Блоги
-
Информационные технологии→ Блоги об информационных технологиях→ [Из песочницы] Уязвимость в Telegram позволяет скомпрометировать секретные чаты ico-starПосвящается к юбилею Telegram
В секретных чатах Telegram используется «сквозное шифрование», и что? End to end encryption Telegram слабо защищает переписку пользователей. Простой пример: злоумышленник достал приватный ключ gpg Алисы, естественно, чтобы расшифровать сообщение, зашифрованное для Ал…
( Читать дальше ) -
Информационные технологии→ Новости информационных технологий→ За нахождение уязвимости в Adobe Flash Player объявлена награда в $100000 ico-star
Adobe added isolated heap to Flash. This month we pay $100K (with sandbox) and $65K (without sandbox) per #exploit bypassing this mitigation
— Zerodium (@Zerodium) 5 января 2016
Компания Zerodium объявила приз в $100000 тому, кто найдёт уязвимость нулевого дня в новой версии Adobe Flash Player. В последней версии проигрывателя, вышедшей в декабре, была введена защита через изолирование кучи. Этот метод должен усилить безопасность программы.
В декабре Adobe объявила о выходе новой версии Flash Player, в которой был полностью переписан менеджер памяти. Изоляция данных процессов в памяти затрудняет попытки взлома плеера. Идеи и часть кода для этого были внесены специалистами по безопасности, работающими в проекте Google под названием Project Zero.
Проигрыватель flash-анимации от компании Adobe славится дурной репутацией как одна из наименее безопасных программ. В 2015 году по количеству уязвимостей она уступила только операционкам от Apple OS X и iOS. Некогда очень популярное и фактически единственное средство для использования интерактивной веб-анимации, теперь flash-проигрыватель сдаёт свои позиции более современным средствам – например, новому стандарту HTML5.
Компания Zerodium периодически покупает у различных специалистов по безопасности сведения об уязвимостях в программных продуктах и перепродаёт их правительственным агентствам.
( Читать дальше ) -
Информационные технологии→ Новости информационных технологий→ Zimperium – семь способов взломать миллиард андроидов ico-star
Специалисты американо-израильской фирмы Zimperium обнаружили уязвимости в библиотеке мультимедиа-движка Stagefright, которые затрагивают около миллиарда устройств под управлением ОС Android. Все их можно удалённо взломать, если передать злонамеренно изменённый мультимедийный контент. Атакующий способен внедрить его в документы или веб-страницы, но самый опасный сценарий вообще не зависит от действий пользователя.
Открытый исходный код не даёт гарантий безопасности сам по себе. Это лишь техническая возможность проверить его при желании, но мотивация здесь обратно пропорциональна объёму. Исходный код проекта Android Open Source (AOSP) занимает десятки гигабайт. Даже при наличии профессионального интереса эксперты успевают проанализировать менее одного процента до того, как версия станет устаревшей. Поэтому глубокий анализ выполняется только для ключевых компонентов. Обычно это встроенные сервисы, криптографические средства, браузер и файловый менеджер. Однако порой серьёзные уязвимости находятся совсем в другом месте.
( Читать дальше )-
Ключевые слова:
- Левая колонка на главной,
- Технологии,
- Android,
- взлом,
- уязвимость нулевого дня,
- информационные технологии,
- Nexus 6,
Информационные технологии→ Блоги об информационных технологиях→ Security Meetup в офисе Mail.Ru Group — как это было ico-star
Всем привет! Меня зовут Ира, я выпускающий редактор в журнале Хакер. В начале декабря я побывала на Security Meetup в офисе Mail.Ru Group и…
( Читать дальше ) Информационные технологии→ Блоги об информационных технологиях→ [Из песочницы] Исходный код эксплойта для «неустранимой» уязвимости в USB-устройствах опубликован на GitHub ico-starДумаю, пару месяцев назад многие слышали из новостей про уязвимость в USB-контроллерах, которая может превратить любое периферийное устройство, подключаемое по usb, в инструмент кибершпионажа. В англоязычной компьютерной прессе эта
( Читать дальше )-
Ключевые слова:
- Накопители,
- Информационная безопасность,
- BadUSB,
- USB,
- 0day,
- exploit,
- уязвимость нулевого дня,
- эксплойт,
- информационные технологии,
- блог,
- GitHub
Информационные технологии→ Блоги об информационных технологиях→ 17-летний подросток опубликовал 0day XSS в PayPal после того, как ему отказали в вознаграждении ico-starRobert Kugler, 17-летний студент из Германии, который интересуется компьютерной безопасностью, нашел уязвимость на сайте paypal.com, и решил сообщить о ней в рамках программы по награждению за найденные баги. Однако, ему было отказано, т.к. он не достиг 18 лет. В ответ на это, он опубликовал уязвимость на seclists.org.
( Читать дальше )-
Ключевые слова:
- Информационная безопасность,
- paypal,
- уязвимость,
- уязвимость нулевого дня,
- информационные технологии,
- блог,
- PayPal
Информационные технологии→ Блоги об информационных технологиях→ Новая уязвимость нулевого дня в браузерных апплетах Java ico-star
Сегодня в сети появилась абсолютно новая уязвимость нулевого дня в Java, которая уже активно используется. Уязвимость html">была обнаружена фирмой FireEye посредством их технологии Malware Protection Cloud (MPC).
В отличие от других распространенных уязвимостей Java, где менеджер безопасности обходится простым путем, здесь используется произвольная запись и чтение памяти процесса виртуальной машины. После срабатывания уязвимости экслойт ищет адрес памяти, в котором содержится информация о внутренней структуре виртуальной машины, в том числе о статусе менеджера безопасности, а после перезаписывает в эту часть памяти ноль. Затем происходит загрузка Win32/McRat (Trojan-Dropper.Win32.Agent.bkvs) в виде файла svchost.jpg с того же сервера, где и находился вредоносный JAR, и его запуск. Пример HTTP GET-запроса от McRat в браузере с успешно выполнившейся уязвимостью приведен выше.
( Читать дальше )
