The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

17.08.2018 Компания Mozilla заблокировала 23 дополнения, отсылающих данные о посещениях (66 +27)
  После инцидента с отправкой дополнением "Web Security" информации об открываемых пользователем страницах, инженеры Mozilla провели расследование и выявили ещё три дополнения (Browser Security, Browser Privacy и Browser Safety), которые также были заявлены как обеспечивающие дополнительную защиту конфиденциальных данных пользователя, а на деле отправляли на внешний сервер информацию о всех открываемых пользователем страницах (во всех случаях данные отправлялись на хост 136.243.163.73)...
16.08.2018 В Firefox-дополнении Web Security выявлена отправка информации о посещениях (116 +33)
  В Firefox-дополнении Web Security, насчитывающем более 220 тысяч установок и входившем в список рекомендованных Mozilla дополнений для охраны частной жизни пользователя (после инцидента дополнение уже удалено из этого списка), выявлена недокументированная сетевая активность, в результате которой на сторонний сервер отправлялись данные о всех страницах, открываемых пользователем...
16.08.2018 Уязвимость в OpenSSH, позволяющая определить наличие пользователей (57 +17)
  В OpenSSH выявлена проблема с безопасностью, позволяющая удалённому атакующему определить существует ли пользователь с данным именем в системе...
15.08.2018 Выявлен ещё один метод удалённой DoS-атаки на ядро Linux и FreeBSD (28 +22)
  Следом за выявленной на прошлой неделе DoS-уязвимости SegmentSmack в TCP-стеках различных операционных систем, опубликована информация о другой похожей уязвимости (CVE-2018-5391, кодовое имя FragmentSmack), которая также позволяет организовать отказ в обслуживании через отправку специально оформленного набора сетевых пакетов, при обработке которого будут заняты все реcурсы CPU. Если первая уязвимость была связана с неэффективностью алгоритма обработки TCP-сегментов, то новая проблема затрагивает алгоритм пересборки фрагментированных IP-пакетов...
14.08.2018 L1TF - три новые уязвимости в механизме спекулятивного выполнения CPU Intel (146 +24)
  Компания Intel раскрыла сведения о группе уязвимостей в механизме спекулятивного выполнения CPU, представленных под кодовым именем Foreshadow или L1 Terminal Fault (L1TF)...
14.08.2018 47 уязвимостей в Android-прошивках и новый вид атак Man-in-the-Disk (113 +28)
  Компания Kryptowire представила на конференции DEF CON результаты своего исследования прошивок различных Android-смартфонов, в результате которого было выявлено 47 уязвимостей, затрагивающих 27 различных моделей смартфонов от Alcatel, ASUS, LG, ZTE, Sony, Nokia, Orbic, Oppo, MXQ и ряда других производителей...
14.08.2018 Обновление Samba 4.8.4, 4.7.9 и 4.6.16 с устранением уязвимостей (21 +4)
  Подготовлены корректирующие выпуски пакета Samba 4.8.4, 4.7.9 и 4.6.16, в которых устранено несколько уязвимостей:...
12.08.2018 Новая техника атаки на беспроводные сети с WPA2 (62 +16)
  Йенс Штойбе (Jens "atom" Steube), создатель программы для подбора паролей hashcat, представил новую технику атаки на беспроводные сети с аутентификацией на базе механизмов WPA или WPA2. Предложенный метод существенно упрощает получение идентификатора, который затем может быть использован для подбора пароля подключения к беспроводной сети...
11.08.2018 Заявлено об обнаружении бэкдора в процессорах VIA C3 (104 +53)
  Кристофер Домас (Christopher Domas) представил на конференции Black Hat 2018 отчёт с анализом возможных бэкдоров в ноутбуках, ПК и встраиваемых моделях процессоров на базе архитектуры x86. В том числе продемонстрирован рабочий эксплоит, активирующий аппаратный бэкдор в процессорах VIA, позволяющий из третьего кольца защиты выполнить код с привилегиями нулевого кольца через выполнение определённой последовательности машинных инструкций. Бэкдор присутствует только в линейке процессоров VIA C3, в более новых моделях проблема не проявляется...
07.08.2018 В TCP-стеке Linux и FreeBSD выявлена уязвимость, приводящая к отказу в обслуживании (51 +32)
  В TCP-стеке ядра Linux выявлена опасная уязвимость (CVE-2018-5390), которая позволяет удалённо вызвать отказ в обслуживании из-за исчерпания доступных ресурсов CPU. Для совершения атаки достаточно отправить поток специальным образом оформленных пакетов на любой открытый TCP-порт. Атака может быть совершена только с реального IP-адреса (спуфинг невозможен так как требуется установка TCP-соединения)...
05.08.2018 Критика шифрования ключей в OpenSSH (69 +23)
  Недавняя подстановка вредоносного ПО в популярный NPM-модуль eslint, привела к отправке злоумышленникам SSH-ключей доступа, хранящихся в домашней директории нескольких тысяч разработчиков. Многие разработчики не придали этому должного внимания из-за того, что их ключи были зашифрованы с использованием пароля. Тем не менее по умолчанию в SSH для закрытых RSA-ключей применяется устаревший и ненадёжный метод шифрования, использующий блочный шифр AES с ключом в виде MD5-хэша от заданного пользователем пароля (с солью). Функция bcrypt_pbkdf, обеспечивающая должную защиту от подбора, применяется только для ключей на базе эллиптических кривых (Ed25519)...
02.08.2018 Компрометация учётных записей сотрудников Reddit привела к утечке БД (25 +13)
  Дискуссионная площадка Reddit уведомила пользователей об инциденте, в результате которого в руки злоумышленников попала архивная база данных с хэшами паролей (с солью), адресами электронной почты и личными сообщениями пользователей сервиса...
28.07.2018 В 5 браузерных дополнениях и 6 мобильных приложениях обнаружен шпионящий код (98 +21)
  Разработчики блокировщика рекламы AdGuard сообщили о выявлении серии дополнений к Chrome и Firefox, а также мобильных приложений для Android и iOS, в которых скрыто осуществляется отправка сведений персонального характера и информации о посещаемых пользователем ресурсах. Все проблемные дополнения так или иначе связаны с компанией Big Star Labs и имеют аудиторию около 11 млн пользователей...
27.07.2018 Техника восстановления ключей шифрования через анализ шумов в сигнале от беспроводных чипов (29 +22)
  Группа исследователей из центра EURECOM разработала технику атаки (PDF) на комбинированные аналогово-цифровые чипы (mixed-signal) с компонентами для обеспечения беспроводной связи (WiFi, Bluetooth). Исследователям удалось разработать метод атаки по сторонним каналам, который позволяет воссоздать ключ шифрования на основе анализа шумов, вызванных наводками в процессе вычислений. Все компоненты, необходимые для проведения атаки, опубликованы на GitHub под лицензией GNU GPLv3...
27.07.2018 Атака NetSpectre, приводящая к утечке содержимого памяти по сети (36 +17)
  Группа исследователей из Грацского технического университета (Австрия), ранее известная разработкой...
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor