Böngésző biztonság

A Chrome, a Firefox, a Thunderbird és a Tor  (FF alapú) böngészője is frissült a nyílt forrású libpng könyvtár integer túlcsordulásos sebezhetőségét kiküszöbölendő. A Chrome-ban ezen kívül még 12 problémát javítottak. (Az IE kedden frissült)

A Mozilla a fentieken túl éles hangvételű közleményt adott ki, melyben a termékeiben megbízhatónak ítélt CA-kat utasítja a man-in-the-middle támadást is lehetővé tevő alárendelt CA tanúsítványok azonnali visszavonására. A lépés hátterében valószínűleg az áll, hogy egyes szervezetek a CA-k közreműködésével olyan domainekre kaptak tanúsítványt, melyeknek nem tulajdonosai. Nem tudni, hogy valaki csak egyszerűen meg akarta spórolni az SSL proxy tanúsítványának telepítését az összes vállalati gépre, vagy komolyabb dolgok folytak a háttérben, minden esetre a Mozilla kinyilvánította, hogy az ilyen viselkedés számára semmilyen körülmények között sem elfogadható. A CA-kba vetett bizalom minden esetre kapott még egy nagy pofont. Friss: A bonyadalmat a Trustwave okozta, aki a DLP megoldását akarta támogatni a godmode tanúsítvánnyal.

Google Wallet

Elég csúnya hibát fedeztek fel a Google Wallet szolgáltatásban, melynek lényege, hogy egy androidos készülék segítségével NFC-t (Near Field Communication) használva fizethetünk. A Google Wallet maga egy Android alkalmazás, melyet egy PIN kód véd az illetéktelen hozzáféréstől, például arra az esetre, ha a készülék elveszne. A gond azzal van, hogy a Wallet-hez rendelhető Google Prepaid számla közvetlenül a készülékhez van rendelve, így egy támadó egyszerűen kitörölheti a Wallet alkalmazás összes konfigurációs adatát  - ezzel a PIN kódot is -, majd a következő indításkor egy új kód megadása után a készülék eredeti tulajdonosának Google Prepaid számláját használhatja fizetéskor.

Az alábbi videó szemlélteti a problémát (érdemes megfigyelni, hogy a szaki nem valami triviális PIN-t ad meg, lehet, hogy máshol is ezt használja? :):

A Google elismerte a problémát és letiltotta a Prepaid számlák használatát a szolgáltatásban, amíg megfelelő megoldást dolgoznak ki a sebezhetőségre.

Évtizedes Nortel incidens

A Wall Street Journal riportja szerint kínai hackerek legalább 2000 óta hozzáfértek a Nortel hálózatához, ahonnan bizalmas e-maileket, műszaki dokumentációt, üzleti terveket és más bizalmas adatokat csatornáztak ki. Az incidensre csak 2004-ben derült fény. A támadók akciójukat hét magas rangú tisztviselő, köztük a CEO jelszavának segítségével követték el. 

Éééééés, Hacktion, második évad (ezt is megéltük!!!1):