#320, 09.05.2012

Adobe пропатчила Shockwave, Flash, Photoshop, Illustrator
dl // 09.05.12 00:00
Синхронно с Microsoft Adobe выпустила исправления критичных уязвимостей в Adobe Shockwave Player, Adobe Flash Professional CS5.5, Adobe Photoshop CS5.5, Adobe Illustrator CS5.5. Все - потенциально приводящие к исполнению произвольного кода и захвату системы.
Источник: ZDNet

Майские обновления от MS
dl // 08.05.12 21:21
Семь обновлений, три критичных и четыре важных, закрывающие в общей сумме 23 уязвимости. Критичные: устранение удаленного исполнения кода в Word, .NET и комплекта из трех уязвимостей, затрагивающих систему, .NET, Silverlight, Office. Важные - еще одно удаленное исполнение кода в Office и Visio и повышение привилегий в стеке TCP/IP и Windows Partition Manager.
Источник: Microsoft Security Bulletin Summary

Присяжные признали Google частично виновной в нарушении копирайта на Java API
dl // 08.05.12 14:14
В проходящем в Калифорнии разбирательстве "Oracle против Google" присяжные вынесли довольно половинчатый вердикт.

С одной стороны, был получен положительный ответ на вопрос о том, удалось ли Oracle доказать нарушение прав собственности при копировании структуры, последовательности и организации Java API. Также признан факт копирования кода одной из трех представленных на рассмотрение функций (совершенно героическая 9-строчная функция rangeCheck).

С другой стороны, отвергнуто обвинение в нарушениях, относящихся к документации. В пользу Google рассмотрен и вопрос о том, дали ли Sun/Oracle основания считать ("reasonable lead Google to believe"), что использование Java API не потребует лицензирования - хотя и не подтверждено, что Google действительно на это полагалась.

Наконец, по итогам суда осталось неясно, можно ли вообще рассматривать API как объект интеллектуальной собственности (вокруг чего, собственно, в основном и ломаются копья). Сначала судья оставил этот ключевой вопрос в стороне и посоветовал присяжным рассматривать предъявляемые доказательства, как если бы копирайт на API был возможным. Ближе к концу, однако, он сделал некоторые замечания, из которых следовало, что его позиция по этому вопросу может быть сходной с гуглевской (сравнивая API с идеей написания путеводителя).

Сразу после окончания первой фазы разбирательства началась следующая, связанная с патентами.

Хотя в целом можно говорить о первой победе Oracle в этом деле, сама победа эта может оказаться пирровой и крайне отрицательно сказаться на популярности самой Java. Не говоря уж об проблемах для всей отрасли, связанными с узаконенным копирайтом на API.
Источник: Ars Technica

Февральское обновление Lion раскрыло пользовательские пароли
dl // 06.05.12 20:51
Вышедшее в феврале обновление OS X Lion 10.7.3 привело к появлению в некоторых конфигурациях систем отладочного лога, в котором совершенно открыто сохраняются пароли всех логинившихся пользователей.

Уязвимость затрагивает пользователей, использовавших старую систему шифрования файлов FileVault (шифрующую домашний каталог) и не обновивших ее на FileVault 2 (шифрующую весь диск) при апгрейде на Lion. Т.е. пользователи, озаботившиеся шифрованием своих данных, в итоге на три месяца оставили свою систему открытой для всех, имеющих физический доступ к диску (лог лежит в незашифрованной области), бэкапам Time Machine и т.п. Это дает и новые возможности для удаленных атак - знание фиксированного места, где открыто лежат пользовательские пароли, будет большим подарком.

Как минимум один пользователь заметил эту проблему еще три месяца назад, обратившись с вопросом на форуме поддержки. Молчание было ему ответом.
Источник: ZDNet

Oracle срочно выпустила бюллетень, посвященный блокировке четырехлетней уязвимости
dl // 01.05.12 21:12
Об уязвимости, позволяющей перехватывать информацию, которой обмениваются клиенты и серверы баз данных, в Oracle узнали аж в 2008 году. Обнаруживший ее тогда Джоксин Корет (Joxean Koret) ошибочно решил, что она исправлена в последнем квартальном обновлении, причем без упоминания его имени, после чего опубликовал детали использующей ее атаки.

Однако на самом деле эта уязвимость не была закрыта, что довольно неприятно, поскольку она может быть использована удаленно и без аутентификации. Oracle пришлось срочно выпустить пошаговые инструкции, позволяющие минимизировать ущерб.

Переводя на русский язык, Oracle не хватило четырех лет, чтобы исправить крайне неприятную уязвимость, и для того, чтобы хоть как-то сдвинуться с места, потребовалось это разглашение по ошибке. Довольно мило - на фоне недавних утверждений о зрелости Database Server, в котором уже нечего исправлять.
Источник: ZDNet

Ведущий рассылки:
Дмитрий Леонов, http://www.leonov.info/
http://bugtraq.ru/ ]]> 1638088 Wed, 09 May 2012 02:04:04 MSD http://archives.maillist.ru/72284/1634631.html?rss=1

BugTraq.Ru

Обсуждение Архив выпусков Библиотека Форум

Каналы для WatzNew:
Новости сайта
Russian Security Newsline

#319, 01.05.2012

Кросс-платформенный троян атакует Java на PC и Mac'ах
dl // 01.05.12 20:50
Обнаруженный троян использует ту же уязвимость в Java, что и Flashback с SabPub, а дальше уже в зависимости от платформы либо втягивает бэкдор, написанный на C++ в случае Windows, либо update.py в случае MacOS.
Источник: ZDNet

Раскрытие ip-адресов в Skype
dl // 01.05.12 19:24
Доолгое время Skype позволял при желании сохранять достаточно высокий уровень анонимности. Однако опубликованная пропатченная версия позволяет выяснить как внешний, так и внутренний ip-адрес любого пользователя. При желании можно найти и сайт с простой формой, выдающей всю ту же информацию для запрашиваемого аккаунта.
Источник: ZDNet

Mozilla убьет Firefox 3.6 в мае
dl // 28.04.12 09:48
На начало мая запланировано принудительное обновление Firefox версии 3.6 на текущую 12-ю - подобно тому, как год назад все 3.5 обновились на 3.6. Единственный способ сохранить версию 3.6 - отключить проверку обновлений.
Источник: InfoWorld

Microsoft залатала уязвимость в Hotmail
dl // 27.04.12 19:22
Microsoft тихо залатала уязвимость в Hotmail, позволявшую кому угодно сбрасывать пользовательский пароль. Информация об уязвимости поступила в компанию 20 апреля, исправление вышло в течение нескольких часов. Однако обнаружена она была аж 6 числа, и за эти две недели дело дошло аж до видеоуроков по ее использованию.
Источник: Slashdot

Утечка кода VMware
dl // 26.04.12 11:02
VMware признала, что опубликованный недавно код действительно имеет отношение к VMware ESX - примерно к 2003-2004 годам, судя по его содержимому и комментариям. Пока неясно, представляет ли эта утечка какую-либо угрозу для пользователей. В пока что опубликованном файле нет абсолютно ничего примечательного (набор #define), но по словам взломщика, у него есть еще 300 мегабайт кода. К коду прилагаются фрагменты внутренней переписки.
Источник: InfoWorld

В области безопасности Apple отстала от Microsoft лет на 10
dl // 26.04.12 10:49
С этим утверждением Евгений Касперский выступил на лондонской InfoSecurity, и это один из тех редких случаев в последнее время, когда с ним почти не хочется спорить.

Десять не десять, но привычная для Apple манера задерживать на месяцы исправления обнародованных уязвимостей - по нынешним временам непозволительная роскошь. Пребывая долгое время в некой эйфории по поводу своей безопасности, пользователи маков, похоже, пропустили момент превращения из неуловимого Джо в "сидящую утку".
Источник: cnet

Ведущий рассылки:
Дмитрий Леонов, http://www.leonov.info/
http://bugtraq.ru/ ]]> 1634631 Tue, 01 May 2012 20:56:04 MSD http://archives.maillist.ru/72284/1625697.html?rss=1

BugTraq.Ru

Обсуждение Архив выпусков Библиотека Форум

Каналы для WatzNew:
Новости сайта
Russian Security Newsline

#318, 15.04.2012

И еще один маковский троян
dl // 15.04.12 00:25
Только Apple научилась очищать пользовательские системы от Flashback, как ему на смену пришел новый троян SabPub со вполне традиционной функциональностью - снятие скриншотов, передача файлов, выполнение команд. Впрочем, использует он ровно ту же Java-уязвимость, так что последние исправления защищают и от него.
Источник: ZDNet

FireFox будет блокировать автовоспроизведение в плагинах
dl // 14.04.12 01:47
Разработчики FireFox работают над функцией "click to play", отключающей автоматическое воспроизведение контента плагинами - все эти flash-ролики, java-апплеты, pdf-файлы. Вместо содержимого ролика пользователь увидит статичную картинку, лишь после клика по которой начнется воспроизведение. Аналогичная функциональность давно доступна после установки плагинов NoScript, FlashBlock и т.п.

Предполагается, что это значительно снизит риск от заражений через плагины, поскольку именно сладкая троица Java+Flash+Acrobat лидирует по числу используемых уязвимостей.
Источник: InfoWorld

Apple выпустила третье подряд обновление для Java
dl // 13.04.12 04:17
Вскоре после обновления Mac OS X на прошлой неделе, которое исправляло уязвимость в Java, было выпущено еще одно, а сейчас и третье.

