Рейтинг@Mail.ru

Новости безопасности

Программы, описания, советы и т.п.

Модератор: Frank

Re: Новости безопасности

Сообщение Frank » 10 апр 2010, 13:10

В фреймворке Java Web Start найдена серьезная уязвимость, позволяющая злоумышленнику получить контроль над системой при открытии в любом web-браузере с включенной поддержкой Java специально оформленной страницы. Проблема вызвана некорректной проверкой параметров, передаваемых JavaWS через командную строку, при этом эти параметры можно изменить через HTML-тег "object".

По заявлению обнаруживших проблему исследователей, уязвимость присутствует в коде Java уже много лет. В настоящий момент наличие проблемы подтверждено только в Windows, скорее всего другие платформы не подвержены данной уязвимости. Исправления пока не выпущены, проблема отнесена к категории 0day-уязвимостей.
Изображение
Аватара пользователя
Frank
Гуру
Гуру
 
Сообщения: 4499
Зарегистрирован: 11 фев 2007, 22:20
Откуда: с Глинки
Пол: Мужской
Провайдер: Амрон

Re: Новости безопасности

Сообщение Толстый » 13 май 2010, 15:55

Найден способ обмана любых антивирусов

По словам исследователей Якуба Бржечки и Давида Матоушека из команды веб-ресурса Matousek.com, им удалось создать способ обхода защиты, встроенной в большинство популярных настольных антивирусных продуктов.

Уязвимы продукты «Лаборатории Касперского», Dr.Web, Avast!, Sophos, ESET, McAffee, Symantec, Panda и т.д.

Методика такова: на вход антивируса посылается безвредный код, проходящий все защитные барьеры, но, прежде чем он начнет исполняться, производится его подмена на вредоносную составляющую.

Понятно, замена должна произойти строго в нужный момент, однако на практике всё упрощается благодаря тому, что современные системы располагают многоядерным окружением, когда один поток не в состоянии отследить действия параллельных потоков. В итоге может быть обманут буквально любой Windows-антивирус.

Руткит функционирует в том случае, если антивирусное ПО использует таблицу дескрипторов системных служб (System Service Descriptor Table, SSDT) для внесения изменений в участки ядра операционной системы.

Поскольку все современные защитные средства оперируют на уровне ядра, атака работает на 100%, причем даже в том случае, если Windows запущена под учётной записью с ограниченными полномочиями.

Вместе с тем руткит требует загрузки большого объёма кода на атакуемую машину, поэтому он неприменим, когда требуется сохранить скорость и незаметность атаки. Кроме того, злоумышленник должен располагать возможностью выполнения двоичного файла на целевом компьютере.

Методика может быть скомбинирована с традиционной атакой на уязвимую версию Acrobat Reader или Sun Java Virtual Machine, не пробуждая подозрений у антивируса в истинности намерений. Ну а затем хакер волен и вовсе уничтожить все защитные барьеры, полностью удалив из системы мешающий антивирус.


http://prezentation.ru/news/news_11_05_10_3.html
Пока я жив и сердце моё бъётся, я ...й ложил на тех, кто надо мной смеётся!
Аватара пользователя
Толстый
это имя знают все
это имя знают все
 
Сообщения: 1068
Зарегистрирован: 05 янв 2010, 00:01
Откуда: СССР
Пол: Мужской
Провайдер: Дикий Сад

Re: Новости безопасности

Сообщение Frank » 13 май 2010, 23:23

Честно говоря, какая-то непонятная хрень. Либо утка, либо ооочень кривой перевод новости. Дело в том, что что-то кто-то изменил код в памяти, этот кто-то должен быть уже запущен, т.е. уже пройти проверку антивирусом. Это похоже на барона Мюнхаузена: некий код сам себя (или другого, это не важно) патчит в памяти, не будучи ещё запущенным...
Изображение
Аватара пользователя
Frank
Гуру
Гуру
 
Сообщения: 4499
Зарегистрирован: 11 фев 2007, 22:20
Откуда: с Глинки
Пол: Мужской
Провайдер: Амрон

Re: Новости безопасности

Сообщение Frank » 06 июн 2010, 18:12

Компания Adobe опубликовала предупреждение, указывающее на наличие в программах Adobe Reader и Flash Player неисправленной опасной уязвимости (zero-day) для которой уже зафиксированы факты успешной эксплуатации при открытии пользователем специальным образом оформленных PDF и SWF файлов. Уязвимость проявляется в Adobe Reader 9.x и Adobe Flash Player 10.0.45.2 для платформ Windows, MacOS X, Linux и Solaris, а также в более ранних версиях Flash Player. Обновление пока недоступно, но сообщается, что проблеме не подвержен последний тестовый выпуск Flash Player 10.1 и старые версии Adobe Reader 8.x (помогает также удаление библиотеки authplay).
Изображение
Аватара пользователя
Frank
Гуру
Гуру
 
Сообщения: 4499
Зарегистрирован: 11 фев 2007, 22:20
Откуда: с Глинки
Пол: Мужской
Провайдер: Амрон

Re: Новости безопасности

Сообщение Frank » 14 июн 2010, 14:21

распространенном на днях через сервис Windows Update обновлении в Firefox было скрытно установлено дополнение с реализацией поисковой панели Bing Bar, навязывающей использование сервисов Microsoft и поисковой системы Bing. Кроме Firefox дополнение также было принудительно установлено и в Internet Explorer. По своей сути Bing Bar является заменой двух панелей инструментов - Windows Live Toolbar и MSN toolbar.

Особое недоумение пользователей вызвал тот факт, что обновление было помечено как важное (у многих пользователей будет установлено автоматически), а не опциональное, при этом дополнение к Firefox было установлено без предупреждения и упоминания данного факта в описании к обновлению. Более того, обычными средствами менеджера дополнений Bing Bar невозможно удалить из Firefox, помогает только правка реестра или ручное удаление директории "firefoxextension" и файла "SEPsearchhelperie.dll" в каталоге "C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\".

Компания Microsoft признала недоработку, допущенную при организации обновления плагинов Windows Live Toolbar и MSN toolbar, при которой в Firefox без спроса устанавливалось неудаляемое дополнение Search Helper Extension, и выпустила корректирующее обновление с исправлением данной проблемы. Отныне обновление будет установлено только в браузер, в случае если оно было добавлено туда пользователем ранее. Представители Microsoft пояснили, что установка непрошеного дополнения в Firefox не была организована преднамеренно, а явилась следствием недосмотра при формировании обновления для нового системного компонента.

Так мы им и поверили :)
Изображение
Аватара пользователя
Frank
Гуру
Гуру
 
Сообщения: 4499
Зарегистрирован: 11 фев 2007, 22:20
Откуда: с Глинки
Пол: Мужской
Провайдер: Амрон

Re: Новости безопасности

Сообщение Frank » 16 июн 2010, 11:30

http://www.dnef.ru/post128233414/
Хостинг-провайдер «NetAngels» сообщает об обнаружении факта массовой кражи доменных имен RU, начавшейся 3 июня. Как сообщается, все домены были украдены по одной и той же схеме:

1. У домена в контактной информации указан e-mail на mail.ru или bk.ru.

2. Данные контактные e-mail никем не использовались и Mail.ru их освободил (сделал доступным для повторной регистрации). Надо отметить, что этот факт, видимо, известен далеко не всем пользователям почтовой службы Mail.Ru, но в пользовательском соглашении прямо указано, что Mail.Ru оставляет за собой право прекратить обслуживание учетной записи пользователя, которая не использовалась в течение периода составляющего более трех месяцев. Другими словами, в случае неиспользования почтового ящика более трех месяцев, ваш ящик могут удалить и любой желающий сможет зарегистрировать его заново, что и произошло в данном случае.

