информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Сетевые кракеры и правда о деле ЛевинаЗа кого нас держат?Атака на Internet
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 Неприятная уязвимость в SQLite... 
 Неделя признаний в утечках 
 Ноябрьский перевыпуск октябрьского... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / RSN
RSN
RSN
архив
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
предложить новость
экспорт
конкурс




Подписка:
BuqTraq: Обзор
RSN
РВС
БСК



The Bat!

Ошибка в Google Cast блокирует домашние роутеры
dl // 16.01.18 15:06
Производители роутеров начали понемногу выкатывать обновления прошивок, защищающие от ошибки в устройствах, использующих Google Cast (Chromecast, Google Home и т.п.).
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2018/01/04.html]
Обычно такие устройства раз в 20 секунд отправляют MDNS-пакет в качестве подтверждения keep-alive, информируя другие устройства о своём существовании. Однако выяснилось, что если устройство заснуло, в момент просыпания оно отправляет пачку таких пакетов, причём тем большую, чем дольше продолжался сон (в сообщении TP-Link называется порядок в сотню тысяч пакетов). Что эффективно переполняет память домашних роутеров, делая их недоступными до перезагрузки.

Не дожидаясь исправления от Google, TP-Link и Linksys уже выпустили обновления, на подходе Netgear.

Источник: The Register
теги: google  |  обсудить  |  все отзывы (0)


Патч от Meltdown и Spectre положил Ubuntu
dl // 10.01.18 22:11
Не так страшен Meltdown, как патчи от него.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2018/01/03.html]
Вслед за Microsoft, заморозившей системы с AMD-процессорами, отличилась Canonical, выпустившая такое обновление, что Ubuntu Xenial 16.04 перестала грузиться. Спасает лишь откат назад с версии ядра 4.4.0-108.

Источник: Slashdot
теги: уязвимости, meltdown  |  обсудить  |  все отзывы (0)


Microsoft пропатчилась против Meltdown, заморозив системы с AMD
dl // 09.01.18 13:12
Microsoft приостановила распространение на системах с процессорами AMD последнего патча, направленного на борьбу с уязвимостями Meltdown и Spectre.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2018/01/02.html]
Выяснилось, что некоторые чипсеты AMD не соответствуют предоставленной документации, результатом чего становится невозможность загрузки системы. Ведутся работы.

Источник: The Verge
теги: microsoft, patch, meltdown  |  обсудить  |  все отзывы (0)


Жизнь после Meltdown и Spectre
dl // 07.01.18 18:55
Пыль, поднятая вокруг случившегося на неделю раньше запланированного обнародования информации об уязвимостях Meltdown (CVE-2017-5754) и Spectre (CVE-2017-5753 и CVE-2017-5715), чуть улеглась, так что можно делать некоторые оценки сложившейся ситуации.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2018/01/01.html]

Счастливчикам, выпавшим на прошедшей неделе из новостного потока, имеет смысл ознакомиться с весьма доходчивым описанием Олега Артамонова. Если совсем коротко и на пальцах, принципиальный источник всех проблем кроется в сочетании механизма спекулятивного выполнения команд и предсказания ветвлений с использованием процессорного кэша.

В случае Meltdown ситуация усугубляется игнорированием процессором во время этого самого спекулятивного выполнения команд прав доступа к памяти (из тех соображений, что операция все равно откатится), в результате чего любой процесс может, используя оценку времени косвенного доступа к памяти, фактически прочитать всю память системы, в том числе и критичные блоки, обычно нормальным процессам недоступные. Под раздачу с Meltdown попали все процессоры Intel семейств Core и Xeon, процессоры iOS-устройств и пока широко не используемый Cortex-A75.

Хорошая новость - Meltdown может быть закрыта на уровне ОС, что и произошло во всех последних патчах. Плохая новость - исправление чревато ростом накладных расходов на системные вызовы, который может привести к падению производительности от 1-2% до 20-30%, а также росту потребляемой энергии (TDP) на 10-15%. Поскольку уязвимость локальная, обычным пользователям достаточно применять стандартные правила компьютерной гигиены и не запускать все подряд (тёмным пятном тут остается выполнение JavaScript, но производители браузеров уже озаботились загрублением оценок времени доступа к памяти). А вот всевозможным хостерам и облачным провайдерам придется срочно озаботиться. И их же сильнее всего затронет падение производительности после применения патчей (вот отличный пример).

В случае со Spectre с одной стороны всё не так больно, поскольку использовать её гораздо сложней (идея заключается во влиянии на спекулятивное выполнение команд в атакуемом процессе c последующим анализом попадания данных в кэш). С другой стороны, она уже носит фундаментальный характер и проявляется практически во всех современных процессорах. Ответ на вопрос "кому волноваться?" тут такой же, как с Meltdown. При этом надо понимать, что мы имеем дело с новым классом атак, использование которого почти наверняка не ограничится двумя описанными случаями и будет сочетаться с другими векторами атак. Что забавно, один из способов борьбы со Spectre сводится к усложнению определения атакующим типовых фрагментов кода, подходящих для использования, что слегка напоминает способы борьбы полиморфных вирусов с определением антивирусами.

Источник: Новогодние подарки: часть первая, вторая, третья
теги: уязвимости, meltdown  |  обсудить  |  все отзывы (3)


С наступающим
dl // 29.12.17 19:47
Традиционный недельный новогодний полуавтопилот и поздравления всех присутствующих с неумолимо надвигающимся 19 декабря 2770 года ab Urbe condita.


теги: ny  |  обсудить  |  все отзывы (0)




  «   1  |  2  |  3  |  4  |  5  |  6  |  7  |  8  |  9  |  10 >>  »    »»


Предложить свою новость

анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube


Rambler's Top100
Рейтинг@Mail.ru



  Copyright © 2001-2018 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach