Geum.ru

Тематический бюллетень

Вид материалаБюллетень
Apple не собирается исправлять баг в Safari
Ошибка в одном из компонентов Debian ставит под угрозу криптографические ключи
По сети "ВКонтакте.ру" началось распространение деструктивного червя
Подобный материал:
1   ...   10   11   12   13   14   15   16   17   ...   22

Apple не собирается исправлять баг в Safari


Александр Рыбаков

Компания Apple отказалась устранять ошибку в браузере Safari, сообщает The Register. Специалист по информационной безопасности Нитеш Дханьяни (Nitesh Dhanjani) обнаружил, что Safari не предупреждает пользователя, если какой-либо компонент сайта (например, Iframe) собирается загрузить файл на компьютер.

Дханьяни сообщил об этом разработчикам браузера, но те посчитали, что это не является проблемой безопасности, так что предупреждения о загрузке дополнительных файлов с сайта появится когда-нибудь при плановом обновлении Safari.

Автор Zero Day Blog пишет, что с помощью этой уязвимости (известной как carpet bombing) можно легко загрузить через Safari на рабочий стол пользователя Windows ложный значок "Мой компьютер", открыв который, пользователь попадет на сайт злоумышленников или просто запустит вредоносную программу.

В Mac OS X файлы по умолчанию принимаются в папку загрузки, а не на рабочий стол, но приятного в этом все равно мало.

Кроме carpet bombing, Нитеш Дханьяни нашел еще одну уязвимость в Safari, которая действует обратным образом – сайт получает возможность кражи файлов с жесткого диска. Эту ошибку разработчики Apple признали и обещают выпустить патч в ближайшее время.

Напомним, эти две уязвимости – далеко не первые в "самом лучшем" браузере Apple.

Недавно даже платежная система PayPal предупредила пользователей о нежелательности использования Safari для осуществления транзакций, так как в этой программе, по мнению PayPal, недостаточно хорошо реализована защита от фишинга.

www.webplanet.ru


16.05.08 16:51

Ошибка в одном из компонентов Debian ставит под угрозу криптографические ключи


Владимир Парамонов

Известный специалист по вопросам компьютерной безопасности HD Moore предупреждает о наличии серьезной ошибки в одном из компонентов операционных систем Debian и Ubuntu, которая теоретически позволяет угадывать криптографические ключи.

Согласно опубликованной информации, проблема связана с пакетом OpenSSL. Данный пакет представляет собой открытую реализацию алгоритма шифрования Secure Sockets Layer (SSL), который применяется практически во всех веб-браузерах для защиты данных, передаваемых через Сеть.

Как удалось выяснить специалисту HD Moore, в 2006 году при проведении чистки кода с целью удаления участка, отвечающего за вывод некоторых предупреждений, была нарушена система генерации псевдослучайных чисел.

В результате в процессе формирования криптографических ключей стали использоваться не случайные данные, а уникальные идентификаторы процессов, количество которых в Linux по умолчанию ограничено 32768.

Таким образом, по заявлениям HD Moore, имеется возможность для относительно быстрого подбора ключей. Эксперт, в частности, смог сгенерировать 1024- и 2048-битные ключи в течение всего двух часов. Подбор более сложных ключей занимает гораздо больше времени: например, на генерацию 8192-битного ключа RSA потребуется более 3000 часов машинного времени.

И, тем не менее, любые криптографические ключи, полученные на системах с Debian и Ubuntu, использующих OpenSSL версии 0.9.8c-1, не могут считаться надежными.

На сайте проекта Debian уже выложены исправленная версия пакета OpenSSL, а также утилита, при помощи которой можно проверить стойкость криптографических ключей.

Системным администраторам, на чьих платформах применяется версия OpenSSL 0.9.8c-1, рекомендуется после обновления пакета сгенерировать новые криптографические ключи.

www.compulenta.ru


16.05.08 23:32

По сети "ВКонтакте.ру" началось распространение деструктивного червя


Юрий Ильин

Служба вирусного мониторинга компании "Доктор Веб" сообщает о распространении опасного червя среди подписчиков популярной социальной сети "ВКонтакте.Ру". Червь определяется антивирусом Dr.Web как Win32.HLLW.AntiDurov

Вирус рассылает с инфицированных машин другим пользователям сети "ВКонтакте.Ру" ссылку на картинку в формате .jpg, ведущую на ресурс злоумышленника в сети Интернет (secure.com/deti.jpg). Реально же сервер отдает по этой ссылке исполняемый файл deti.scr, который и является файлом червя.

Будучи запущенным на компьютере жертвы, червь сохраняет на диске саму картинку, которая и вызвала любопытство неосторожного пользователя, и запускает штатное приложение, используемое в системе для просмотра файлов jpeg. Таким образом, пользователь видит то, что ожидал увидеть, не подозревая, что стал жертвой злоумышленника. А между тем на его компьютере происходят весьма неприятные события.

Скопировав себя в папку C:\Documents and Settings\*UserDir*\Application Data\Vkontakte\ под именем svc.exe, червь устанавливается в системе в качестве сервиса Durov VKontakte Service и ищет пароль к доступу к "Вконтакте.Ру" в cookies, используемых броузером. Если пароль находится, то червь получает доступ ко всем контактам своей жертвы в данной сети и рассылает по этим контактам все ту же ссылку.

Червь несет в себе опасную деструктивную функцию. 25 числа каждого месяца в 10 часов утра на экране компьютера будет выводиться следующее сообщение (орфография сохранена):

Павел Дуров Работая с "ВКонтакте.РУ" Вы ни разу не повышали свой рейтинг и поэтому мы не получили от Вас прибыли. За это Ваш компьютер будет уничтожен! Если обратитесь в милицию, то сильно пожалеете об этом!

Одновременно с этим начнется удаление с диска C: всех файлов, спастись от которого можно только моментально выключив компьютер.

Как сообщается в пресс-релизе компании, специалисты компании "Доктор Веб" предупредили об опасности сайт "ВКонтакте.Ру", и распространение червя практически прекратилось.

www.compulenta.ru


19.05.08 00:00