3. Все данные e-mail были по-новой зарегистрированы злоумышленниками. Информация по этим e-mail была взята из открытых источников (сервис whois).

4. По всем данным доменам был запрошен пароль через форму восстановления пароля у регистратора RU-CENTER.

5. У всех доменов dns-серверы были сменены на ns1.domain.ru и ns2.domain.ru, где domain.ru - имя домена, у которого менялся dns.

6. Все новые ns- и a-записи указывают на ip-адреса из одной и той же сети: 62.122.75.0/24, где подняты прокси-серверы. При обращении к соответствующим сайтам запросы переадресуются (проксируются) на реальные серверы хостинга. Таким образом, факт воровства пока визуально практически не заметен, однако фактически злоумышленники контролируют весь трафик с соответствующих сайтов и в любой момент могут заменить любую выдаваемую сайтом информацию на свою собственную.
Изображение
Аватара пользователя
Frank
Гуру
Гуру
 
Сообщения: 4499
Зарегистрирован: 11 фев 2007, 22:20
Откуда: с Глинки
Пол: Мужской
Провайдер: Амрон

Re: Новости безопасности

Сообщение Frank » 21 июн 2010, 11:13

В беспроводных маршрутизаторах Linksys WAP54Gv3 обнаружена недокументированная удаленно доступная отладочная функция, позволяющая при обращении к страницам "Debug_command_page.asp" и "debug.cgi", введя фиксированный логин/пароль Gemtek/gemtekswd, получить полный контроль над устройством. Проблема проявляется только в прошивке, собранной для стран EMEA (Европа, Ближний Восток и Африка).
Изображение
Аватара пользователя
Frank
Гуру
Гуру
 
Сообщения: 4499
Зарегистрирован: 11 фев 2007, 22:20
Откуда: с Глинки
Пол: Мужской
Провайдер: Амрон

Re: Новости безопасности

Сообщение Frank » 22 июн 2010, 22:07

В рамках прошедшей в конце минувшей недели в Нью-Йорке хакерской конференции SummerCon, специалист по компьютерной безопасности Джон Оберхайд (Jon Oberheide) показал, как легко распространить программное обеспечение для создания ботнета на множество телефонов, базирующихся на платформе Google Android.

Одна из ключевых идей, которые демонстрирует Оберхайд, состоит в порочности концепции абсолютного доверия к приложениям, полученным через Android App Market. В качестве примера он выложил там безобидное на вид приложение, которое, однако, периодически обращается на специальные сервера, запрашивая обновления своего кода. При наличии таких обновлений, они автоматически скачиваются и запускаются. Таким образом, представленная программа (автор называет ее «RootStrap») является полноценным «троянским конем».

Чтобы эту программу скачало сравнительно большое количество пользователей, Оберхайд воспользовался шумихой вокруг готовящегося к выходу фильма «Сумерки. Затмение», замаскировав свою программу под рекламную демонстрацию отдельных кадров будущего фильма. Идея вполне оправдала себя, и за первые сутки после публикации троянца скачало более 200 человек. По словам Оберхайда, «если бы приманка была немного поинтереснее, область поражения могла бы быть значительно шире».

Также Оберхайд отмечает, что для полного захвата контроля над телефоном подобные программы могут воспользоваться уязвимостями в ядре Linux, являющемся основой Android OS. Ядро Linux представляет собой масштабный проект, находящийся в состоянии активной разработки, в которой принимает участие огромное количество людей, и неизбежной расплатой за это является частое обнаружение уязвимостей. В основной ветке ядра они закрываются довольно быстро, однако Google не очень оперативно портирует эти заплатки в Android, поэтому злонамеренное ПО, использующее подобные уязвимости, имеет очень неплохие шансы на успех. «Выиграть эту гонку не составит никакого труда», говорит Оберхайд.

