Отправляет email-рассылки с помощью сервиса Sendsay

BugTraq: Russian Security Newsline

  Все выпуски  

BugTraq: Russian Security Newsline 06.03.2015


BugTraq.Ru


Рассылки Subscribe.Ru
BuqTraq: Обозрение
BuqTraq: RSN
BuqTraq: БСК
Распределенные системы

Russian Security Newsline 06.03.2015

Нортон поломал IE
dl // 21.02.15 23:33
Пользователи столкнулись с вылетами при старте Internet Explorer после установки предпоследнего обновления Norton AntiVirus / Norton Internet Security. Следующее обновление исправляет проблему.
Источник: The Register
обсудить
Потенциальные проблемы с двухфакторной аутентификацией в Яндекс.Деньгах
dl // 20.02.15 19:22
Недавний не очень удачный подход Яндекса к двухфакторной аутентификации, похоже, заставил попристальней посмотреть и на другие их сервисы, в которых эта самая двухфакторность используется давно.

Разработчики еще одного решения для двухфакторной аутентификации TeddyID обратили внимание на то, что в Яндекс.Деньгах помимо традиционного получения кода транзакции через SMS используется и набирающая популярность схема TOTP (меняющийся каждые 30 секунд секретный код, который можно получить, например, с помощью Google Authenticator).

Проблема в том, что если в случае SMS вы, как правило, получаете не только код, но и информацию о транзакции (т.е. вы четко представляете, передачу какой суммы и куда подтверждаете), передать ее при использовании TOTP физически невозможно. И если на вашем компьютере завелся троян, способный подправить реквизиты вашего платежа, в SMS вы эту правку немедленно увидите, а c помощью Google Authenticator - уж что ушло, то ушло.

В качестве демонстрации легкости подобной подмены было даже создано расширение для Chrome, активирующееся при попытке пополнить счет мобильного через Яндекс.Деньги на сумму менее 20 рублей. Расширение на лету увеличит последнюю цифру номера пополняемого телефона на единицу.

Строго говоря, подобные проблемы характерны не только для Яндекс.Денег, ряд банков использует аналогичный механизм, исключающий передачу информации о транзакции при подтверждении. Но Яндекс.Деньги все-таки достаточно популярны, чтобы подобная уязвимость из теоретической превратилась в практически используемую.
Источник: TeddyID
обсудить




Также в выпуске:
Microsoft взялась за Superfish // 20.02.15 20:20
Андроидный троян, работающий после выключения смартфона // 20.02.15 18:22
uTorrent решил оприходовать простаивающие процессоры // 06.03.15 16:52

Другие обновления на сайте:

BugTraq - обозрение #364 // 20.02.15 20:20
- Microsoft взялась за Superfish;
- Потенциальные проблемы с двухфакторной аутентификацией в Яндекс.Деньгах;
- Андроидный троян, работающий после выключения смартфона;
- Крупная утечка ключей шифрования SIM-карт;
- Lenovo опубликовала инструкцию по избавлению от Superfish;



Третья пятерка из рейтинга статей:

Хаос. Часть 6 [9.25] 03.08.04 01:11
Лабиринт. Часть 2 [9.19] 28.03.07 00:24
В Финляндии с интернет-зависимостью не берут в армию [9.19] 04.08.04 03:17
Тестер. Часть 3 [9.15] 04.02.06 02:23
Проверка целостности установленной linux-системы перед использованием [9.15] 21.08.03 19:47

Самые популярные темы форума за последнюю неделю:


[hacking]
"Лаборатория Касперского" обнаружила уникальную американскую программу кибершпионажа [257]
[site updates]
[lj] гуглексное [85]
[humor]
Без мышей [62]
[site updates]
uTorrent решил оприходовать простаивающие процессоры [1]

Самые обсуждаемые темы форума за последнюю неделю:


[humor]
Без мышей
[hacking]
"Лаборатория Касперского" обнаружила уникальную американскую программу кибершпионажа
[site updates]
[lj] гуглексное
[site updates]
uTorrent решил оприходовать простаивающие процессоры



Ведущий рассылки:
Дмитрий Леонов, http://gplus.to/dmitry.leonov/


В избранное