Мартовские обновления от MS
dl // 11.03.15 12:36
14 обновлений, из которых 5 критичных, закрывают 45 уязвимостей.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2015/03/02.html]
Критичные: кумулятивное обновление IE, удаленное исполнение кода в VBScript Scripting Engine, Adobe Font Driver, Microsoft Office и в обработчике lnk-файлов (эта уязвимость еще пять лет назад использовалась в stuxnet, была исправлена, но, как выяснилось, не до конца).

Важные: эскалация привилегий в драйверах уровня ядра и Microsoft Exchange Server, утечка информации в обработчике png-файлов, и Windows Photo Decoder, уязвимость в NETLOGON, позволяющая представиться другим доменным пользователем, обход защиты в Windows Task Scheduler, и Schannel (тот самый FREAK), DoS на RDP.

Источник: Microsoft Security Bulletin Summary теги: microsoft, patch, retro  |  обсудить  |  все отзывы (0)

uTorrent решил оприходовать простаивающие процессоры
dl // 06.03.15 16:52
Пользователи последней версии uTorrent внезапно обнаружили, что при обновлении до версии 3.4.2 build 28913 они получают в нагрузку дополнительную программу EpicScale.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2015/03/01.html]

EpicScale использует свободные ресурсы пользовательских компьютеров для различных распределенных расчетов - от решения математических задач до майнинга криптовалют. Весь чистый доход, по заверениям компании, идет на благотворительность "в целях улучшения мира, в котором мы живём".

Представитель uTorrent утверждает, что хоть компания и заключила партнерское соглашение с EpicScale Inc., при установке пользователя все-таки спрашивают о желании поделиться своим процессором (хотя практика показывает, что такие запросы часто загоняются так далеко, что средний пользователь их просто не замечает).

Источник: Geektimes теги: torrents  |  обсудить  |  все отзывы (0)

Нортон поломал IE
dl // 21.02.15 23:33
Пользователи столкнулись с вылетами при старте Internet Explorer после установки предпоследнего обновления Norton AntiVirus / Norton Internet Security.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2015/02/11.html]
Следующее обновление исправляет проблему.

Источник: The Register теги: symantec, microsoft  |  обсудить  |  все отзывы (0)

Microsoft взялась за Superfish
dl // 20.02.15 20:20
Microsoft решила не полагаться на способность пользователей самостоятельно избавиться от Superfish и обновила Windows Defender, включив в него удаление этого творения Lenovo.

Источник: The Verge теги: leak  |  обсудить  |  все отзывы (0)

Потенциальные проблемы с двухфакторной аутентификацией в Яндекс.Деньгах
dl // 20.02.15 19:22
Недавний не очень удачный подход Яндекса к двухфакторной аутентификации, похоже, заставил попристальней посмотреть и на другие их сервисы, в которых эта самая двухфакторность используется давно.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2015/02/09.html]

Разработчики еще одного решения для двухфакторной аутентификации TeddyID обратили внимание на то, что в Яндекс.Деньгах помимо традиционного получения кода транзакции через SMS используется и набирающая популярность схема TOTP (меняющийся каждые 30 секунд секретный код, который можно получить, например, с помощью Google Authenticator).

Проблема в том, что если в случае SMS вы, как правило, получаете не только код, но и информацию о транзакции (т.е. вы четко представляете, передачу какой суммы и куда подтверждаете), передать ее при использовании TOTP физически невозможно. И если на вашем компьютере завелся троян, способный подправить реквизиты вашего платежа, в SMS вы эту правку немедленно увидите, а c помощью Google Authenticator - уж что ушло, то ушло.

В качестве демонстрации легкости подобной подмены было даже создано расширение для Chrome, активирующееся при попытке пополнить счет мобильного через Яндекс.Деньги на сумму менее 20 рублей. Расширение на лету увеличит последнюю цифру номера пополняемого телефона на единицу.

Строго говоря, подобные проблемы характерны не только для Яндекс.Денег, ряд банков использует аналогичный механизм, исключающий передачу информации о транзакции при подтверждении. Но Яндекс.Деньги все-таки достаточно популярны, чтобы подобная уязвимость из теоретической превратилась в практически используемую.

Источник: TeddyID теги: yandex  |  обсудить  |  все отзывы (0)

««    «   61  |  62  |  63  |  64  |  65  |  66  |  67  |  68  |  69  |  70   »    »»

Предложить свою новость