На этот раз оно включает очистку от трояна Flashback, который по разным оценкам заразил от 500 до 700 тысяч Маков. Кроме того, обновление по умолчанию блокирует автоматическое выполнение Java-апплетов. Его можно разрешить в настройках, но если Java-плагин определит, что апплеты не загружались в течение длительного времени, он опять их запретит.

В принципе, это можно считать приемлемым решением проблемы с Java на Маках. Но макоюзерам не стоит расслабляться - им еще только предстоит дождаться обновления Самбы.
Источник: Slashdot

Пятилетняя уязвимость в Samba
dl // 11.04.12 22:12
Разработчики Samba выпустили исправление уязвимости, допускающей исполнение удаленного кода с правами root. Причем патчи были выпущены не только для поддерживаемых версий (3.4.x, 3.5.x, и 3.6.x), но и вообще для всех версий, начиная с 3.0.x, поскольку впервые уязвимость появилась в версии 3.0.25, вышедшей аж в 2007 году.

Другими словами, в течение пяти лет все работающие в SMB-сетях юниксы, от Linux до FreeBSD и MacOS, жили с нараспашку открытыми системами.

Разумеется, применение патча крайне рекомендуется, вполне вероятно существование готового эксплоита. Отдельный привет хочется передать пользователям MacOS с учетом той скорости, с которой Apple выпускает свои обновления.
Источник: ZDNet

Формально несуществующая уязвимость в Facebook для iOS и Android
dl // 06.04.12 03:55
Британский разработчик Гарет Райт (Gareth Wright) обнаружил, что приложения, работающие с Facebook как под iOS, так и под Android, без должного трепета относятся к защите пользовательских данных. Началось с того, что он нашел в папке одного из приложений файл, в котором открытым текстом лежал выданный токен для доступа к Facebook (хэш, который используется приложениями после успешной авторизации, чтобы не терзать пользователя каждый раз вводом логина/пароля). Имея этот хэш, уже можно вытащить из Facebook некую интересную информацию, доступную приложению, с помощью запросов на FQL (Facebook Query Language).

Дальше все стало еще веселее - в каталоге родного приложения Facebook нашелся файл com.Facebook.plist, в котором лежал не просто токен, а целый OAuth-ключ с временем жизни аж до 1 января 4001 года. Копирования информации из этого файла уже достаточно для полного доступа к Facebook-аккаунту.

В Facebook отчасти признали проблему, уточнив, что от шифрования этих данных все равно не было бы толку, поскольку ключ для дешифровки все равно пришлось бы хранить на этой же системе. Кроме того, для успешной атаки нужно либо приложение, способное получить доступ к чужому каталогу (что возможно лишь в джейлбрейкнутой iOS либо рутованном андроиде), либо подключение устройства по USB.

По поводу первого сценария в Facebook с чистой совестью заявили, что ломающие свои системы сами себе злобные Буратины, ну а по поводу второго - что нельзя ожидать чудес от авторов прикладного софта, если злоумышленник получил физический доступ к вашему телефону или компьютеру.

То, что ситуация вполне стандартная, подтверждает обнаруженный на следующей же день аналогичный файл com.getdropbox.Dropbox.plist, обнаруженный в каталоге понятно какого приложения.
Источник: ZDNet

Ведущий рассылки:
Дмитрий Леонов, http://www.leonov.info/
http://bugtraq.ru/ ]]> 1625697 Sun, 15 Apr 2012 02:04:04 MSD http://archives.maillist.ru/72284/1620065.html?rss=1

BugTraq.Ru

Обсуждение Архив выпусков Библиотека Форум

Каналы для WatzNew:
Новости сайта
Russian Security Newsline

#317, 05.04.2012

Неделя Java
dl // 04.04.12 17:03
Java на этой неделе неплохо напомнила о себе. В понедельник стало известно о тихо устанавливающемся под MacOS трояне, который использует исправленную еще в феврале уязвимость, залатать которую в Apple традиционно не торопились. В результате пользователи "ОС, на которой нет вирусов", сразу получили целый ботнет из полумиллиона участников, а Apple наконец-то выпустила патчи для Mac OS X 10.6.8 Snow Leopard и 10.7.3 Lion.

Практически синхронно Mozilla объявила о блокировке в FireFox Java-плагинов старых версий (вплоть до версий 1.6.0.30 и 1.7.0.2), окончательно перестав надеяться на пользовательские обновления.

Честно говоря, самое разумное, что сейчас можно сделать с Java - заблокировать полностью в постоянно используемом браузере. И если никак без этого не обойтись - выделить под всякие клиент-банки и прочие корпоративные системы, до сих пор остающиеся основным рассадником заповедником java-апплетов на десктопах, какой-нибудь очень отдельный и редко используемый IE x64 (или любой другой столь же нелюбимый браузер). Других причин ее держать я просто не вижу, на вебе этот поезд давно ушел.
Источник: MacWorld, InfoWorld

В Flash появилось автообновление
dl // 31.03.12 14:28
Adobe выпустила очередную версию Flash Player, которая включает исправления двух критичных уязвимостей и функцию "тихого" автообновления. Проверка наличия обновлений происходит ежечасно, но установка некоторых из них по-прежнему будет требовать вмешательства пользователей.
Источник: InfoWorld

Возможная утечка информации о десятке миллионов кредиток
dl // 30.03.12 19:09
Американские банке получили предупреждение от Visa и MasterCard о потенциальной утечке, предположительно случившейся в результате взлома одного из американских процессинговых центров. В предупреждении говорится о полной утечке информации с треков 1 и 2, что дает злоумышленникам возможность создания новых поддельных карт.

Утечка произошла между 21 января и 25 февраля этого года и может затронуть более 10 миллионов пользователей, хотя пока счет выявленных пострадавших идет на десятки тысяч.
Источник: ZDNet

Странный подарок Samsung Galaxy S/S2 от МТС (обновлено)
dl // 27.03.12 04:38
Пользователи Galaxy S/S2 стали обнаруживать у себя в Google Play Market среди приложений, доступных для обновления, нечто под названием МТС Мобильная Почта.

Что интересно, приложение появляется у пользователей, которые отродясь его не ставили и зачастую вообще не слышали про МТС, но удалить его стандартными средствами уже не удается. Причем началось все аж с лета прошлого года, и за это время страница приложения набрала уже четыре тысячи отрицательных отзывов.

С учетом того, что возникает приложение как на официальных, так и на кастомных прошивках лишь двух аппаратов, первое, что приходит в голову в подобной ситуации - приложение от МТС засветило некий бэкдор, закопанный, например, в драйверах, общих для всех прошивок.

Но выяснилось, что все проще - у МТСовского приложения и у самсунговской родной почты совпало уникальное имя приложения (com.seven.Z7), а заодно и уникальный ключ разработчика (поскольку и разработчик оказался одним и тем же - Seven), что и свело S/S2 с ума.

Так что мало пользователям проблем с помоечным маркетом. В нем, оказывается, еще бывает так, что обновляешь одну программу и получаешь обновление от другой - только потому, что кто-то зевнул при их регистрации.
Источник: The Verge

Загадочным языком программирования Duqu был С
dl // 19.03.12 20:12
Тем таинственным языком программирования, на котором был написан кусок трояна Duqu, и который ребята из ЛК никак не могли опознать, в итоге оказался самый что ни на есть простой С. Использованный компилятор - скорее всего, MSVC 2008 с ключами /O1 (minimize size) и /Ob1 (expand only __inline) - справедливости ради надо заметить, не самые часто используемые в последние лет 20 настройки, направленные на минимизацию размера генерируемого кода.

Согласно первоначальному анализу, код был совершенно точно написан не на C++, Objective C, Java, Python, Ada, Lua, при сборке не использовался MSVC 2008, и язык должен был быть объектно-ориентированным. Из неопознанности языка делались глубокие выводы о высокой квалификации разработчиков (на чем аналитики ЛК продолжают настаивать и сейчас - мол, выбрать такое экзотическое средство разработки по нынешним объектно-ориентированным временам могли лишь самые хардкорные олдфаги, которые с трудом пересели с ассемблера на C, ну и потом предпочли не связываться с C++, а сымитировать тот же функционал макросами).

"Разучилась пить молод╦жь, - сказал Атос, глядя на него с сожалением, - а ведь этот ещ╦ из лучших!"
Источник: ZDNet

Ведущий рассылки:
Дмитрий Леонов, http://www.leonov.info/
http://bugtraq.ru/ ]]> 1620065 Thu, 05 Apr 2012 03:04:04 MSD http://archives.maillist.ru/72284/1610453.html?rss=1

BugTraq.Ru

Обсуждение Архив выпусков Библиотека Форум

Каналы для WatzNew:
Новости сайта
Russian Security Newsline

#316, 19.03.2012

Опубликован эксплоит для RDP-уязвимости
dl // 19.03.12 16:28
Комментируя вышедший на прошлой неделе патч для уязвимости в RDP, инженеры Microsoft писали, что очень удивятся, увидев работающий эксплоит в ближайшие дни, хотя и ожидали его появления в течение месяца.

Однако в пятницу работающий эксплоит был уже размещен на китайском хостинге, после чего и обнаруживший эту уязвимость Луиджи Ауриемма (Luigi Auriemma) опубликовал свой proof-of-concept - терять все равно было уже нечего. Любопытно, что по словам Луиджи, утекший эксплоит, скорее всего, был сделан в самой Microsoft еще в ноябре прошлого года и использовался для внутреннего тестирования.

Поскольку по умолчанию на рабочих станциях служба RDP выключена, под удар в первую очередь попадают серверы и корпоративные пользователи - именно в этом окружении RDP изпользуется наиболее активно.
Источник: Computerworld

ЛК нашла следы неизвестного языка программирования
dl // 09.03.12 11:52
Как-то даже неудобно комментировать сенсационное, но довольно забавное для зануд типа меня утверждение, уже благополучно растиражированное кучей СМИ - в лаборатории Касперского проанализировали код основного компонента трояна Duqu и на голубом глазу заявили, что он написан на неизвестном языке программирования, поскольку этот код не похож на то, что получается на выходе известных компиляторов.

Характерными признаками этого кода является объектная ориентированность в сочетании с передачей указателя на объект в функцию разными способами - иногда через регистры, иногда через стек. Плюс в коде присутствуют объекты, реализующие событийно-ориентированную модель.

Забавным это утверждение представляется по следующим причинам. Во-первых, не самый полный список известных языков программирования насчитывает около двух с половиной тысяч экземпляров. Крайне маловероятно, что проверены были все из них. Далее, почему-то ставится знак равенства между языком программирования и компилятором, хотя разные компиляторы одного и того же языка могут давать совершенно разный код, равно как и компиляция с разных языков может привести к идентичному коду. Событийная же модель - это вообще не к языку, а к библиотеке. Наконец, можно повспоминать о макроассемблерах, пост-обработке кода, шитом коде и т.п.

Таким образом, в более-менее честной трактовке исходное заявление должно было бы выглядеть как "Duqu реализован с помощью пока еще неопознанного средства разработки". Хоть это уже и не так сенсационно.
Источник: ZDNet

Adobe второй раз за 20 дней пропатчила Flash
dl // 06.03.12 09:18
Adobe выпустила очередное исправление двух уязвимостей в Flash Player и представила свою новую систему приоритетов патчей. Отныне некоторые патчи более равны, чем остальные: Priority 1 рекомендуется устанавливать в течение 72 часов, Priority 2 - в течение 30 дней и Priority 3 - по усмотрению администраторов. Последнее исправление относится ко второй группе, закрытые им уязвимости еще не были обнародованы.
Источник: InfoWorld

Русский программист поломал GitHub с помощью трехлетней уязвимости
dl // 06.03.12 00:11
Строго говоря, уязвимость "mass assignment" в Ruby on Rails, с помощью которой программист из Питера Егор Хомяков поразвлекался на этих выходных с популярным сервисом GitHub, известна аж с сентября 2008 года. Но все равно получилось неплохо.

Сначала Егор добавил сообщение об уязвимости в репозиторий Rails. Администраторы удалили ветку с обсуждением, после чего он открыл тикет заново, только чтобы опять остаться проигнорированным. Далее он воспользовался этой самой уязвимостью, чтобы добавить свой публичный ключ в проект Rails, записав себя в администраторы проекта. Апофеозом истории стал пост от имени Бендера из 3012 года.

Спохватившиеся администраторы поначалу заблокировали аккаунт Хомякова, но чуть позже справедливость восторжествовала - аккаунт разблокировали, а уязвимость прикрыли. Открытым остается лишь вопрос, сколько раз GitHub успели поломать за последние годы, и в какое количество проектов внесли изменения по-тихому.
Источник: The Register

Апач прицелился в nginx
dl // 21.02.12 21:38
Всего-то спустя 7 лет после последнего крупного обновления под номером 2.2 выходит новая версия популярнейшего веб-сервера Apache 2.4. Ее ключевой особенностью заявляется значительно возросшая производительность. По словам руководителя проекта, 2.4 стала самой быстрой версий Apache из всех, что были, а сравнение с другими веб-серверами показывает, что он столь же быстр, а то и еще быстрее, чем серверы, славящиеся своей скоростью - такие, как nginx.

Несмотря на продолжающееся доминирование Apache, именно nginx благодаря своей скорости взобрался на второе место по популярности - как правило, выступая в роли кэширующего прокси либо распределителя нагрузки для других серверов.

Основные новшества нового Apache: различные многопроцессорные модули; значительно ускоренный модуль mod_proxy; модуль mod_session, реализующий универсальный фреймворк для организации сессий, отсутствие которых было вечным проклятием протокола http, заставляющим разработчиков постоянно придумывать свой велосипед.
Источник: ServerWatch

Ведущий рассылки:
Дмитрий Леонов, http://www.leonov.info/
http://bugtraq.ru/ ]]> 1610453 Mon, 19 Mar 2012 15:41:04 MSK http://archives.maillist.ru/72284/1589703.html?rss=1

BugTraq.Ru

Обсуждение Архив выпусков Библиотека Форум

Каналы для WatzNew:
Новости сайта
Russian Security Newsline

#315, 12.02.2012

Подбор pin-кода в Google Wallet
dl // 11.02.12 13:30
Мобильный клиент Google Wallet, доступный пока лишь на Nexus S, при каждом запуске проверяет пин-код, и лишь после этого получает доступ к критичной информации, хранящейся в SE (Secure Element) - номерам кредитных карт и т.п. В целях защиты от кражи смартфона пин-код блокируется после пяти неудачных попыток.

Однако выяснилось, что проверка пин-кода возложена не на SE, а проводится самим клиентом, который предварительно сохраняет его хэш-код в локальной sqlite3-таблице. С учетом того, что пин-код состоит аж из 4 цифр, его подбор даже на смартфоне является тривиальной задачей и проводится практически мгновенно.
Источник: InfoWorld

Уязвимость камер TRENDnet открыла свободный доступ к домашнему видео
dl // 08.02.12 00:36
Беспроводные камеры слежения TRENDnet позволяют кому угодно получить доступ к транслируемому видео потоку. Даже в случае установленного пароля для этого оказывается достаточно знать ip-адрес и заветную последовательность из 15 цифр, стандартную для всех камер.

TrendNet планирует в ближайшее время выпустить обновление прошивки для всех 26 уязвимых моделей, признав, что уязвимость появилась аж в 2010 году. Пока же дорвавшийся до чужого видео народ развлекается как может - выкладывает скриншоты, размечает положение найденных камер на Google Maps.
Источник: Wired

Взломщики опубликовали код pcAnywhere
dl // 07.02.12 21:37
Хакер YamaTough выложил код pcAnywhere на Pirate Bay после попытки выторговать у Symantec 50 тысяч долларов. В опубликованной переписке взломщик утверждал, что pcAnywhere содержит бэкдоры, позволяющие правительству шпионить за пользователями. В последнем опубликованном сообщении YamaTough дал Symantec 10 минут на то, чтобы отреагировать на угрозу публикации кода pcAnywhere и Norton Antivirus общим объемом в 2 с лишним гигабайта. После того как представитель Symantec потребовал больше времени, первая часть угрозы была выполнена.
Источник: Gizmodo

Интеграционное
dl // 07.02.12 17:27
На днях внезапно выяснилось, что моему аккаунту в LiveJournal стукнуло аж десять лет. Это стало хорошим поводом собраться с силами и наконец-то закончить то, что собирался сделать уже год с лишним.

Дело в том, что если поначалу LJ использовался мной как нечто вспомогательное (либо в чисто дневниковом режиме, либо для обкатки материала для обзоров), через некоторое время он стал вполне самодостаточным, и там стали появляться записи, не особо укладывающиеся в тогдашний формат сайта - описания всяких проходящих через мои руки железок, софта и т.п. В конце концов подобное раздвоение личности, приводящее к раскидыванию по разным площадкам, стало надоедать, и я начал играться с мыслью утащить сюда часть этих материалов. Тем более что само собой получившееся рассмотрение всех этих игрушек с точки зрения человека с программистско-администраторским бэкграундом вполне соответствует аудитории сайта.

Затем стало понятно, что собирать тексты вручную - совершенно безнадежная идея, так что нужно программистское решение. За его основу был взят Charm, после некоторого допиливания которого я получил полный бэкап LJшной ленты уже в своей базе, регулярно синхронизируемый и раскладываемый по тегам. Как часто бывает с программистскими решениями, получилось больше, чем хотелось изначально, причем до собственно раздела с гаджетами, ради которого все и затевалось, руки дошли лишь в последнюю очередь - делать универсальный инструмент всегда приятней, чем решать первоначальную прикладную задачу.

Новый раздел не должен напрячь старых подписчиков, которым все это неинтересно - в рассылки он пока не уходит, RSS-поток у него свой. Ну а дальше будет видно.
Источник: блог, гаджеты

Symantec обнаружила полиморфного андроидного трояна из России
dl // 03.02.12 19:36
Продолжая неделю Symantec - на этот раз специалисты компании отрапортовали о найденном полиморфном трояне Android.Opfake, который меняется после каждой загрузки, затрудняя тем самым свое обнаружение. Все обнаруженные варианты трояна распространяются через российские веб-сайты и содержат код, отправляющий sms на платные номера ряда европеских и xUSSR операторов.