Разумеется, исследователь не собирается использовать продемонстрированные уязвимости в противозаконных целях, и проделал эту работу лишь в стремлении заставить Google уделять хоть немного внимания безопасности своих пользователей.
Изображение
Аватара пользователя
Frank
Гуру
Гуру
 
Сообщения: 4499
Зарегистрирован: 11 фев 2007, 22:20
Откуда: с Глинки
Пол: Мужской
Провайдер: Амрон

Re: Новости безопасности

Сообщение Frank » 10 июл 2010, 12:07

Группа исследователей-криптографов, возглавляемая Sean O'Neill, автором алгоритма хеширования EnRUPT, сообщила об успешном завершении обратного инжиниринга организации шифрования данных в протоколе Skype. Для шифрования передачи данных в Skype использовался модифицированный потоковый шифр RC4, реализацию которого удалось повторить и оформить в виде открытой библиотеки. Детали, обнаруженные в ходе проведенной работы, обещают раскрыть в декабре на конференции Chaos Communication Congress.

Представленная библиотека может оказать помощь в создании независимых реализаций протокола Skype. По заявлению разработчиков для усложнения создания сторонних клиентов в Skype использовался модифицированный код генерации ключей для потокового шифра RC4. Насколько раскрытие метода шифрования может повлиять на безопасность передачи данных Skype пока не известно, исследование надежности генерации начального вектора и возможности перехвата ключей шифрования пока не завершено.
Изображение
Аватара пользователя
Frank
Гуру
Гуру
 
Сообщения: 4499
Зарегистрирован: 11 фев 2007, 22:20
Откуда: с Глинки
Пол: Мужской
Провайдер: Амрон

Re: Новости безопасности

Сообщение Frank » 06 авг 2010, 11:00

Компания Cyveillance провела исследования эффективности защиты, предоставляемой современными антивирусными продуктами и пришла к выводу, что антивирусное ПО не способно защитить пользователей от online-атак, поражающих системы при посещении пользователем сайтов, содержащих злонамеренный код. Против подобных динамично внедряемых online-угроз эффективность антивирусных программ, оперирующих базами сигнатур, в первое время проведения атаки составляет всего 19%, а через месяц после обнаружения вредоносного кода его степень обнаружения повышается всего лишь до 61.7%.
Изображение
Аватара пользователя
Frank
Гуру
Гуру
 
Сообщения: 4499
Зарегистрирован: 11 фев 2007, 22:20
Откуда: с Глинки
Пол: Мужской
Провайдер: Амрон

Re: Новости безопасности

Сообщение Frank » 07 окт 2010, 15:16

В Adobe Reader 9.3.4, 8.2.4 и более ранних версиях для платформ Linux, Windows и MacOS обнаружены критические уязвимости, которые могут позволить атакующему вызвать крах программы или выполнить произвольный код на компьютере пользователя, при открытии специально скомпонованного PDF-документа.

Всем пользователям данного продукта компания Adobe рекомендует обновиться незамедлительно. Всего в новом выпуске Adobe Reader 9.4 устранено 23 уязвимости
Изображение
Аватара пользователя
Frank
Гуру
Гуру
 
Сообщения: 4499
Зарегистрирован: 11 фев 2007, 22:20
Откуда: с Глинки
Пол: Мужской
Провайдер: Амрон

Re: Новости безопасности

Сообщение Frank » 18 окт 2010, 10:01

В сети зафиксировано новое вредоносное ПО Trojan-PWS-Nslog, отличающееся нацеленностью на воровство паролей пользователей, сохраненных в процессе навигации по сети в Firefox и Internet Explorer. Более того, после активации трояна, путем определенных манипуляций с Firefox, браузер начинает сохранять все пароли, даже без получения явного указания от пользователя. После изъятия паролей из хранилища они отправляются трояном на специальный сервер в сети и в дальнейшем могут быть использованы для интеграции кода трояна на сайты, пароли доступа к которым были перехвачены.

