Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Hírek - 2012/7. hét

2012.02.19. 20:34 | buherator | 2 komment

Böngésző biztonság

A Chrome, a Firefox, a Thunderbird és a Tor  (FF alapú) böngészője is frissült a nyílt forrású libpng könyvtár integer túlcsordulásos sebezhetőségét kiküszöbölendő. A Chrome-ban ezen kívül még 12 problémát javítottak. (Az IE kedden frissült)

A Mozilla a fentieken túl éles hangvételű közleményt adott ki, melyben a termékeiben megbízhatónak ítélt CA-kat utasítja a man-in-the-middle támadást is lehetővé tevő alárendelt CA tanúsítványok azonnali visszavonására. A lépés hátterében valószínűleg az áll, hogy egyes szervezetek a CA-k közreműködésével olyan domainekre kaptak tanúsítványt, melyeknek nem tulajdonosai. Nem tudni, hogy valaki csak egyszerűen meg akarta spórolni az SSL proxy tanúsítványának telepítését az összes vállalati gépre, vagy komolyabb dolgok folytak a háttérben, minden esetre a Mozilla kinyilvánította, hogy az ilyen viselkedés számára semmilyen körülmények között sem elfogadható. A CA-kba vetett bizalom minden esetre kapott még egy nagy pofont. Friss: A bonyadalmat a Trustwave okozta, aki a DLP megoldását akarta támogatni a godmode tanúsítvánnyal.

Google Wallet

Elég csúnya hibát fedeztek fel a Google Wallet szolgáltatásban, melynek lényege, hogy egy androidos készülék segítségével NFC-t (Near Field Communication) használva fizethetünk. A Google Wallet maga egy Android alkalmazás, melyet egy PIN kód véd az illetéktelen hozzáféréstől, például arra az esetre, ha a készülék elveszne. A gond azzal van, hogy a Wallet-hez rendelhető Google Prepaid számla közvetlenül a készülékhez van rendelve, így egy támadó egyszerűen kitörölheti a Wallet alkalmazás összes konfigurációs adatát  - ezzel a PIN kódot is -, majd a következő indításkor egy új kód megadása után a készülék eredeti tulajdonosának Google Prepaid számláját használhatja fizetéskor.

Az alábbi videó szemlélteti a problémát (érdemes megfigyelni, hogy a szaki nem valami triviális PIN-t ad meg, lehet, hogy máshol is ezt használja? :):

A Google elismerte a problémát és letiltotta a Prepaid számlák használatát a szolgáltatásban, amíg megfelelő megoldást dolgoznak ki a sebezhetőségre.

Évtizedes Nortel incidens

A Wall Street Journal riportja szerint kínai hackerek legalább 2000 óta hozzáfértek a Nortel hálózatához, ahonnan bizalmas e-maileket, műszaki dokumentációt, üzleti terveket és más bizalmas adatokat csatornáztak ki. Az incidensre csak 2004-ben derült fény. A támadók akciójukat hét magas rangú tisztviselő, köztük a CEO jelszavának segítségével követték el. 

Éééééés, Hacktion, második évad (ezt is megéltük!!!1):

Címkék: google firefox hírek incidens mozilla nortel pki google chrome google wallet

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

_2501 2012.02.20. 10:15:33

nortel de tipikus... nagyon gyalázatos ez így leírva, de ezen nincs mit szépíteni: 10 éve pwn & leak. Na...? ki a felelős ezért? :D