Уровень полиморфизма Opfake не слишком высок - меняются лишь некоторые файлы данных, так что распознаванию, основанному на проверке исполняемого кода, это не особо мешает.
Источник: InfoWorld

Ведущий рассылки:
Дмитрий Леонов, http://www.leonov.info/
http://bugtraq.ru/ ]]> 1589703 Sun, 12 Feb 2012 01:03:04 MSK http://archives.maillist.ru/72284/1584909.html?rss=1

BugTraq.Ru

Обсуждение Архив выпусков Библиотека Форум

Каналы для WatzNew:
Новости сайта
Russian Security Newsline

#314, 03.02.2012

8 марта у жертв DNSChanger закончится интернет
dl // 03.02.12 12:01
В ноябре прошлого года ФБР удалось прекратить деятельность ботнета DNSChanger, основанного на трояне, подменяющем DNS в компьютерах жертв. Тогда же федералы подняли свои DNS вместо ботнетовских - чтобы мониторить, откуда идет трафик DNSChanger, ну и в качестве побочного эффекта - чтобы не слишком резко отрубить от сети его жертв.

С самого начала предполагалось, что вся эта подмена будет временной и продлится до 8 марта. К сожалению, выяснилось, что процесс очистки затянулся - по крайней мере в 250 компаниях из списка Fortune 500 и в 27 из 55 основных государственных учреждений в январе этого года был хотя бы один компьютер, зараженный DNSChanger. И 8 марта у них у всех ожидается большой internet blackout. С другой стороны, если продолжать тянуть, DNSChanger так и будет оставаться невычищенным.
Источник: InfoWorld

Критическая уязвимость в PHP
dl // 03.02.12 03:09
Отправка большого количества специально сформированных POST-запросов может привести к вылету php, либо удаленного исполнению кода с правами пользователя, из-под которого был запущен php. Версия 5.3.10 исправляет эту проблему. Любопытно, что сама уязвимость возникла в результате декабрьского исправления потенциальной хэш-коллизии.

Веселые намечаются выходные.
Источник: The PHP Group

Взлом VeriSign
dl // 02.02.12 20:31
Продолжение недели Symantec. Подоспело известие о том, что еще в 2010 году (как раз в августе того года VeriSign продала свой сертификатный бизнес Symantec) VeriSign была несколько раз успешно атакована.

Представители VeriSign (которая - ну так, чтоб просто представлять размеры возможного бедствия - до сих пор держит два из 13 корневых DNS-серверов и является основным регистратором для доменов com, net, name, cc, tv) поспешили заявить, что считают, что атакующие не добрались до систем, поддерживающих DNS. Представитель же Symantec поспешил заявить, что нет оснований считать, что эта атака как-то затронула системы, занимающиеся сертификатами. Хочется в это верить - иначе история будет значительно веселее, чем в случае c голландским CA.

Любопытно, что администраторы не информировали руковоство компании аж до сентября 2011 года, а сама информация о взломе всплыла после публикации ежеквартального отчета федеральной комиссии по ценным бумагам и биржевым операциям (U.S. Securities and Exchange Commission), которая ужесточила требования по информированию инвесторов о подобных взломах.
Источник: Wired

Утечка WiFi-паролей в смартфонах HTC
dl // 02.02.12 16:52
Любое андроидное приложение с полномочиями android.permission.ACCESS_WIFI_STATE способно выполнить функцию .toString() из класса WifiConfiguration на ряде смартфонов HTC и, таким образом, получить полную информацию об используемой точке доступа, включая пароль. В сочетании с полномочиями android.permission.INTERNET открывается отличная возможность для массового сбора паролей к закрытым точкам доступа.

Список затронутых смартфонов включает, по крайней мере, Desire HD, Glacier, Droid Incredible, Thunderbolt 4G, Sensation Z710e, Sensation 4G, Desire S, EVO 3D, EVO 4G.

HTC сообщила, что большинство из этих моделей уже получило автоматической исправление (уязвимость была известна аж с сентября прошлого года), однако некоторые телефоны потребуют ручного обновления.
Источник: Gizmodo

Symantec погорячилась насчет 5 миллионов андроидных жертв
dl // 02.02.12 13:40
Просто какая-то неделя Symantec. Недавний шум, поднятый компанией по поводу троянов у 5 миллионов пользователей Android, оказался не вполне обоснованным.

Symantec обнаружила, что функциональность, которая позволила классифицировать Android.Counterclank как троян, была получена приложениями, пытающимися заработать на рекламе, вместе с кодом из SDK от некого стороннего разработчика. По словам Symantec, этот SDK ведет себя более агрессивно, чем традиционное adware, поэтому они посчитали возможным классифицировать Counterclank как троян и послать соответствующий запрос в Google - тем более что предшественник Counterclank с идентичным поведением, Android.Tonclank, ранее был блокирован в маркете.

Однако Google ответил, что приложения с Conterclank полностью соответствуют Terms of Service и не будут удалены. Так что Symantec осталось лишь отозвать свое предыдущее утверждение, порассуждать о тонкой границе между adware и spyware и напомнить о том, что на PC подобная дискуссия закончилась тем, что большая часть антивирусов все-таки стала удалять подобный софт.

От себя добавлю, что просто удивительно то спокойствие, с которым Гугль наблюдает за стремительным превращением Маркета в ядреную смесь помойки и минного поля.
Источник: InfoWorld

Ведущий рассылки:
Дмитрий Леонов, http://www.leonov.info/
http://bugtraq.ru/ ]]> 1584909 Fri, 03 Feb 2012 13:12:04 MSK http://archives.maillist.ru/72284/1583987.html?rss=1

BugTraq.Ru

Обсуждение Архив выпусков Библиотека Форум

Каналы для WatzNew:
Новости сайта
Russian Security Newsline

#313, 02.02.2012

Symantec дает отмашку на использование pcAnywhere
dl // 01.02.12 12:58
Хотя на самом деле представитель компании отказался отвечать на прямые вопросы о безопасности работы с pcAnywhere, практически слово в слово повторяя слова недельной давности о необходимости использования 12.5 с последними патчами, когда Symantec рекомендовала приостановить использование своего продукта. При этом он намекнул, что вышедших в концу января патчей все-таки должно быть достаточно.

Исправление для версии 12.5 вышло 27 января, через три дня подоспели версии для 12.0 и 12.1. Пользователям более старых версий будет предложено бесплатное обновления до 12.5 - достаточно отправить просьбу об этом на pcanywhere@symantec.com.
Источник: InfoWorld

Возможное заражение 5 миллионов пользователей Android
dl // 28.01.12 10:08
Symantec сообщает об очередном трояне "Android.Counterclank", обнаруженном в 13 бесплатных приложениях, распространяемых через Android Market тремя производителями. Оценка числа пострадавших колеблется от 1 до 5 миллионов пользователей, это самая массовая андроидная malware-атака из известных до сих пор.

Если вы в последнее время устанавливали что-то с маркета, имеет смысл проверить, не входили ли в список эти программы от iApps7 Inc., Ogre Games и redmicapps. Возможные последствия: кража закладок, содержимого push-извещений, информации о системе, смена стартовой страницы браузера. Хотя в списке запрашиваемых полномочий есть и более противные, что может проявиться после очередного обновления через все тот же услужливый маркет.
Источник: Computerworld, Symantec

Symantec просит прекратить пользоваться pcAnywhere
dl // 26.01.12 01:27
Вскоре после признания утечки своих кодов Symantec рекомендавала своим пользователям воздержаться от использования pcAnywhere до тех пор, пока не выйдет финальный набор обновлений. Если же без pcAnywhere никак не обойтись, в самом крайнем случае можно поставить версию 12.5 со всеми текущими патчами.
Источник: cnet

Oracle SCN: лучше не стало
dl // 24.01.12 11:57
После первой публикации InfoWorld об уязвимости в Oracle Database, связанной с ростом SNC, авторы пообщались и с Oracle, и с признанными специалистами в этой области. В целом ситуация на текущий момент выглядит следующим образом:

Oracle признает проблему, но не считает ее критической, поскольку как сознательное использование уязвимости, так и ее случайное проявление после устранения ошибки с hot backup нереалистичны. Однако, по мнению InfoWorld нашелся еще один (необнародованный) способ заставить SCN крутиться.

Последние патчи отменяют предыдущее двукратное увеличение коэффициента умножения секунд - т.е. SCN опять ограничен значением 16,384 * [количество секунд с 1.01.1980].

Так называемая прививка (inoculation), реализованная в последних патчах, препятствует соединению с базами, чей SCN достиг значения x-y, где x - текущее предельное значение SCN, а у держится Oracle в секрете. В принципе это препятствует катастрофическому распространению запредельных SCN, хотя и может помешать нормальному функционированию - подобные базы будут вынуждены ждать, пока не пройдет достаточно времени, чтобы "поднырнуть" под постоянно движущееся предельное значение SCN.
Источник: InfoWorld

ФБР прикрыло MegaUpload
dl // 20.01.12 08:28
Популярный файлообменный ресурс MegaUpload был закрыт сегодня ФБР, а его владельцы арестованы. Министерство юстиции США в своем заявлении назвало сайт международным организованным преступным предприятием. Среди предъявленных обвинений милый набор от нарушений копирайта до отмывания денег.

Любопытно, что согласно данным Palo Alto Networks, MegaUpload отвечал за четверть всего мониторящегося корпоративного трафика - 20 терабайт против дропбоксовских 17, хотя и был замечен в 57 процентах сетей против дропбоксовских 76.
Источник: Gizmodo

Ведущий рассылки:
Дмитрий Леонов, http://www.leonov.info/
http://bugtraq.ru/ ]]> 1583987 Thu, 02 Feb 2012 01:04:04 MSK http://archives.maillist.ru/72284/1576859.html?rss=1

BugTraq.Ru

Обсуждение Архив выпусков Библиотека Форум

Каналы для WatzNew:
Новости сайта
Russian Security Newsline

#312, 19.01.2012

Symantec признала взлом своей сети в 2006 году
dl // 19.01.12 20:35
После обещания индийскими взломщиками из группы Dharmaraja опубликовать исходный код ряда продуктов Symantec, компания некоторое время пыталась сохранить лицо и утверждала, что код этот был получен из неких третьих рук, после взлома какого-нибудь партнера и т.п.

