Рубрика «security» - 32

в 10:59, , рубрики: security, Shellshock, Блог компании ESET NOD32, метки:

Уязвимость Shellshock (CVE-2014-6271) по масштабности и последствиям для всемирной сети и подключенных к ней устройств можно сравнить только с печально известной Heartbleed, которая была обнаружена весной этого года. Такое название получила уязвимость в командном интерпретаторе Bash, который используется во всевозможных модификациях и дистрибутивах Linux, Unix, Apple OS X (включая новейшую версию OS X Mavericks), а также Android. Уязвимости присвоен наивысший — 10-й уровень опасности, при этом уязвимыми являются все версии интерпретатора, включая новейшую 4.3.

Уязвимость ShellShock эксплуатируется in the wild

Основную опасность Shellshock представляет по той причине, что он позволяет удаленно выполнить код на уязвимой ОС (исполнять необходимые атакующим команды интерпретатором). При этом с точки зрения эксплуатации уязвимости, это сделать довольно просто. Сам Bash привлекается к использованию в CGI-скриптах (что и позволяет осуществлять удаленную эксплуатацию), которые работают на веб-серверах и не только, например, с использованием компонента cgi_module. Одна из вредоносных программ, которая доставляется атакующими на скомпрометированный сервер обнаруживается AV-продуктами ESET как Linux/DDoS.M.

Читать полностью »

в 19:22, , рубрики: apple, iOS, security, Блог компании ESET NOD32, информационная безопасность

Не успела компания Apple выпустить первое обновление для iOS 8 — 8.0.1, которое исправляет первые уязвимости и баги в различных сервисах новой версии мобильной ОС, как ей пришлось срочно отзывать это самое обновление. iOS 8.0.1 содержит исправления для браузера Safari, сервиса AirDrop, непосредственно функций звонков и экранных клавиатур сторонних производителей. Однако, при установке этого обновления на устройство, у него могут наблюдаться сбои связи, а также проблемы с работоспособностью Touch ID. Проблема с Touch ID может оставить пользователя с заблокированным устройством. Также пользователь останется без сотовой связи.

We have received reports of an issue with the iOS 8.0.1 update. We are actively investigating these reports and will provide information as quickly as we can. In the meantime we have pulled back the iOS 8.0.1 update.

Apple отзывает iOS 8.0.1

Читать полностью »

в 16:08, , рубрики: bash, security, vulnerability, информационная безопасность

Сегодня были опубликованы детали об уязвимости в Bash.
Вкратце, Bash позволяет экспортировать функции как переменные окружения:

$ myfunc() { echo "Hello"; }
$ export -f myfunc
$ env | grep -A1 ^myfunc
myfunc=() {  echo "Hello"
}

Уязвимость состоит в том, что если после тела функции (после последнего символа "}") добавить ещё какую-нибудь команду, и экспортировать её — она будет выполнена при вызове дочернего интерпретатора:
Читать полностью »

в 11:58, , рубрики: HTTPS, mitm, Privacy, security, SSL, tmitm, безопасность в сети, информационная безопасность, приватность, Сетевые технологии

Недавно в одном из прочитанных блогов увидел интересное утверждение (в моем вольном переводе):

Думаете, когда вы работаете с онлайн-банкингом из офиса, у вас сквозное безопасное соединение? Подумайте еще разок.

Достаточно, чтобы заинтересовать и немного покопать. «И шо ви таки думаете? (с)» В «насквозь безопасное» HTTPS соединение можно врезать как минимум двух посредников (Man In The Middle). Правда, оба должны быть Trusted (TMITM), так что не надо сильно паниковать. Пока что.
Читать полностью »

в 12:38, , рубрики: apple, iOS, security, Блог компании ESET NOD32, информационная безопасность

Компания Apple выпустила существенное обновление для своей мобильной iOS, которое называется iOS 8. Обновление касается устройств iPhone 4s+, iPod 5 touch+, iPad 2+. Всего компания исправила 58 уязвимостей в iOS. Многие из исправленных уязвимостей могли использоваться атакующими для исполнения произвольного кода в систем, а также для повышения там своих привилегий. Также был доработан механизм рандомизации MAC-адреса при поиске Wi-Fi сетей, о котором говорилось за несколько месяцев до появления iOS 8. Использование статического MAC-адреса делает возможным пассивное отслеживание устройства при поиске им Wi-Fi сетей, такая уязвимость относится к типу information-disclosure.

Security фиксы iOS 8

Мы рекомендуем пользователям обновить свои устройства до up-to-date версии iOS 8.

