязвимости в неназванном приложении взломщикам удалось перенаправить посетителей kasperskyusa.com на страницу, раздающую троян, прикидывающийся антивирусом.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/10/04.html]
Редирект работал в общей сложности три с половиной часа в минувшее воскресенье.

Предыдущий подобный инцидент случился в феврале прошлого года, когда опять же на американском сайте случилась утечка пользовательской информации. Итого скоро будет отмечаться 40-й взлом ЛК с 2000 года.

Источник: The Register обсудить  |  все отзывы (0)

Adobe подарила кучу электронных журналов пользователям iPad'ов
dl // 14.10.10 01:09
После выхода iPad'а многие журналы бросились выпускать заточенные под него электронные версии.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/10/03.html]
Выглядит это следующим образом: сначала скачивается бесплатное приложение, в котором показываются обложки доступных номеров. Первая доза Первый номер, как правило, бесплатный, на его обложке красуется кнопка Download, на обложках остальных - кнопка Buy.

Как выяснилось, большая часть журналов готовится с помощью программы от Adobe, традиционно славящейся надежностью защиты своих электронных книг. В данном случае обход защиты сводится к поиску в каталоге программы (имя каталога проще всего выяснить с помощью iFile) файла с расширением plist, имя которого поначалу из осторожности не называлось, но вскоре засветилось в одном из комментариев как заканчивающееся на Issues и начинающееся на Local.

Далее, взяв еще одну вершину хакерского мастерства, этот файл можно либо подправить на месте, либо скопировать на десктоп, отредактировать там и вернуть на прежнее место. Правка заключается в замене всех встреченных слов "purchasable" на "viewable". После этого кнопка Buy сменится на пару кнопок Delete и View, которые в свою очередь после нажатия Delete сменятся на Download, превратив тем самым платный выпуск в бесплатный. Дело в том, что при удалении честно купленного номера остается возможность его бесплатного скачивания - и вьювер искренне считает, что раз мы удалили что-то ненужное, то сначала купили это что-то ненужное.

Представители Adobe заявили, что очень озабочены вопросами пиратства и пообещали выпустить новую версию Digital Content Viewer к восьмому октября. Однако прошла уже почти неделя, а трюк этот прекрасно проходит и с Wired, и с NewYorker'ом. Собственно, и будет проходить до полной замены клиентского софта.

Источник: The Huffington Post теги: adobe  |  обсудить  |  все отзывы (0)

Октябрьские обновления от MS
dl // 12.10.10 22:17
Рекордный вторник - 16 обновлений, закрывающих 49 уязвимостей.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/10/02.html]

4 критических, включающие кумулятивное обновление IE, устранение удаленного исполнения кода в Media Player Network Sharing Service, Embedded OpenType Font Engine и .NET.

10 важных устраниют удаленное исполнение кода в Word, Excel, Windows Common Control Library, Windows Media Player, Windows Shell и WordPad; повышение привилений в драйверах уровня ядра, драйвере OpenType Font и Windows Local Procedure Call; DoS в SChannel; утечку информации в SharePoint.

И последние два - удаленное исполнение кода в MFC и искажение данных на дисках Windows Shared Cluster.

Источник: Microsoft Security Bulletin Summary теги: microsoft, patch  |  обсудить  |  все отзывы (0)

Отчет об уязвимости SCADA-систем
dl // 03.10.10 04:12
Недавняя история с червем Stuxnet, ориентированным в первую очередь, как выяснилось, на атаку SCADA-систем, делает вполне логичным вопрос, а что вообще творится с безопасностью этих систем.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/10/01.html]
При том, что успешные атаки на системы управления реальным производством могут повлечь за собой весьма серьезные последствия, публичная информация на эту тему носит крайне разрозненный характер.

Так что весьма кстати подоспело известие о том, что специалисты НТЦ "Станкоинформзащита" подготовили первый аналитический отчет по инцидентам безопасности сектора АСУ ТП зарубежных государств за 2008-2010 годы. Заодно в процессе подготовки отчета были обнаружены критические уязвимости в популярных SCADA-системах. Информация о части из них уже обнародована, обещается продолжение.

Источник: Станкоинформзащита теги: scada  |  обсудить  |  все отзывы (1)

Twitter залатал XSS
dl // 22.09.10 02:29
Twitter достаточно оперативно прикрыл дырку, позволяющую подсовывать другим пользователям сообщения, приводящие к исполнению JavaScript при наведении на них курсора мыши.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/09/08.html]
По большей части использования уязвимости носили демонстрационный характер, хотя могли привести и к более серьезным последствиям.

Источник: InfoWorld обсудить  |  все отзывы (0)

««    «   151  |  152  |  153  |  154  |  155  |  156  |  157  |  158  |  159  |  160   »    »»

Предложить свою новость