Категория: (Гостинная) Автор: MaxGal Опубликовано: 25-07-2008
Дыра ли это али так задумано?
Только что обнаружил. К примеру ваш пароль для QIP qwerty.
Так вот. Если вы наберете qwer – система скажет, что пароль неверный.
Если вы наберете qwerty – система пропустит вас, поскольку пароль верный.
Однако, если вы наберете qwerty98765431346761 – система пропустит вас также, хотя пароль неверный.
Т.е. QIP проверяет на совпадение первые символы и если они совпадают с паролем, то вход разрешается.
Только вы это не говорите, что я вам сказал 
Категория: (Гостинная) Автор: MaxGal Опубликовано: 06-03-2008
Знаете как начинаются войны? Из-за утечки информации. Да, да, из-за нее родимой.
Несколько дней назад шустрые хакеры обнаружили уязвимость в клиенте ICQ 6. Уязвимость критическая, рушит аську и подвисает комп. Информация об этом была опубликована в открытых источниках.
Все просто как всегда, нужно отправить человеку, который использует клиент ICQ 6 всего одну строку %020000000s. Уязвимость существует из-за ошибки при обработке сообщений, содержащих символы форматной строки. Проще говоря, сообщение %020000000s аська 6 попытается преобразить в 20 млн. сообщений, что в пару секунд приводит к зависанию аськи и компа (в зависимости от конфигурации вашего компьютера можете помучаться подольше).
Так вот теперь о войне. Не долго думая, не слишком умные товарищи для начала начали рассылать это сообщение своим друзьям, у кого установлен клиент аська 6. Естественно друзья тут же выпадали из онлайн.
Список виртуальных трупов растет не по дням, не по часам, а по минутам. На одном из форумов шустрый юзер радостно сообщает, что всех своих знакомых уже потушил, теперь думает искать других юзеров с аськой 6.
Мораль всей истории такова. Качайте QIP. Его конечно тоже взломают рано или поздно, но пока это самый надежный клиент.
Обсудить на форумах ВФТопку
Категория: (Гостинная) Автор: MaxGal Опубликовано: 14-02-2008
Все, кина не будет. Ядро Линукс под ударом критических багов. Как сообщает КиберСекьюрити в последних версиях операционной системы Linux были обнаружены множественные уязвимости, часть из которых классифицирована как критические. Опасности подвержены почти все популярные Linux-дистрибутивы, в том числе Ubuntu, Suse, Red Hat, Mandriva и Debian.
По данным исследовательской компании SecurityFocus, уязвимости затрагивают ядра с 2.6.18 по 2.6.24. Последняя доступная версия ядра 2.6.24.1 уже не подвержена новым багам, однако она не входит в состав ни одного из популярных дистрибутивов.
В SecurityFocus отмечают, что сегодняшнее раскрытие ошибок в ядре Linux стало самым крупным за последний год. Однако пользователи корпоративных коммерческих дистрибутивов, таких как Red Hat или Suse, еще вчера вечером получили обновленные версии текущих ядер для ОС и могли их загрузить.
По информации US National Vulnerability Database, наиболее серьезный баг в ядре был связан с подделкой системных вызовов, что дает атакуюущему неограниченный доступ в системе.
Ситуацию усугубляет и то, что эксплоиты для уязвимостей уже размемещены в интернете (http://www.milw0rm.com/exploits/5092).
Пользователям коммерческих Linux рекомендуется безотлагательно обновить ядро ОС и перезагрузить системы. Тем же у кого нет коммерческих подписок SecurityFocus предложила вручную ставить заплатки – http://www.securityfocus.com/bid/27704/solution