Однако теперь Symantec все-таки признала, что код Norton Antivirus Corporate Edition, Norton Internet Security, Norton Utilities, Norton GoBack и pcAnywhere был украден непосредственно из корпоративной сети в 2006 году. Представители компании, уверяют, что кража кода шестилетней давности никак не отразится на пользователях современных продуктов компании, однако аналитики не столь оптимистичны.

Собственно, даже сам представитель Symantec Крис Паден (Cris Paden) заметил, что пользователи pcAnywhere могут столкнуться со слегка возросшим риском. Именно к пользователям этого продукта сейчас привлечено повышенное внимание поддержки Symantec; перехват контроля за средством удаленного управления - штука, мягко говоря, малоприятная.
Источник: Reuters

Игровой плагин для Visual Studio
dl // 19.01.12 19:46
Microsoft выпустила плагин, позволяющий разнообразить жизнь в Visual Studio. Теперь можно соревноваться с коллегами непосредственно в процессе кодирования и коллекционировать всякие добрые достижения. Так, бэджик "Go To Hell" дается за использование оператора goto, "Cheater" за вызов меню IntelliTrace 10 раз, "Field Master" за 100 полей в классе и т.п.
Источник: GeekWire, Visual Studio Achievements

Фундаментальная проблема в Oracle
dl // 18.01.12 17:46
В продолжение темы оракловых неприятностей InfoWorld публикует материал о проблеме, частично устраненной в последнем обновлении, но принципиально не исчезнувшей.

Источником проблемы является счетчик System Change Number (SCN), увеличивающийся при каждой операции над базой, и являющийся критичным для ее работы. Такие встроенные часы, идущие только вперед, причем для увеличения одной базой SCN другой нужны лишь самые базовые привилегии.

Проектировщики заложили вполне приличный запас в SCN, сделав его 48-битным. Верхней границы в 281,474,976,710,656 должно хватить надолго, но помимо этого, на SCN было наложено дополнительное ограничение - в каждый момент времени его значение не может превышать количество секунд, прошедших с 1.01.1980, умноженное на 16,384. Предполагалось, что баз, непрерывно живущих с 80 года, и проводящих по 16 тысяч транзакций в секунду, в природе не существует.

На практике же обнаружилось несколько ситуаций, в которых природу удавалось обойти:

1. Баг в бэкапе. Базы Oracle поддерживают так называемый hot backup, позволяющй с помощью команды ALTER DATABASE BEGIN BACKUP начать бэкап работающей базы. Ошибка в кодировании привела к тому, что после выполнения этой команды SCN начинал расти со страшной скоростью, не останавливаясь даже после команды END BACKUP. На одиночной базе даже это не вызвало бы проблем, но в сочетании с множественными связанными базами (а у крупных организаций число подобных серверов может идти на сотни) теоретически недостижимый лимит вдруг оказывается не столь недостижимым. Недавно исправленная уязвимость носит номер 12371955, "High SCN growth rate from ALTER DATABASE BEGIN BACKUP in 11g."

2. Саботаж. Описанная ситуация открывает новый вектор атак - пользователь, имеющий доступ к второстепенной базе, может накрутить SCN всех баз, входящих в систему.

До недавнего времени вся реакция от Oracle на описанную проблему сводилась к увеличению ограничения на SCN вдвое - коэффициент умножения секунд вырос до 32,768. Что любопытно, это увеличение само по себе могло и ухудшить ситуацию, если в системе встретятся два сервера, только один из которых пропатчен - у него SCN может превысить критичный уровень для второго, и они просто не смогут взаимодействовать.

Наконец, последние исправления включили некую защиту, названную по словам представителей Oracle прививкой (inoculation). Пока не вполне ясна ее эффективность, как и механизм ее работы, но стоит учесть, что исправление вышло только для последних версий. Все версии, более старые, чем 11.2.0.2.0 и 10.1.0.5, по-прежнему уязвимы.
Источник: InfoWorld

Квартальные патчи Oracle: махнула ли компания рукой на безопасность своей базы?
dl // 18.01.12 16:55
Последнее квартальное обновление Oracle принесло 78 исправленных уязвимостей, лишь две из которых относятся к продуктам Oracle Database. Это бьет предыдущий октябрьский антирекорд из 5 устраненных уязвимостей. В то же время в MySQL было исправлено 27 уязвимостей и 17 - в продуктах, унаследованных от Sun.

Конечно, некорректно говорить об ухудшении ситуации, ориентируясь на уменьшение числа исправленных ошибок - в конце концов, сама Oracle утверждает, что код Oracle Database Server достиг такой зрелости, что до обнаружения принципиально новых векторов атаки там практически нечего будет исправлять.

Однако представитель Application Security's TeamShatter с говорящим именем Alex Rothacker утверждает, что количество ошибок, о которых они сообщают Oracle, осталось на прежнем уровне, только вот исправлять их Oracle не торопится - возможно, после поглощения Sun на свой флагманский продукт уже не хватает времени.
Источник: InfoWorld, Oracle

Потенциальная массовая кража паролей в LiveJournal
dl // 15.01.12 13:46
Поначалу мне показалось, что симптомы похожи на внедрение постороннего кода в стили, используемые рядом аккаунтов (у себя, например, я этого не наблюдаю, но на многих лентах вылезает при просмотре из-под любого аккаунта). Скорее всего, все было еще проще - в чей-то пост был воткнут div во весь экран, и все, у кого он показался в ленте друзей, дружно перезашли и размножили его в вирусном стиле по своим друзьям, а те понесли знамя дальше. Так что хочется передать отдельный горячий привет ljшной фильтрации.

В результате при попытке просмотра ленты друзей пользователь получает страницу с характерной синей ljшной шапкой с формой для логина и продублированной ей же на девственно чистой белой странице (в отличие от обычной страницы входа, забитой всяким хламом). В формах в качестве action указан совершенно посторонний адрес. При просмотре кода страницы видно, что оригинальная лента друзей никуда не делась, а просто перекрыта слоем с этой явно фишинговой формой.

Указанный в форме адрес http://ohtoenequ1.getenjoyment.net/index.php к настоящему моменту уже как бы благополучно прилег, видимо, не выдержав толпы запросов, но до этого могло быть собрано очень немало паролей. С другой стороны, на заборе-то написать можно что угодно, и фишинговый скрипт запросто может выводить подобное сообщение в целях маскировки под ставшие традиционными ljшные падения. Так что нет оснований считать, что сбор паролей не продолжается.

Потенциальным жертвам (к которым относятся все, у кого происходили непонятые выбрасывания на форму с логином), разумеется, стоит немедленно сменить пароль, обращая внимание на содержимое адресной строки.

В качестве временной меры, позволяющей изголодавшимся юзерам добраться до содержимого своей ленты, можно просто добавить ?nohtml=1 к ее url.
Источник: msado lj

Ведущий рассылки:
Дмитрий Леонов, http://www.leonov.info/
http://bugtraq.ru/ ]]> 1576859 Thu, 19 Jan 2012 19:45:04 MSK http://archives.maillist.ru/72284/1573659.html?rss=1

BugTraq.Ru

Обсуждение Архив выпусков Библиотека Форум

Каналы для WatzNew:
Новости сайта
Russian Security Newsline

#311, 13.01.2012

Windows-админам пора отвыкать от GUI
dl // 13.01.12 20:00
Не прошло и двадцати лет, как Microsoft решилась выпилить обязательный GUI из своей серверной системы: в готовящемся Windows Server 8 полная оболочка Server Graphical Shell будет отделена от Server Core, и ее включение предполагается опциональным. Кроме того, ожидается промежуточная оболочка, Minimal Server Interface, в которой не будет работы с Internet Explorer, десктопом, Windows Explorer, Metro-style приложениями (страшная потеря).

Администраторам и разработчикам рекомендовано ориентироваться на PowerShell и клиентские приложения.

Честно говоря, лет десять назад это было бы еще большим прорывом
Источник: Microsoft Server and Cloud Platform Blog

Непривязанный джейлбрейк для iOS 5.01
dl // 28.12.11 01:15
Команда iPhone Dev-Team выпустила redsn0w 0.9.10b1 - очередную версию своей популярной утилиты, которая реализует уже непривязанный джейлбрейк iOS 5.01 для всех устройств, кроме тех, что работают на процессоре A5 (т.е. iPad 2 и iPhone 4S). Предыдущие версии требовали подключения к компьютеру при каждой перезагрузке устройства.

Для уже успевших воспользоваться привязанным джейлбрейком из предыдущих версий redsn0w в Cydia добавлен пакет "Corona 5.0.1 Untether", превращающий тыкву привязанный джейлбрейк в непривязанный (хотя можно и просто накатить его поверх с помощью последнего redsn0w).

Ну а обнаруживший сделавшую это возможным уязвимость @pod2g пообещал переключиться на устройства с A5.
Источник: Dev-Team blog

BSOD в Windows 7 с помощью Safari
dl // 21.12.11 17:03
Изумительная новость. Открытие страницы с простым iframe запредельной высоты в Safari приводит к немедленному синему экрану смерти в 64-битной Windows 7. Проблема прослежена до win32k.sys.

Оставляя за скобками вопрос, кому из нормальных людей придет в голову пользоваться Safari под Windows, все же это как-то неспортивно, позволять пользовательскому приложению ронять всю систему. Конечно, проблема может быть вызвана каким-нибудь вспомогательным драйвером уровня ядра, который использует Safari, но все равно осадочек неприятный.

К слову, разок я словил синий экран в 64-битной семерке, просто кликнув в FF по вполне нормальной ссылке - но воспроизвести эффект так и не удалось, списал на неблагоприятное сочетание звезд.
Источник: The Register

Microsoft принудительно обновит IE6
dl // 16.12.11 00:27
Microsoft объявила о том, что начиная со следующего месяца начнет принудительное обновление IE6/IE7 до последней версии браузера, поддерживаемой пользовательской ОС: для XP это IE8, для Vista/Win7 - IE9. Обновление начнется с Австралии и Бразилии и постепенно доберется до остальных.

Принудительность относительная - пользователи, отключившие получение автоматических обновлений, не будут потревожены. Не будут обновлены и корпоративные системы, использующие WSUS - как известно, некоторые компании до сих пор используют решения, основанные на IE6.
Источник: Computerworldd

Дырка в Facebook раскрыла приватные фотографии
dl // 07.12.11 01:39
Опубликованная в понедельник пошаговая инструкция позволила всем желающим добраться до приватных пользовательских фотографий в Facebook. Любопытно, что под раздачу попал и сам основатель фейсбука Цукерберг. 13 утянутых с его аккаунта фотографий были опубликованы под заголовком "It's time to fix those security flaws Facebook...".
Источник: The Register

Ведущий рассылки:
Дмитрий Леонов, http://www.leonov.info/
http://bugtraq.ru/ ]]> 1573659 Fri, 13 Jan 2012 20:23:04 MSK http://archives.maillist.ru/72284/1547209.html?rss=1

BugTraq.Ru

Обсуждение Архив выпусков Библиотека Форум

Каналы для WatzNew:
Новости сайта
Russian Security Newsline

#310, 24.11.2011

Гугль решил защититься от будущих атак на свой https-трафик
dl // 24.11.11 01:19
Большинство текущих реализаций HTTPS предполагает существование единственного неизменного секретного ключа, известного только владельцам домена, который уже используется для шифрования сессионных ключей. Однако история показывает, что многие решения, обеспечивающие приемлемую безопасность при своем внедрении, через некоторое время обходились за счет роста производительности вычислительной техники.

Решив подстраховаться от будущих атак на свой https-трафик, в Гугле решили перейти на схему, предусматривающую постоянную замену не только сессионных, но и секретных ключей, которые теперь не будут сохраняться в постоянной памяти (и фактически даже администратор сервера через некоторое время не сможет расшифровать старый https-трафик).

Поскольку SSL не был разработан для такого сценария использования, гуглеинженерам пришлось разработать расширение популярной библиотеки OpenSSL, которое будет интегрировано в будущую версию 1.0.1. Пока сочетание выбранной схемы передачи ключей ECDHE RSA и алгоритма шифрования RC4 128 поддерживается лишь FireFox и Chrome.
Источник: InfoWorld

Исследователи из Microsoft и Корнелла считают, что нашли принципиальную уязвимость в Bitcoin
dl // 16.11.11 04:06
Уязвимость эта не из тех, что приводит к проблемам безопасности, но может отразиться на поведении всей этой системы распределенной валюты. По мнению авторов исследования, период, когда биткойны добывались практически из воздуха, благополучно завершился и основным способом заработка становится честная работа по верификации чужих транзакций. При этом у пользователей оказывается все меньше стимулов производить эту обработку в распределенном стиле, а не придерживать информацию для себя - зачем отдавать эту работу какой-нибудь китайской молотилке, когда можно не торопясь сделать ее у себя. Ну а поскольку отдельные пользователи проводят эту верификацию заведомо медленней, чем если бы они не жадничали, это начнет постепенно приводить к замедлению системы вплоть до малопригодности.

Исследователи предложили модифицированный способ вознаграждения, который будет стимулировать пользователей делиться транзакциями. Впрочем, один из разработчиков, работающих над Bitcoin, заявил, что исследование описывает очень интересную, но сугубо теоретическую проблему, с которой вряд ли придется иметь дело в ближайшем будущем.
Источник: Slashdot

FireFox 8
dl // 09.11.11 02:33
Очередная итерация FireFox, в былые времена, пожалуй, не потянувшая бы на смену даже первой цифры после точки. Включение в стартовый набор поиска по твиттеру; галочка, позволяющая отложить при запуске загрузку сайтов из сохраненных табов до того момента, когда они реально понадобятся; запрет по умолчанию расширений, устанавливаемых сторонним софтом (отдельный привет разным антивирусам, втыкающим свои расширения куда только можно).
Источник: The Mozilla Blog

Гуглеплюсное
dl // 08.11.11 18:07
Не прошло и полугода как Гугль запустил регистрацию страниц, не привязанных к личным аккаунтам, так что багтраковская трансляция в G+ переезжает на новый адрес: http://gplus.to/bugtrack.

Прочие доступные трансляции: Facebook, Twitter, ВКонтакте, LiveJournal, исходный RSS.
Источник: Google+

Анонимнородительское
dl // 31.10.11 13:06
Тут на днях мне сообщили (за что отдельное спасибо) прелюбопытнейший факт - оказывается, родительский контроль KIS 2012 стал блокировать bugtraq.ru, занеся его в категорию анонимных прокси.

Ситуация восхитительна по целому ряду причин. Во-первых, довольно забавно выглядит вообще вся эта категория, существование которой оправдывается в рекламе тем, что анонимные прокси часто используются для атак злобных хакеров. Лично мне совершенно непонятно, каким образом блокировка обращения к анонимному прокси в браузере способна повлиять на безопасность пользователя этого самого браузера - ну да ладно, с натяжкой можно согласиться,что эта мера может помочь в выявлении троянской активности, хотя и тогда место ей не в родительском контроле.

Но тут настает время во-вторых - ну вот нет тут у меня анонимного прокси, хоть ты режь. Специально просканировал популярные среди прокси порты (мало ли, вдруг успели заломать, воткнуть прокси, и об это узнал только KIS) - и ничего. Разумеется, верить мне на слово необязательно, так что не имею ничего против любой проверки. Плюс тут есть еще один милый момент - судя по присланному скриншоту, заблокирован оказался и раздающий RSS домен feeds.bugtraq.ru, который, так на минуточку, вообще расположен на гугле, поскольку является алиасом для feedburner'а.

В-третьих, конечно, было бы лукавством утверждать, что на bugtraq вообще нет ничего, относящегося к анонимным прокси. Как показывает поиск, у нас были и упоминавшие их статьи, и обсуждения на форуме. Но даже на форуме их обсуждение сводилось в основном к стону о том, что где ж сейчас найти рабочий прокси, да и в статьях дело не доходило даже для ссылок.

Таким образом, есть полное ощущение, что эти несколько упоминаний стали единственным основанием для попадания в фильтр. Что как бы намекает на качество подобной фильтрации.

Больше всего в этой схеме напрягает вахтерская недружественность по отношению к ресурсам. Разумеется, владелец сайта никак не извещается о занесении в черный список, не барское это дело. Более того, не имея KIS (а светлое будущее из маркетинговых мечтаний, в котором KIS установлена на каждую систему, по счастью, еще не наступило), в принципе невозможно узнать, фильтруется ли ресурс и по каким причинам, и как-то отреагировать (форма для проверки, диагностика, возможность отзыва - опять же не барское дело).

Не могу сказать, чтобы заметил хоть какое-то влияние этой фильтрации на посещаемость (то ли аудитории слабо пересекаются, то ли такая вот у нее популярность), но кто ж его знает, куда еще дотянутся шаловливые ручки старших братцев из родительского контроля. Так что у меня будет просьба к счастливым владельцам KIS, вдруг наткнувшимся на этот текст в рассылке либо где-то еще - если будет время, гляньте как-нибудь, живет ли еще эта фильтрация, и не сочтите за труд сбросить описание случившегося в форму техподдержки.

Ведущий рассылки:
Дмитрий Леонов, http://www.leonov.info/
http://bugtraq.ru/ ]]> 1547209 Thu, 24 Nov 2011 02:06:04 MSK http://archives.maillist.ru/72284/1531525.html?rss=1

BugTraq.Ru

Обсуждение Архив выпусков Библиотека Форум

Каналы для WatzNew:
Новости сайта
Russian Security Newsline

#309, 27.10.2011

Авира-суицидник
dl // 26.10.11 20:49
Популярный бесплатный антивирус Avira переплюнул достижения всяких там Microsoft с McAfee, последовав примеру судьи Уоргрейва и свершив истинное правосудие над собой.

После очередного обновления Авира стал (стала?) распознавать свой же компонент AESCRIPT.DLL как часть трояна TR/Spy.463227. Срочно выпущенное обновление 7.11.16.146 исправляет эту проблему.
Источник: The Register

DoS на SSL
dl // 26.10.11 17:15
Группа The Hackers Choice опубликовала инструмент, предназначенный для проведения атак на SSL-серверы. Судя по всему, используется классическая схема исчерпания ресурсов, при которой сервер бомбится незавершенными хэндшейками. Утверждается, что с учетом существенно большей трудоемкости установления SSL-соединения со стороны сервера простой ноутбук на DSL-соединении может положить сервер на 30-гигабитном линке.

