Размещение вредоносного кода в AppStore
dl // 19.08.13 18:40
Группа исследователей из Джорджии (Tielei Wang, Kangjie Lu, Long Lu, Simon Chung и Wenke Lee) предложила подход, позволяющий обойти предварительную проверку, которую проходят программы перед размещением в AppStore.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2013/08/03.html]
Идея заключается в разбрасывании по коду программы так называемых "кодовых гаджетов", которые сами по себе выглядят вполне невинно, что позволяет приложению пройти в основном статический анализ, проводящийся в Apple. А уже после установки ничего не подозревающим пользователем приложение получает кодовый сигнал, позволяющий собрать зловреда из внешне невинных компонентов.

В качестве демонстрации работоспособности подхода авторы честно разместили в AppStore приложение с "говорящим" именем Jekyll, которое после активации стало способно красть пользовательскую информацию, делать фотографии, отправлять почту/SMS и т.п.

Источник: The Register теги: ios  |  обсудить  |  все отзывы (0)

Неудачный способ демонстрации ошибок в Facebook
dl // 18.08.13 23:14
Палестинский исследователь Халил Шратех (Khalil Shreateh) обнаружил уязвимость в Facebook, позволяющую отправлять сообщения на страницу любого пользователя, игнорируя настройки приватности.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2013/08/02.html]
Попытавшись сообщить об этом, чтобы получить свои законное вознаграждение (от 500$ за обнаруженную уязвимость, предложенные Facebook), Шратех узнал от дежурного инженера, что это вовсе не ошибка. После этого он решил действовать радикально и опубликовал сообщение об ошибке непосредственно на странице Марка Цукерберга, до кучи выложив видео с этим на YouTube.

На этот раз реакция была более оперативной - аккаунт взломщика поневоле через несколько минут был временно заблокирован до устранения ошибки. Шратеха поблагодарили, но с сожалением сообщили, что награды он не получит из-за нарушения правил использования социальной сети. "Exploiting bugs to impact real users is not acceptable behavior for a white hat". Что в вольном переводе означает: не выпендриваться нужно было с цукерберговской страницей, а завести тестового юзера и на нем продемонстрировать.

Источник: cnet теги: facebook  |  обсудить  |  все отзывы (6)

Августовские обновления от MS
dl // 13.08.13 23:51
8 бюллетеней, закрывающих два десятка уязвимостей.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2013/08/01.html]
Три критичных - кумулятивное обновление для IE, устранение удаленного исполнения кода в Unicode Scripts Processor и Microsoft Exchange Server. Пять важных - эскалация привилегий при обработке RPC-запросов и в ядре, DoS на Windows NAT Driver и ICMPv6, утечка информации в Active Directory Federation Services.

Источник: Microsoft Security Bulletin Summary теги: microsoft, patch  |  обсудить  |  все отзывы (0)

Умер Илья Сегалович
dl // 28.07.13 14:59
Технический директор и сооснователь Яндекса Илья Сегалович был отключен от аппарата жизнеобеспечения в субботу 27 июля.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2013/07/10.html]
Двумя днями ранее у Сегаловича была зафиксирована смерть головного мозга.

Искренние соболезнования родным и коллегам, Илья действительно был одним из немногих людей этого уровня, о которых вспоминается только самое хорошее.

Источник: Блог Яндекса теги: rip  |  обсудить  |  все отзывы (0)

Конкурс на поиск уязвимостей в Одноклассниках
dl // 22.07.13 11:00
Социальная сеть Одноклассники, проект Mail.Ru Group, объявляет о начале конкурса "Нация тестирует!"

С 9 августа 2013 года по 19 августа 2013 года организаторы конкурса будут награждать пользователей за каждую найденную серьезную уязвимость в безопасности сайта Одноклассники - совершать действия от имени пользователя, загружать/удалять контент, не имея на это соответствующих прав и т.п.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2013/07/09.html]

Чем серьезнее уязвимость удастся найти, тем значительнее будет награда. При нахождении одинаковой ошибки вознаграждение получат первые три сообщивших о ней пользователя.

В конкурсе участвуют только два сайта: www.odnoklassniki.ru и m.odnoklassniki.ru. Никакие другие ресурсы Одноклассников в конкурсную программу не входят.

Информация о найденных уязвимостях должна быть выслана на адрес bugfound@odnoklassniki.ru, желательно с подробным описанием, достаточным для проверки и воспроизведения уязвимости.

Источник: Одноклассники обсудить  |  все отзывы (2)

««    «   81  |  82  |  83  |  84  |  85  |  86  |  87  |  88  |  89  |  90   »    »»

Предложить свою новость