Тема про уязвимости вообще

Статус русского языка в ИТ и в обществе. Аргументы за программирование на русском языке: история, культура, производительность труда, цивилизационная идентичность. Информационная безопасность.
БудДен
Сообщения: 399
Зарегистрирован: 07.10.18 14:01

Re: Тема про уязвимости вообще

Сообщение БудДен » 22.06.19 21:48

А можно краткое содержание для слабовидящих?

atz
Сообщения: 139
Зарегистрирован: 21.12.18 22:45

Re: Тема про уязвимости вообще

Сообщение atz » 22.06.19 22:21

В коротком ролике показано, как aмeриканци пытаются застрелить huаwеi
Последний раз редактировалось atz 02.07.19 22:39, всего редактировалось 1 раз.

Аватара пользователя
Лис [Вежливый]
Сообщения: 166
Зарегистрирован: 08.10.18 13:32

взломали российскую поисковую систему «Яндекс»

Сообщение Лис [Вежливый] » 28.06.19 23:43

https://www.reuters.com/article/us-usa- ... SKCN1TS2SX
"The hackers covertly maintained access to Yandex for at least several weeks without being detected, they said. "
https://3dnews.ru/989910
хакеры, работающие на западные спецслужбы, в конце 2018 года взломали российскую поисковую систему «Яндекс»
внедрение вредоносного кода было осуществлено в период с октября по ноябрь 2018 года.
Представители «Яндекс» признали, что в указанный период поисковая система действительно подверглась атаке.
Однако было отмечено, что служба безопасности «Яндекс» смогла выявить подозрительную активность на ранней стадии, что позволило полностью нейтрализовать угрозу до того, как хакеры смогли нанести какой-либо вред.
Было отмечено, что в результате атаки не были скомпрометированы какие-либо пользовательские данные.

Аватара пользователя
Лис [Вежливый]
Сообщения: 166
Зарегистрирован: 08.10.18 13:32

Пароли Ozon.ru в открытом доступе

Сообщение Лис [Вежливый] » 11.07.19 13:17

https://www.rbc.ru/technology_and_media ... 75f79f0816
https://www.google.com/search?q=База+с+ ... ом+доступе

утечка могла произойти более полугода назад. Инцидент произошел полгода назад, но компания о нем не сообщала, а сейчас настаивает, что часть данных утекла с других сайтов. пароли пользователей в момент утечки хранились в открытом виде. В 2018 году пришла новая команда, которая сделала серьезную работу для усиления безопасности. Сейчас все пароли пользователей хранятся в хешированном виде

------------------------------

самая большая утечка информации в России произошла из-за уязвимости на сайте Рособрнадзора, когда скомпрометированной оказалась база данных о 14 млн бывших студентов.

БудДен
Сообщения: 399
Зарегистрирован: 07.10.18 14:01

Re: Тема про уязвимости вообще

Сообщение БудДен » 31.07.19 13:26

CVE-2019-10164 - недавно найденное переполнение буфера в Postgresql, уязвимость уровня 8.8 из 10, было открытым около 2 лет.
CVE-2019-12815 - логическая ошибка при проверке прав в дополнительном модуле mod_copy в proftpd, уязвимы все версии на всех ос, кроме Федоры.
Когда возникла - не знаю.

Аватара пользователя
Лис [Вежливый]
Сообщения: 166
Зарегистрирован: 08.10.18 13:32

CVE-2019-1125

Сообщение Лис [Вежливый] » 12.08.19 03:06

http://www.opennet.ru/opennews/art.shtml?num=51234

Уязвимость позволяет непривилегированному атакующему определить содержимое областей памяти ядра или запущенных виртуальных машин. Проблема подтверждена в процессорах Intel (x86_64) и частично затрагивает процессоры AMD

атакующий может определить значение по определённому адресу в области ядра и атакующий может выполнить поиск определённого значения в по случайным адресам в ядре (на системах AMD удалось воспроизвести только второй сценарий атаки).

методы противодействия уязвимостям Spectre и Meltdown не защищают от атаки SWAPGS

Проведение атаки занимает много времени и для организации утечки может потребоваться выполнение эксплоита в течение нескольких часов.
Старые процессоры Intel, до Ivy Bridge, атаковать значительно труднее из-за отсутствия поддержки инструкции WRGSBASE

Обновления для дистрибутивов Linux пока не выпущены (Debian, RHEL, Fedora, Arch Linux, SUSE/openSUSE, Ubuntu).

Аватара пользователя
Лис [Вежливый]
Сообщения: 166
Зарегистрирован: 08.10.18 13:32

контроль доступа у CTF вообще отсутствует

Сообщение Лис [Вежливый] » 14.08.19 15:15

https://xakep.ru/2019/08/14/ctf-problem/

Баг появился почти 20 лет назад и затрагивает все версии Windows, начиная с XP и заканчивая новейшими версиями Windows 10.
можно подключиться к любому активному сеансу другого пользователя и захватить любое приложение (в том числе с высокими привилегиями).

Ответить