Отправляет email-рассылки с помощью сервиса Sendsay

BugTraq: Обозрение

  Все выпуски  

BugTraq: Обозрение #251, 31.12.2007


BugTraq.Ru


Рассылки Subscribe.Ru
BuqTraq: Обозрение
BuqTraq: Russian Security Newsline
BuqTraq: Бред сивой кобылы
BugTraq: Закон есть закон
ЕжеПравда
Новости из мира распределенных систем



Каналы для WatzNew:
Новости сайта
Russian Security Newsline

#251, 31.12.2007

Сбербанк использует общий почтовый ящик на mail.ru для раздачи обновлений системы клиент-банк
dl // 25.12.07 22:38
Клиенты Сбербанка стали получать от последнего предложения обновить АРМ Клиент-Сбербанк, зайдя в "тестовый почтовый ящик" на mail.ru, логин и пароль которого прилагались. Об уникальности логина говорить не приходится, просто обычная файлопомойка на общем аккаунте веб-почты - схема, иногда используемая в варезных кругах. Со всеми присущими ей очевидными дырками.

Крышесносяще. 21 век, цифровая подпись, ГОСТы, принцип враждебного окружения, безопасное распределение ключей - иль это все сон? Одно непонятно, зачем вообще при том коммунизме, в котором витает дух автора идеи, какие-то системы клиент-банк.
Источник: blog.lexa.ru


Perl'у 20
dl // 19.12.07 17:59
Вчера одному из самых популярных скриптовых языков стукнуло 20 лет - 18.12.1987 Ларри Уолл (Larry Wall) выпустил в свет Perl 1. В качестве подарка к юбилею Perl5Porters выпустили Perl 5.10.0, включающий ряд усовершенствований - ускоренный движок для регулярных выражений, статические переменные в функциях, аналог оператора switch (даже не сказать "не прошло и двадцати лет") и т.п.
Источник: OReilly Network


Совместная уязвимость GMail и IE дает возможность захвата аккаунтов
dl // 19.12.07 15:44
Уязвимость в механизме кэширования IE в сочетании с веб-службами, подверженными атакам класса CSRF (cross-site request forgery), приводит к возможности атаки на почтовый аккаунт, если жертва использовала тот же локальный пользовательский аккаунт, что и атакующий (вполне обычное дело для всяких интернет-кафе и прочих публично доступных компьютеров).

Суть проблемы в том, что IE кэширует слишком много и не слишком торопится чистить кэш, а на сохраненных страницах GMail остаются пути с идентификаторами сессий (для аттачей в основном), которые могут быть использованы при последующей атаке. Microsoft вполне резонно заявила, что не считает это уязвимостью IE - кэширование на то и кэширование, что сохраняет пришедшие страницы as is. Ну а пока гуглевские программисты не научатся блокировать использованные идентификаторы сессий после выхода пользователя из системы, все, что остается делать на публичных компьютерах - полностью очищать кэш IE после выхода из GMail.
Источник: InfoWorld


Начался прием статей на конкурс BugTraq'08 [ http://bugtraq.ru/library/contest/ ] Третья пятерка из рейтинга статей: [ http://bugtraq.ru/library/rating/ ] Планета CC. Золотое время Carderplanet. [9] [ http://bugtraq.ru/library/underground/planetacc.html ] 05.09.06 01:37 История с WMF [9] [ http://bugtraq.ru/review/selecta/wmf.html ] 02.02.06 00:00 Теория и практика аудита и восстановления паролей Windows NT/2000/XP/2003 [8.94] [ http://bugtraq.ru/library/security/passwords.html ] 26.02.03 01:49 Dont feed forum trolls. Форумные тролли паразиты Сети. [8.9] [ http://bugtraq.ru/library/underground/trolls.html ] 28.03.07 00:34 Space dot com [8.88] [ http://bugtraq.ru/library/fiction/spacedotcom.html ] 16.04.06 05:26

Начался прием статей на конкурс BugTraq'08

Самые популярные темы форума за последнюю неделю:


[site updates]
Сбербанк использует общий почтовый ящик на mail.ru для раздачи обновлений системы клиент-банк [361]
[hacking]
Протоколирование/наблюдение за обращением процесса к секторам жесткого диска [339]
[dnet]
Повергнем буржуинов в окончательное смятение [198]
[dnet]
[RC5] сори за повтор, но дайте ссылку! [163]
[miscellaneous]
Vista возглавила список разочарований года [143]

Самые обсуждаемые темы форума за последнюю неделю:


[dnet]
Повергнем буржуинов в окончательное смятение
[beginners]
Привет! Такой вопрос: прислали мне по почте диск(dvd), на...
[miscellaneous]
Всех с Новым 2008 Годом!!!
[programming]
[Win32] Две проблемы с передачей сообщения thred-у
[miscellaneous]
Лебедев перенес выпуск клавиатуры Optimus на февраль 2008 года :)



Ведущий рассылки - Дмитрий Леонов
http://www.bugtraq.ru


В избранное