Данная реализация атаки ориентирована на включенный SSL-Renegotiation, но заявляется, что его отключение не является панацеей, поскольку атака может быть модифицирована. Из чего делается вывод, что решения, устраняющего проблему при сохранении привычной функциональности пока фактически не существует.

С последним моментом лично мне не все понятно. Атаки, построенные по данной схеме, давно известны и могут быть реализованы практически для любого протокола с хэндшейком и подобным перекосом в затратах на коннект. Давно известны и способы борьбы - выставление более жестких таймаутов, аккуратная очистка "залипших" сессий, ограничение на количество коннектов с одного клиента.

Так что проблема - да, реальна. Неразрешима - сомневаюсь. Вот вылетит в ближайшие дни gmail с facebook'ом, тогда поверю :)
Источник: The Hackers Choice

Умер Джон Маккарти
dl // 25.10.11 11:31
Джон Маккарти, создавший первый язык функционального программирования LISP и предложивший само понятие "Artificial Intelligence", умер в возрасте 84 лет.

LISP и C - два краеугольных камня, на которых выстроено здание современного программирования, демонстрирующие при этом два диаметрально противоположных подхода к решению задач (это ведь тоже все отсюда: "программисты на Лиспе знают, насколько важно управление памятью, и поэтому не могут отдать его пользователю; программисты на С тоже знают, насколько важно управление памятью, и поэтому не могут оставить его системе"). Маккарти, автор первого, и Ритчи, автор второго, - многовато для одного месяца.
Источник: The Register

Вскрытие iPad магнитом, а iPhone - голосом
dl // 21.10.11 11:29
Забавно совпавшая пара новостей про обход запароленного экрана блокировки на iPhone 4S и iPad 2.

В первом случае блокировку удается обойти с помощью средства голосового управления Siri - оказывается, по умолчанию настройки позволяют использовать ее в довольно приличном объеме (разве что без запуска приложений) и на заблокированном устройстве. Лечится настройкой - хотя понятно, что это лишь обратная сторона удобства, иначе люди, использующие пароль на блокировке, просто потеряют все преимущества голосового управления.

Во втором случае обойти блокировку позволяет простое закрытие/открытие Smart Cover на экране выключения планшета (обход не полный, блокировка со Springboard практически безопасна, в отличие от блокировки из отдельных приложений). Разумеется, вместо Smart Cover подойдет любой магнит. Пока лечится лишь вырабатыванием привычки выходить из активной программы перед блокировкой.
Источник: cnet, iphones.ru

Взлом 180 тысяч ASP.Net сайтов через sql-инъекции
dl // 21.10.11 00:22
Согласно исследователям из Armorize, взломщикам удалось с помощью классической атаки класса SQL injection внедрить на 180 тысяч сайтов с ASP.Net код на JavaScript, подгружающий iframe с одного из двух внешних сайтов (один американский, другой русский). Ну а там уже пользователей с устаревшими браузерами либо непропатченными Adobe Reader, Adobe Flash или Java ждали с распростертыми объятиями. Любопытно, что атака проводилась лишь на пользователей со следующими дефолтовыми языками: English, French, German, Italian, Polish, Breton.
Источник: InfoWorld

Adobe опять придется чинить подсматривающие камеры на Маках
dl // 21.10.11 00:03
Три года назад Adobe подарила миру новый класс атак, получивший название clickjacking - положив swf-файл в iframe, атакующий сайт мог получить доступ к веб-камере и микрофону жертвы.

Тогда Adobe обошла проблему, добавив в панель управления Flash код, препятствующий ее размещению в iframe. И вот сейчас выяснилось, что на маковских Firefox и Safari небольшая игра с CSS позволяет обмануть пользователя, скрыв эту панель под чем-нибудь относительно невинным.

Adobe обещает исправить уязвимость в ближайшее время - поскольку код панели целиком и полностью загружается с ее серверов, пользователям даже не придется ничего обновлять.
Источник: The Register

Ведущий рассылки:
Дмитрий Леонов, http://www.leonov.info/
http://bugtraq.ru/ ]]> 1531525 Thu, 27 Oct 2011 02:04:04 MSD http://archives.maillist.ru/72284/1527165.html?rss=1

BugTraq.Ru

Обсуждение Архив выпусков Библиотека Форум

Каналы для WatzNew:
Новости сайта
Russian Security Newsline

#308, 19.10.2011

Mozilla передумала блокировать Java
dl // 19.10.11 09:35
После того как в сентябре выяснилось, что одним из основных сценариев применения атаки BEAST на SSL/TLS является использование Java-плагина, в Mozilla всерьез рассматривали вариант его полной блокировки.

Вчерашнее квартальное обновление Oracle, включившее 20 исправлений, относящихся к безопасности, несколько исправило ситуацию. Теперь в Mozilla лишь призывают пользователей как можно быстрее обновить Java и пока не планируют блокировку даже уязвимой версии, хотя и обещают мониторить возможные инциденты.
Источник: The Register

iCloud стал катастрофой для пользователей Outlook
dl // 15.10.11 13:45
Для многих пользователей, особенно корпоративных, Outlook де-факто стал стандартным органайзером. Даже Google не погнушался написать нормальный синхронизатор между своим и аутлуковским календарем, а синхронизацию с аутлуковскими задачами включает каждый уважающий себя GTD-сервис. Соответствующая возможность была анонсирована и в iCloud, ставшим важным компонентом инфраструктуры свежевышедшей пятой iOS.

Лично мне iCloud был интересен в первую очередь синхронизацией аутлуковских задач с iPad'ными Reminders - как ни странно, обновившийся iTunes не включал такой возможности, а все сторонние ToDo требовали установки своих синхронизаторов, от которых была надежда избавиться. Но то, что я увидел после установки iCloud, заставило меня немедленно его снести, а последующее чтение форумов и блогов - возрадоваться тому, что этот опыт обошелся мне столь малой кровью. Общий вывод для пользователей Outlook, дорожащих своим временем и данными: не пытайтесь скрестить его с iCloud. Для работы в чем-то, хоть отдаленно напоминающем корпоративное окружение, эта игрушка просто непригодна.

Рискнувших же ожидает следующее:

• после установки и связи с аутлуком вы получите там новую группу календарей iCloud, а в ней новый календарь; если повезет - один, если до этого успели синхронизировать с iCloud какой-нибудь свой iDevice - не меньше двух (были прецеденты и с шестью).
• вся информация из стандартного календаря будет перенесена в iCloud - т.е. вы немедленно лишитесь всей той функциональности, что доступна только для стандартных календарей.
• это же произойдет с контактами - полная очистка на старом месте и перенос в iCloud, причем с удалением категорий/групп (раз они не предусмотрены на iPhone, значит они не нужны никому).
• если вам не очень повезет, в случае паники и попытки отката есть ненулевая вероятность потери всей перенесенной информации.

Первая волна негодования по поводу столь дурацкого поведения ("да как они вообще посмели удалять мою информацию?") прокатилась еще с обновлением версии MobileMe. Тогда народ спасался откатом на старую версию, которая не выпендривалась и нормально синхронизировалась с дефолтовым календарем. Но, разумеется, при превращении MobileMe в iCloud взяли только новую версию.
Источник: Daggle, Apple Support Communities

Раздача пользовательских данных в смартфонах HTC
dl // 03.10.11 22:51
В последних обновлениях для своих андроидных смартфонов HTC сделала большой подарок своим пользователям, дав возможность практически любой программе добраться до весьма критичной информации.

Приложение HtcLoggers.apk помимо сбора всевозможной статистики о действиях пользователя охотно делится этой информацией с любой программой, обращающейся к ней по локальному порту. Для этого программе достаточно иметь доступ "android.permission.INTERNET", который охотно предоставляется пользователями любым сетевым приложениям.

Среди утекающей информации: список пользовательских аккаунтов, включая связанные с ними почтовые адреса; последние сетевые и GPS-координаты, а также их ограниченная предыстория; список телефонных номеров из лога звонков; вся информация по SMS; системные логи, включающие сведения по действиям приложений; значения системных переменных и т.п.

Разумеется, уязвимости подвержены лишь смартфоны со стоковым Sense, счастливые пользователи CyanogenMod, MIUI и т.п. могут спать спокойно.
Источник: Android Police

Майкрософтовский антивирус заблокировал Chrome
dl // 30.09.11 22:21
Пятничное обновление Microsoft Security Essentials и Microsoft Forefront пополнило коллекцию добрых ложных срабатываний антивирусов. Конечно, получилось не так здорово, как у McAfee, чей VirusScan вообще норовил приложить всю систему, но распознавание Chrome в качестве компонента трояна ZeuS - тоже неплохой подарок для слабонервных пользователей.
Источник: The Register

Взлом MySQL.com
dl // 27.09.11 09:34
В течение нескольких часов на mysql.com находился JavaScript-код, пытающийся опробовать на посетителях ряд известных атак - так что пользователи устаревших браузеров либо с непропатченной троицей Flash/Reader/Java с большой вероятностью что-нибудь там да подхватили.

По словам специалиста из Trend Micro Максима Гончарова, при взломе могли быть использованы логины/пароли, украденные во время мартовского взлома mysql.com. По его словам, на неком русском андеграундном форуме хакер с ником sourcec0de недавно пытался загнать рут-доступ на mysql.com аж за 3 тысячи долларов.
Источник: InfoWorld

Ведущий рассылки:
Дмитрий Леонов, http://www.leonov.info/
http://bugtraq.ru/ ]]> 1527165 Wed, 19 Oct 2011 10:04:04 MSD http://archives.maillist.ru/72284/1514714.html?rss=1

BugTraq.Ru

Обсуждение Архив выпусков Библиотека Форум

Каналы для WatzNew:
Новости сайта
Russian Security Newsline

#307, 26.09.2011

Взлом HTTPS: десятилетняя теоретическая уязвимость в SSL/TLS стала реальной
dl // 26.09.11 23:46
Представленная в минувшую пятницу атака BEAST (Browser Exploit Against SSL/TLS) сделала возможной использование уязвимости в TLS 1.0 и более ранних версий, которая была впервые обнародована в 2002 году, но долгое время считалась практически нереализуемой из-за нетривиального сочетания необходимых условий.

Переводя на человеческий язык, появилась реальная возможность перехвата https-соединений без возни с поддельными сертификатами - привет любителям почитать почту через халявные хотспоты.

Проблема в том, что TLS 1.1 и 1.2 поддерживаются далеко не всеми современными браузерами, а в тех, что поддерживаются, не включены по умолчанию. Пока в число счастливчиков попадают пользователи последних версий IE, Opera и Windows-версии Safari (причем и им потребуется явно включить поддержку TLS 1.1 и 1.2 в настройках). Пользователям Chrome, FireFox, Safari/Mac пока остается лишь ждать обновлений.
Источник: InfoWorld

5 bootrom-уязвимостей в iPad 2
dl // 17.09.11 16:56
Участник Chronic Dev-team p0sixninja рассказал о пяти обнаруженных bootrom-уязвимостях в чипе Apple A5, который используется в iPad 2 и с большой вероятностью будет стоять и в пятом айфоне. Уровень, на котором они обнаружены, означает невозможность их исправления простым обновлением прошивки. Что означает прямую дорогу к созданию неустраняемого непривязанного джейлбрейка как для iPad 2, так и для iPhone 5 - по крайней мере, до обновления аппаратной части.
Источник: Limera1n.cc

Поддельных голландcких сертификатов уже больше пяти сотен
dl // 06.09.11 17:41
По словам одного из разработчиков Mozilla, подтвержденный список сертификатов, выданных DigiNotar неведомо кому, вырос до 531 позиции. Среди затронутых доменов CIA, MI6, Mossad, Microsoft, Yahoo, Skype, Facebook, Twitter и служба Microsoft's Windows Update.

Особую пикантность ситуации придает то, что, оказывается, в самой DigiNotar о взломе узнали еще 19 июля, по-тихому отозвали несколько сотен сертификатов и решили на этом успокоиться в надежде, что никто об этом не узнает. А F-Secure подлила масла в огонь, рассказав, что обнаружила признаки взлома сети DigiNotar аж в 2009 году. Google и Mozilla уже заявили, что навсегда заблокировали все сертификаты DigiNotar, включая те, что были выданы голландскому правительству. По этому поводу Mozilla даже обновит старый FireFox 3.6.
Источник: InfoWorld

Линуксовый репозиторий Kernel.org был зарутован 17 дней
dl // 01.09.11 11:24
Linux Kernel Organization подтвердила, что ряд серверов, отвечающих за хранение и распространение Linux, был заражен софтом, занимающимся предоставлением root-доступа, модификацией системного ПО, протоколированием паролей и действий пользователей (затронуто было 448 пользователей kernel.org).

Атака случилась не позднее 12 августа и не была обнаружена в течение последующих 17 дней (!!!). Троян был обнаружен на машине одного разработчика ядра H Peter Anvin, далее на серверах kernel.org Hera и Odin1. Были модифицированы файлы, относящиеся к ssh (openssh, openssh-server и openssh-clients), загрузчик трояна добавлен в rc3.d.

Способ атаки пока неизвестен, предположительно использовался руткит Phalanx.

Пострадавшие верят (ну да, что им еще остается), что сам репозитарий и хранящийся в нем код не был затронут. Проверка, разумеется, сейчас проводится.
Источник: The Register

В скандале с сертификатами к Google присоединились Mozilla, Yahoo, Tor и WordPress
dl // 01.09.11 00:17
DigiNotar соизволила рассказать про некоторые другие сайты, вошедшие в те "несколько дюжин", для которых были выданы левые сертификаты.

Под раздачу попали (по крайней мере) addons.mozilla.org, Yahoo.com, Tor Project, WordPress и иранский Baladin. Сертификаты были выданы 10 июля, отозваны 29 августа, сколько их реально использовали - неизвестно. Как неизвестно, и какие еще сайты затронуты (пока лишь есть информация, что в вышедшем во вторник Chromium прошитый список заблокированных сертификатов увеличился на 247 позиций).
Источник: The Register

Ведущий рассылки:
Дмитрий Леонов, http://www.leonov.info/
http://bugtraq.ru/ ]]> 1514714 Tue, 27 Sep 2011 01:22:11 MSD http://archives.maillist.ru/72284/1500727.html?rss=1

BugTraq.Ru

Обсуждение Архив выпусков Библиотека Форум

Каналы для WatzNew:
Новости сайта
Russian Security Newsline

#306, 31.08.2011

История с левыми сертификатами затронет не только Google
dl // 31.08.11 11:59
История, конечно, замечательная. Голландский CA DigiNotar (прикупленный в июне Vasco Data Security International) в июле этого года выдал неизвестно кому новый SSL-сертификат для домена google.com. Всплыл он только в минувшее воскресенье, и, по словам Google, атакующая схема, включающая этот сертификат, была направлена против иранских пользователей. Google работает с совершенном другим CA, информация о котором прошита в Chrome, так что пользователи Chrome все равно получали соответствующуу предупреждение.

Кроме того, расследование показало, что тогда же атакующие получили сертификаты для еще "нескольких дюжен" сайтов - и им уже никакой Chrome не поможет.

В понедельник все левые сертификаты были отозваны, а Google, Mozilla и Microsoft дружно вычеркнули (или вот-вот вычеркнут) DigiNotar из списка корневых CA в своих браузерах. А это означает отдельный очень большой подарок для всех тех сайтов, кто имел неосторожность купить у DigiNotar свой сертификат. Vasco в своем заявлении говорит о том, что рассматриваются разные варианты - от перевыпуска этих сертификатов у других CA до убеждения производителей браузеров вернуть к ним доверие (три ха-ха).
Источник: InfoWorld

Не очень опасный червь распространяется через RDP
dl // 28.08.11 23:22
Новый червь Morto использует RDP-соединение для своего распространения. При обнаружении доступного RDP-сервера он пытается подобрать пароли по словарю, что вместе со сканированием сети генерирует большое количество RDP-трафика (порт 3389).

Поскольку червь не использует какие-то особые уязвимости, владельцы систем с нормальными паролями могут спать спокойно. Внимания он заслуживает разве что из-за своего относительно нового механизма распространения.
Источник: Slashdot

Серьезная ошибка в LDAP-аутентификации в Mac OS X Lion
dl // 26.08.11 23:35
Apple сделала большущий подарок корпоративным пользователям своей последней OS, использующим LDAP-аутентификацию - Lion позволяет получать доступ к ресурсам с использованием любого пароля. Пока не вполне понятен механизм (сама Apple еще не признала проблему) - похоже, что это происходит лишь при апгрейде на Lion с предыдущей версии системы.

Ошибка не была исправлена и в свежевышедшей версии 10.7.1 (хотя первая информация о ней появилась еще месяц назад), так что пока Lion представляет собой одну большую дыру в случае использования в сетях с LDAP-аутентификацией и наглядно демонстрирует, что Apple, мягко говоря, весьма поверхностно тестирует использование своей OS в корпоративном окружении.
Источник: The Register

20 лет первому посту о Linux
dl // 25.08.11 20:57
25 августа 1991 года в 20:57:08 GMT некий студент из Хельсинки с адресом torvalds@kruuna.helsinki.fi отправил в конференцию comp.os.minix сообщение под заголовком "What would you like to see most in minix?", в котором рассказал, что пишет бесплатную операционную систему, свободную от кода minix (чисто хобби, не будет такой большой и профессиональной, как gnu), в которой уже вроде работают bash 1.08 и gcc 1.40, но нет переносимости, и вряд ли когда-нибудь она будет работать с чем-то помимо ATшных винчестеров.

P.S. Похоже, что оригинал этого сообщения исчерпал сегодня квоту трафика для linux.org.
Источник: Slashdot

Создатели Apache срочно бросились исправлять ошибку четырехлетней давности
dl // 25.08.11 00:06
В ближайшее время ожидается исправление, закрывающее ошибку в Apache, связанную с обработкой множества последовательных GET-запросов с перекрывающимися значениями заголовка Range. В сочетании с gzip-сжатием на лету это быстро забивает всю память на атакуемой машине.

Любопытно, что еще в январе 2007 года на неудачную реализацию обработки Range в Apache и IIS обращал внимание польский исследователь Михал Залевский (Michal Zalewski), хотя тогда у него и не дошло дело до реального ее использования.

До выхода исправления владельцам серверов предлагается на выбор несколько временных решений от запрета обработки Range до запрета сжатия на лету.
Источник: The Register

Ведущий рассылки:
Дмитрий Леонов, http://www.leonov.info/
http://bugtraq.ru/ ]]> 1500727 Wed, 31 Aug 2011 13:26:05 MSD