The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

/ Безопасность
 - Виртуальные серверы и изолированные окружения
 - Квоты, ограничения
 - Firewall
 - Вирусы и спам
 - Шифрование, SSH, SSL
 - Приватность
15.02.2019 Уязвимость в библиотеке MatrixSSL (9 +9)
  В открытой криптографической библиотеке MatrixSSL, рассчитанной на использование во встраиваемых устройствах и лежащей в основе коммерческого продукта Inside Secure TLS Toolkit (GUARD TLS Toolkit), выявлена уязвимость, приводящая к переполнению буфера при обработке специально оформленных сертификатов X.509 на стороне клиента или сервера. Интересно, что идентичная уязвимость (CVE-2014-1569) была исправлена в библиотеке Mozilla NSS в 2014 году (проблема в MatrixSSL всплыла после проверки подверженности данной библиотеки старому эксплоиту для NSS). Более того, в 2014 году компания Intel после анализа уязвимости в NSS указала, что MatrixSSL имеет аналогичные проблемы в коде разбора сертификатов ASN.1, но все эти уязвимости так и остались неисправленными...
14.02.2019 Критическая уязвимость в WordPress-плагине "Simple Social Buttons" (53 +10)
  В "Simple Social Buttons", популярном плагине к системе управления web-контентом WordPress, выявлена критическая уязвимость, позволяющая получить контроль над сайтом. Плагин Simple Social Buttons позволяет адаптивно подставлять кнопки отправки данных в социальные сети в различные части страницы в зависимости от их содержимого. Плагин насчитывает более 40 тысяч активных установок (число загрузок превышает 500 тысяч)...
13.02.2019 Уязвимость в snapd, позволяющая получить root-привилегии в системе (84 +11)
  В snapd, инструментарии для управления самодостаточными пакетами в формате snap, выявлена уязвимость (CVE-2019-7304), позволяющая непривилегированному пользователю получить права администратора (root) в системе. Для проверки систем на наличие уязвимости опубликовано два прототипа эксплоита - первый позволяет завести нового пользователя в системе, а второй даёт возможность установить любой snap-пакет и запустить код с правами root (через установку пакета в режиме "devmode" с прикреплением обработчика, вызываемого с привилегиями root при установке пакета)...
13.02.2019 Обновление Firefox 65.0.1 и Tor Browser 8.0.6 (30 +19)
  Подготовлен корректирующий выпуск Firefox 65.0.1, в котором устранены три уязвимости и исправлено 8 ошибок. Уязвимости затрагивают входящую в состав библиотеку Skia и могут привести к целочисленному переполнению, обращению к уже освобождённой области памяти или переполнению буфера при обработке специально оформленных данных. Уязвимости также устранены в выпуске Firefox 60.5.1 ESR...
12.02.2019 Опубликована техника скрытия вредоносного кода в анклавах Intel SGX (68 +28)
  Группа исследователей из Грацского технического университета (Австрия), ранее известная разработкой техники атаки NetSpectre и метода эксплуатация уязвимости в DRAM-памяти через локальную сеть, продемонстрировала (PDF) метод скрытия вредоносного кода при помощи изолированных анклавов Intel SGX и организации контроля за основной системой из выполняемого в анклаве кода, в обход накладываемых анклавом ограничений...
11.02.2019 Уязвимость в runc и LXC, затрагивающая Docker и другие системы контейнерной изоляции (76 +16)
  В runc, инструментарии для запуска изолированных контейнеров, выявлена критическая уязвимость (CVE-2019-5736), позволяющая из подконтрольного злоумышленнику изолированного контейнера изменить исполняемый файл runc и получить root-привилегии на стороне хост-системы. Уязвимость затрагивает все системы контейнерной изоляции, использующие runtime runc, включая Docker, cri-o, containerd, Kubernetes, Podman и flatpak. Также отмечается, что аналогичная уязвимость присутствует в инструментариях LXC и Apache Mesos...