Активация автоматического сохранения паролей в Firefox достигается за счет комментирования строк с вызовом соответствующего диалога в файле nsLoginManagerPrompter.js и подстановки вызова функции сохранения пароля - pwmgr.addLogin(aLogin). Несмотря на то, что сам по себе Trojan-PWS-Nslog поддерживает только платформу Windows, подобная методика теоретически работает во всех операционных системах. Практически использовать данный способ в Windows 7, а так же в Linux и других Unix-подобных ОС не получится, так как настройки безопасности по умолчанию запрещают изменение системных файлов (/usr/lib/firefox-x.x.x/components/ для Unix-подобных ОС ).
Изображение
Аватара пользователя
Frank
Гуру
Гуру
 
Сообщения: 4499
Зарегистрирован: 11 фев 2007, 22:20
Откуда: с Глинки
Пол: Мужской
Провайдер: Амрон

Re: Новости безопасности

Сообщение BarS » 18 окт 2010, 12:44

В Семёрке выскочит запрос UAC на выполнение действия от имени администратора, и обычный пользователь благополучно его разрешит.
Всех убью, один останусь
Сироту всякий норовит обидеть
Аватара пользователя
BarS
Неприкасаемый
Неприкасаемый
 
Сообщения: 4478
Зарегистрирован: 11 фев 2007, 19:38
Откуда: 194.145.199.200
Пол: Мужской
Провайдер: Амрон

Re: Новости безопасности

Сообщение Frank » 18 окт 2010, 14:08

[теория]Насколько я понимаю, это было в висте, а в "семке" нужно прогу заранее запустить "от имени администратора", чтобы оно смогло записать туда - иначе просто "отказано в доступе" молча. Ну, то есть, из линукса политику тянут.[/теория]
Изображение
Аватара пользователя
Frank
Гуру
Гуру
 
Сообщения: 4499
Зарегистрирован: 11 фев 2007, 22:20
Откуда: с Глинки
Пол: Мужской
Провайдер: Амрон

Re: Новости безопасности

Сообщение Frank » 30 окт 2010, 19:03

Давно говорю, что жаба вредна :)
В сети зафиксирована кроссплатформенная модификация сетевого червя Koobface, поражающая не только Windows-системы, но и машины, работающие под управлением Linux и MacOS X. Для своего распространения червь использует социальные сети, такие как Twitter, Facebook и MySpace, публикуя в них под аккаунтом инфицированного пользователя сообщения, склоняющие друзей к нажатию на ссылку, такие как "не ты ли это на данном видеоролике ?".

Ссылка ведет на стилизованную под YouTube страницу, при попытке просмотра видеоролика на которой загружается вредоносный Java-апплет jnana.tsa. Апплет эксплуатирует недавно найденную уязвимость в Java-плагине для выхода за пределы изолированного окружения, сохраняет себя в системе и продолжает цепочку вредоносных публикаций уже от имени новой жертвы. Закрепившись в системе вредоносный код перехватывает параметры входа в социальные сети и использует их для своего распространения. Кроме того, апплет периодически соединяется с управляющими узлами ботнета и принимает от них команды, т.е. может быть использован для рассылки спама или участия в DDoS-атаках.

В Linux вредоносный апплет копирует себя в домашнюю директорию пользователя, но не прописывает себя в файлы автозапуска, что, в отличие от поведения данного червя в Windows, ограничивает время его работы первой перезагрузкой системы. Эффективность атаки на Linux-системы также снижается отсутствием поставки по умолчанию Java в популярных Linux-дистрибутивах и оперативным выпуском обновлений.
Изображение
Аватара пользователя
Frank
Гуру
Гуру
 
Сообщения: 4499
Зарегистрирован: 11 фев 2007, 22:20
Откуда: с Глинки
Пол: Мужской
Провайдер: Амрон

Пред.След.

Вернуться в Софт

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron