BugTraq.Ru: RSN

Russian Security Newsline
Хотите установить RSN на своем сайте?

Windows все еще содержит 18-летнюю SMB-уязвимость
dl // 14.04.15 00:47
Исследователи из Cylance обнаружили уязвимость по всех версиях Windows вплоть до десятой, являющуюся развитием атаки Redirect to SMB , обнародованной еще в 1997 году.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2015/04/03.html]
Идея заключается в том, чтобы принудительно соединиться с вредоносным SMB-сервером, используя логин/пароль текущего пользователя. Выяснилось, что по крайней мере четыре функции Windows API (URLDownloadToFile, URLDownloadToCacheFile, URLOpenStream, URLOpenBlockingStream) способны переключаться с http/https-соединения на smb при использовании url вида "file://1.1.1.1".

Потенциальную угрозу представляют все приложения, использующие эти функции. В их число входят как минимум AVG Free, Internet Explorer, Windows Media Player, BitDefender Free, TeamViewer, и Github for Windows.

Источник: BetaNews
теги: retro | обсудить | все отзывы (12)

MariaDB добавляет шифрование и защиту от SQL-инъекций
dl // 09.04.15 18:30
Готовящаяся к выходу версия 10.1 популярного форка MySQL MariaDB будет включать встроенный фильтр для борьбы с SQL-инъекциями и шифрование таблиц, полученное в подарок от Google, перешедшего на MariaDB около года назад.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2015/04/02.html]

Забавно, как эти два факта склеились в один у The Register: по их версии, "Google is dropping encryption into MariaDB, the fork of Oracle’s MySQL, to help shut out SQL injection attacks" ("Google встраивает шифрование в MariaDB, чтобы помочь бороться с SQL-инъекциями") - что, конечно, является полным бредом.

Источник: ZDNet
теги: google | обсудить | все отзывы (4)

Завершен аудит TrueCrypt
dl // 02.04.15 19:41
Руководитель проекта аудита TrueCrypt Мэтью Грин объявил о результатах работы, на которую ушло больше года.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2015/04/01.html]
Код TrueCrypt не содержит явных закладок и грубых ошибок, хотя Грин упоминает ряд неудачных решений, способных при неудачном стечении обстоятельств привести к неудачным последствиям.

Обеспечивающий работу с виртуальными зашифрованными дисками TrueCrypt до сих пор остается одной из самых популярных программ этого класса, несмотря на внезапное прекращение его разработки анонимными авторами. С тех пор у него появилось по крайней мере два форка: застрявший с декабря на стадии пре-альфы CipherShed и более успешный VeraCrypt.

Источник: блог Мэтью Грина
теги: crypto | обсудить | все отзывы (0)

Очередные критичные патчи OpenSSL
dl // 19.03.15 18:03
Вышли обновленные версии OpenSSL (1.0.2a, 1.0.1m, 1.0.0r, 0.9.8zf), в которых устраняется 12 уязвимостей, две из которых получили высокий приоритет.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2015/03/04.html]
Если быть совсем точным, одна из них - это закрытый еще в январе FREAK, ошибочно квалифицированный низкоприоритетным, поскольку тогда казалось, что систем, использующих экспортный вариант RSA, осталось не так уж много. Ну а вторая - попытка разыменования нулевого указателя в OpenSSL 1.0.2, что приводит к потенциальной DoS-атаке.

Источник: ZDNet
теги: ssl | обсудить | все отзывы (0)

Microsoft подарит Windows 10 даже владельцам пиратских копий (на самом деле нет)
dl // 18.03.15 13:36
Как заявил руководитель направления операционных систем Microsoft Терри Майерсон, бесплатным апгрейдом на Windows 10 в течение первого года после ее запуска смогут воспользоваться все пользователи - вне зависимости от того, легальная у них установлена копия, или нет.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2015/03/03.html]

Update: впрочем, ясности с этим апгрейдом все еще нет - представители "большого" Microsoft в своих заявлениях используют обтекаемые формулировки, касающиеся лишь обновления, аккуратно обходя вопросы активации полученной системы. Представитель российского офиса MS оказался более прямолинеен: "статус лицензии Windows после обновления не изменится: если на устройстве была распознана неподлинная версия системы до обновления, то и после обновления она останется нелицензированным продуктом".

Update 2: ясность наступила - "although non-Genuine PCs may be able to upgrade to Windows 10, the upgrade will not change the genuine state of the license".

Источник: Gizmodo
теги: microsoft, windows | обсудить | все отзывы (1)

«« « 61 | 62 | 63 | 64 | 65 | 66 | 67 | 68 | 69 | 70 » »»

Предложить свою новость