Читать полностью »

в 16:38, , рубрики: icloud, security, Блог компании ESET NOD32, информационная безопасность

Компания Apple опубликовала подробности расследования нашумевшего инцидента с кражей персональных снимков с iDevice устройств знаменитостей. По информации специалистов компании, знаменитости пали жертвой т. н. направленных атак, которые связаны с фишинговыми сообщениями. При таком сценарии злоумышленник отправляет специальное электронное письмо на почтовый адрес жертвы и предлагает ей сообщить пароль Apple ID, который затем используется для доступа к аккаунту. Подобные письма могут содержать разнообразные темы для обмана пользователей. Речь идет также о том, что злоумышленники не использовали инструмент типа iBrute для эксплуатации уязвимости в сервисе через API «Найти iPhone» (уязвимость закрыта). iBrute использует перебор возможных комбинаций паролей (brute force). Между тем выясняется, что с безопасностью сервисов у Apple вскрываются новые проблемы.

Apple: iCloud ни при чем, знаменитости пали жертвой направленных атак

Читать полностью »

в 16:05, , рубрики: icloud, security, Блог компании ESET NOD32, информационная безопасность

Компания Apple исправила уязвимость в сервисе iCloud (точнее, в его функции «Найти iPhone»), которая позволяла злоумышленникам проводить атаку типа brute force и подбирать пароль к аккаунту сервиса (т. е. получать пароль Apple ID). Злоумышленникам уже должен был быть известен адрес электронной почты аккаунта, затем они использовали скрипт для эксплуатации уязвимости сервиса и получали доступ к аккаунту. Предположительно, именно этой уязвимостью воспользовались злоумышленники, которые похитили фото знаменитостей и разместили их в открытом доступе.

Apple исправила важную уязвимость в iCloud

Ранее исходные тексты инструмента iBrute для проведения этой атаки были размещены на ресурсе GitHub. Таким образом, любой желающий мог воспользоваться этой уязвимостью и провести атаку на сервис (который в нормальной ситуации должен был блокировать доступ к аккаунту пользователя после нескольких неудачных попыток ввода пароля Apple ID). Разумеется, пользователи, которые использовали сложные пароли к своим аккаунтам, наименее всего могли пострадать от этой уязвимости. В описании файла скрипта iBrute на GitHub теперь красуется такой дисклеймер (см. скриншот ниже).

Читать полностью »

в 8:19, , рубрики: fail2ban, Plesk, security, wordpress, Блог компании Parallels, Веб-разработка, хостинг, хостинг-панель

Мы в этом году несколько раз высказывали свое мнение о том, что рынок традиционного хостинга уже вряд ли сможет жить, как раньше (например, здесь и на Хабре). Было бы странно, если бы мы проигнорировали эти тенденции при разработке собственных продуктов. Поэтому новую версию решения Parallels Plesk 12.0 (ПО для управления работой всего, что касается веба – доменами, сайтами, почтовыми ящиками, DNS и т.д.) делали с учетом новой реальности, где время исключительно ценовых войн среди хостеров уже прошло. Сегодня на рынке начинают и выигрывают решения добавленной стоимости, направленные на отдельные сегменты аудитории, а не стандартные пакеты VPS или shared hosting, как раньше. Так, по данным Netctaft, те, кто создает предложения в области веб-хостинга под разные целевые аудитории, увеличили свою долю на рынке с 5 до 51% за последние 3 года.
Исходя из этой тенденции, мы разделили продукт на 4 разные «редакции» – для веб-админов, веб-разработчиков, веб-студий и хостеров, у каждой из которых теперь свой набор инструментов и фич. Каких именно – под катом. Мы бы хотели узнать, каких инструментов для ваших сценариев лично вам не хватает.
Читать полностью »

в 17:54, , рубрики: bittorrent, BitTorrent Sync, btsync, networks, p2p, Peer-to-Peer, security

Сегодня вышел в свет новый релиз BitTorrent Sync 1.4.72.

Вышел BitTorrent Sync 1.4

Читать полностью »

в 10:45, , рубрики: BIND, DNS, security, информационная безопасность, системное администрирование
Вебинар Крикета Ли — (со)автора книг о DNS и Bind. Безопасность DNS: угрозы и решения, Best Practices DNS — один из важнейших сетевых сервисов, о безопасности, надежности и производительности которого часто забывают. По количеству атак DNS находится на втором месте после HTTP/HTTPS, и только за последний год число атак возросло на 216%.
Крикет Ли — автор и соавтор книг о DNS и Bind — проведет вебинар о безопасности DNS. Будут рассмотрены основные угрозы сервису (DDoS, cache poisoning, tunneling, amplification и т.д.) и предложены рекомендации по защите.

Вебинар пройдет 28 Августа 2014г. в 20:00 по московскому времени.
Зарегистрироваться можно Читать полностью »
1...1020...313233...40...42
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js