10.02.2019 Google представил механизм Adiantum для быстрого шифрования накопителей (16 +22)
  Компания Google предложила механизм шифрования накопителей Adiantum, который может применяться на маломощных устройствах, на которых невозможно использовать алгоритм блочного шифрования AES из-за слишком больших накладных расходов. В частности, Google намерен применять Adiantum для шифрования накопителей младших моделей смартфонов на базе платформы Android, оснащаемых процессорами ARM, не предоставляющими инструкции для аппаратного ускорения шифрования AES. Эталонная реализация алгоритма опубликована под лицензией MIT, реализация на уровне подсистемы ядра Linux dm-crypt опубликована под лицензией GPLv2 (патчи подготовлены как для редакций ядра для Android, так и для обычных ванильных ядер Linux)...
10.02.2019 Раскрыты детали новой атаки на различные реализации TLS (20 +13)
  Исследователи из компании NCC Group раскрыли сведения (PDF) о новой атаке по сторонним каналам, позволяющей через анализ остаточных данных в процессорном кэше восстановить содержимое, передаваемое через каналы связи, зашифрованные при помощи протоколов TLS и QUIC. С некоторыми оговорками атака затрагивает и протокол TLS 1.3...
08.02.2019 Google открыл код ClusterFuzz, платформы для выявления ошибок и уязвимостей (4 +6)
  Компания Google открыла исходные тексты платформы ClusterFuzz, предназначенной для проведения fuzzing-тестирования кода с использованием кластера серверов. Кроме координации выполнения проверок ClusterFuzz также автоматизирует выполнение таких задач, как...
08.02.2019 Уязвимости в Android, FreeBSD, rdesktop и FreeRDP (55 +20)
  Несколько недавно анонсированных опасных уязвимостей:...
06.02.2019 Уязвимость в криптовалюте Zcash, позволявшая генерировать новые средства (40 +8)
  Разработчики криптовалюты Zcash, занимающей 17 место по уровню капитализации (271 млн долларов) и обеспечивающей анонимность и конфиденциальность метаданных транзакций, раскрыли сведения о критической уязвимости (CVE-2019-7167), позволявшей без ограничений генерировать новые средства (создавать поддельные монеты через предъявление фальшивых доказательств проделанной работы). Несмотря на то, что проблема была выявлена в начале марта 2018 года и скрытно исправлена в октябре прошлого года, информация об уязвимости публично раскрыта только сейчас...
06.02.2019 Для Chrome реализован режим экономии ресурсов (86 +24)
  Для Chromium предложена реализация экспериментального режима Never-Slow" ("--enable-features=NeverSlowMode"), экономящего ресурсы при обработке раздутых страниц и нагружающих процессор скриптов. Данный режим выставляет более жесткие лимиты на потребление ресурсов скриптами, а также ограничивает размер скриптов, шрифтов, изображений и CSS, отключает document.write() и активирует буферизацию для ответов неизвестного размера (без "Content-Length")...
06.02.2019 Google опубликовал браузерное дополнение для оценки компрометации паролей (34 –6)
  Компания Google подготовила дополнение Password Checkup, предназначенное для анализа надёжности используемых пользователем паролей. При попытке входа на любой сайт дополнение выполняет проверку логина и пароля по базе скомпрометированных учётных записей и в случае проблем выводит предупреждение. В настоящее время коллекция Google насчитывает сведения о более чем 4 миллиардах скомпрометированных аккаунтов, фигурировавших в тех или иных утечках пользовательских баз...
05.02.2019 Уязвимость в Libreoffice и Openoffice, позволяющая выполнить код при открытии документа (60 +22)
  Раскрыты сведения об уязвимости (CVE-2018-16858) в офисных пакетах LibreOffice и Apache OpenOffice, позволяющей выполнить код в системе при открытии специально оформленного документа в формате ОDT...
04.02.2019 В eBPF найдена возможность обхода защиты ядра Linux от атаки Spectre (43 +11)
  В ядре Linux найдена уязвимость (CVE-2019-7308), позволяющая обойти защиту от проведения атак класса Spectre v1 через использование подсистемы eBPF. Проблема устранена в выпусках ядра 4.19.19 и 4.20.6, но в дистрибутивах пока остаётся неисправленной (Debian, RHEL, SUSE, Ubuntu)...
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2019 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor