Заметки хорарного астролога, но не только об астрологии
Posts tagged уязвимость
Дыра в QIP
Jul 25th
Дыра ли это али так задумано?
Только что обнаружил. К примеру ваш пароль для QIP qwerty.
Так вот. Если вы наберете qwer – система скажет, что пароль неверный.
Если вы наберете qwerty – система пропустит вас, поскольку пароль верный.
Однако, если вы наберете qwerty98765431346761 – система пропустит вас также, хотя пароль неверный.
Т.е. QIP проверяет на совпадение первые символы и если они совпадают с паролем, то вход разрешается.
Только вы это не говорите, что я вам сказал 
Асечная война – всем хана
Mar 6th
Знаете как начинаются войны? Из-за утечки информации. Да, да, из-за нее родимой.
Несколько дней назад шустрые хакеры обнаружили уязвимость в клиенте ICQ 6. Уязвимость критическая, рушит аську и подвисает комп. Информация об этом была опубликована в открытых источниках.
Все просто как всегда, нужно отправить человеку, который использует клиент ICQ 6 всего одну строку %020000000s. Уязвимость существует из-за ошибки при обработке сообщений, содержащих символы форматной строки. Проще говоря, сообщение %020000000s аська 6 попытается преобразить в 20 млн. сообщений, что в пару секунд приводит к зависанию аськи и компа (в зависимости от конфигурации вашего компьютера можете помучаться подольше).
Так вот теперь о войне. Не долго думая, не слишком умные товарищи для начала начали рассылать это сообщение своим друзьям, у кого установлен клиент аська 6. Естественно друзья тут же выпадали из онлайн.
Список виртуальных трупов растет не по дням, не по часам, а по минутам. На одном из форумов шустрый юзер радостно сообщает, что всех своих знакомых уже потушил, теперь думает искать других юзеров с аськой 6.
Мораль всей истории такова. Качайте QIP. Его конечно тоже взломают рано или поздно, но пока это самый надежный клиент.
Приплыли
Feb 14th
Все, кина не будет. Ядро Линукс под ударом критических багов. Как сообщает КиберСекьюрити в последних версиях операционной системы Linux были обнаружены множественные уязвимости, часть из которых классифицирована как критические. Опасности подвержены почти все популярные Linux-дистрибутивы, в том числе Ubuntu, Suse, Red Hat, Mandriva и Debian.
По данным исследовательской компании SecurityFocus, уязвимости затрагивают ядра с 2.6.18 по 2.6.24. Последняя доступная версия ядра 2.6.24.1 уже не подвержена новым багам, однако она не входит в состав ни одного из популярных дистрибутивов.
В SecurityFocus отмечают, что сегодняшнее раскрытие ошибок в ядре Linux стало самым крупным за последний год. Однако пользователи корпоративных коммерческих дистрибутивов, таких как Red Hat или Suse, еще вчера вечером получили обновленные версии текущих ядер для ОС и могли их загрузить.
По информации US National Vulnerability Database, наиболее серьезный баг в ядре был связан с подделкой системных вызовов, что дает атакуюущему неограниченный доступ в системе.
Ситуацию усугубляет и то, что эксплоиты для уязвимостей уже размемещены в интернете (http://www.milw0rm.com/exploits/5092).
Пользователям коммерческих Linux рекомендуется безотлагательно обновить ядро ОС и перезагрузить системы. Тем же у кого нет коммерческих подписок SecurityFocus предложила вручную ставить заплатки – http://www.securityfocus.com/bid/27704/solution
Комментарии