Отправляет email-рассылки с помощью сервиса Sendsay

BugTraq: Обозрение

Подписаться Бесплатная «Серебряная» новостная рассылка Подписчиков 13.832 RSS
  Декабрь 2005  
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31


За последние 60 дней 1 выпусков (1 раз в 2 месяца)


Сайт рассылки: http://www.bugtraq.ru/review/
Открыта: Давно

Автор
Дмитрий Леонов

Статистика

13.832 подписчиков
0 за неделю
  Все выпуски  

BugTraq: Обозрение #217, 19.12.2005


Информационный Канал Subscribe.Ru
BugTraq.Ru


Рассылки Subscribe.Ru
BuqTraq: Обозрение
BuqTraq: Russian Security Newsline
BuqTraq: Бред сивой кобылы
BugTraq: Закон есть закон
ЕжеПравда
Новости из мира распределенных систем



Каналы для WatzNew:
Новости сайта
Russian Security Newsline

#217, 19.12.2005

Пара резисторов вместо квантовой криптографии
dl // 18.12.05 13:52
Профессор техасского университета Ласло Киш предложил схему обеспечения безопасного канала связи, на первый взгляд дающую результаты, аналогичные тем, что пытаются достичь, вбухав миллионы долларов в квантовую криптографию. Схема проста до безобразия: обе стороны на каждом такте случайным образом подключают к двухпроводной передающей цепи резисторы, имеющие разное сопротивление (скажем, один резистор из пары с сопротивлениями 10 и 1000 Ом), после чего измеряют силу тока в цепи. Зная величину своего сопротивления, каждая сторона элементарно определяет, что подключил ее визави, в то время как постороннему наблюдателю, врезавшемуся в линию, известна только сумма сопротивлений. Переданная таким образом информация вполне может быть использована в качестве сессионного ключа для любого классического криптоалгоритма.

Разумеется, не исключено, что в схеме есть и подводные камни, которые вполне могут возникнуть при смешении дискретного мира криптографии с аналоговым миром цепей и сопротивлений. Кроме того, пропускная способность ее невелика - порядка двух килобит при километровом линке. Наконец, она защищает только от пассивного прослушивания и уязвима к аткам man-in-the-middle, поэтому требует дополнительной аутентификации. Впрочем, квантовое распределение ключей страдает примерно теми же проблемами, оставаясь на несколько порядков дороже. Да и сама идея как минимум любопытная.
Источник: Wired, Schneier on Security

Ежемесячные исправления от Microsoft
dl // 14.12.05 08:09
На этот раз два обновления, критическое и важное: кумулятивное обновления для IE, лечащее 4 уязвимости (и заодно удаляющее компонент из сониевского патча), и исправление уязвимости в ядре системы, допускающей повышение пользовательских привилегий.
Источник: MS Security Bulletins

Полку виртуальных машин прибыло
dl // 13.12.05 03:02
Parallels, Inc. объявила о выходе релиза виртуальной машины Parallels Workstation 2.0 (несмотря на номер, это первая доступная публично версия). Доступны версии для Linux и Windows, обеспечивается широкая поддержка гостевых систем, включая такую экзотику на сегодня, как OS/2 Warp и eComStation, не говоря уж о всех Windows, FreeBSD и популярных Linux'ах. Цена в 49$ за лицензию также является самой низкой в индустрии.

С технической точки зрения интерес представляет реализованная технология Lightweight Hypervisor. Встроенный в ВМ гипервизор частично отстраняет хостовую ОС от физического процессора, самостоятельно обрабатывая все прерывания и исключения. В результате достигается большая изоляции гостевых ОС, повышается стабильность и производительность.

Наконец, Parallels Workstation поддерживает Intel Virtualization Technology (VT-x) и специально оптимизирована для работы в VT-mode на новейших VT-enabled процессорах от Intel. Обещается поддержка архитектуры AMD Pacifica после того как та станет доступной.
Источник: описание продукта

Google исправляет уязвимость в Desktop Search
dl // 06.12.05 18:43
Google устранила возможность использования Google Desktop для атаки на компьютеры с Internet Explorer'ом. Уязвимость была связана с некорректной обработке CSS в IE, что позволяло атакующему создать web-страницу, запускающую, к примеру, поиск паролей на локальной системе. Поскольку проблема возникала на стыке IE и Google Desktop, Google не стала дожидаться исправлений от MS и внесла модификации в службу Desktop Search, блокирующие подобные удаленные атаки. Исправление прошло прозрачно для пользователей.

А вообще, данный случай - любопытная демонстрация того, как не слишком опасная уязвимость (передача CSS-данных из одного домена в другой), требующая очень специфических условий для использования, оказалась многократно усилена за счет возникновения этих самых условий в популярном стороннем продукте, работающем с локальными данными.
Источник: CIO Today

Файрвольные новости: Sygate out, Kerio back
dl // 02.12.05 14:23
Плохая новость для пользователей Sygate Personal Firewall : через месяц после окончательного приобретения Sygate Technologies случился вполне предсказуемый шаг - Symantec объявила о прекращении выпуска этой линейки, подсластив пилюлю обещанием специальной цены в случае апгрейда с Sygate на продукты семейства Norton.

Хорошая новость для пользователей Kerio Personal Firewall, огорченных чуть ранее известием о прекращении его выпуска по причине возросшей конкуренции и невозможности дополнить его самостоятельными антивирусными решениями. Sunbelt Software, известная своим антиспайверным продуктом CounterSpy, объявила в четверг о планируемой покупке KPF у Kerio. Приобретение будет завершено к концу месяца, первое время продукт будет выходить под именем Sunbelt Kerio Personal Firewall. Обещается поддержка текущих пользователей, сохранение политики предоставления домашним пользователям бесплатной облегченной версии и снижение цены на полный пакет после завершения сделки. Предполагается развитие и до корпоративной версии.
Источник: ZDNet, еще ZDNet

Другие обновления на сайте: Библиотека::безопасность [ http://bugtraq.ru/library/security/ ] // 18.12.05 02:23 ISO 17799: эволюция стандарта c 2002 по 2005 год // Илья Медведовский Вопросы построения интерфейсов средства защиты конфиденциальной информации // А.Ю.Щеглов Библиотека::безопасность [ http://bugtraq.ru/library/security/ ] // 09.12.05 01:37 Задача противодействия внутренним ИТ-угрозам. Актуальность и возможности решения. // А.Ю.Щеглов SSH-туннелинг, или замена VPN // Terabyte Третья пятерка из рейтинга статей: [ http://www.bugtraq.ru/library/rating/ ] Все любят мед [8.85] [ http://www.bugtraq.ru/library/security/honey.html ] 20.09.02 23:14 Теория и практика аудита и восстановления паролей Windows NT/2000/XP/2003 [8.84] [ http://bugtraq.ru/library/security/passwords.html ] 26.02.03 01:49 Расширенный межсайтовый скриптинг [8.83] [ http://bugtraq.ru/library/www/advancedxss.html ] 09.11.03 19:48 Всего через несколько секунд... Часть 3 [8.8] [ http://bugtraq.ru/library/fiction/seconds3.html ] 31.03.05 00:09 Кевин Митник: история жизни легендарного хакера [8.76] [ http://www.bugtraq.ru/library/underground/mitnik.html ] 17.09.03 00:26

Самые популярные темы на форуме за последнюю неделю:


[humor]
Найти ближайший туалет :) [11325]
[sysadmin]
Со Skype кто как борется? [1459]
[miscellaneous]
Забавная задачка (олимпиадная для 5-го класса) [358]
[site updates]
Требования к криптографической системе защиты информации от санкционированных пользователей [205]
[operating systems]
Задача встала у коллеги. [188]

Самые обсуждаемые темы на форуме за последнюю неделю:


[beginners]
Проблемы с маршрутизацией
[guestbook]
Про ссылки
[dnet]
[OGR] OGR-P2 or RC5-72?
[operating systems]
[Unix] Проблемма с натройкой pptp-клиента под FreeBSD 6.0 RC1
[dnet]
[RC5] Nod32 убивает корову


Ведущий рассылки - Дмитрий Леонов
http://www.bugtraq.ru

Subscribe.Ru
Поддержка подписчиков
Другие рассылки этой тематики
Другие рассылки этого автора		 Подписан адрес:
Код этой рассылки: inet.bugtraq
Архив рассылки		 Отписаться
Вспомнить пароль
В избранное