Новини: бекдор в OpenX, уразливий PRNG в Android та дірявий Facebook
22:41 17.08.2013За повідомленням www.opennet.ru, в OpenX виявлений бекдор.
У коді OpenX, відкритого движка для організації показу онлайн реклами, виявлений бекдор. Наявність бекдора підтверджена у версії 2.8.10, але за заявою дослідників безпеки шкідливий код поставлявся починаючи з листопада 2012 року. Розробники проекту підвердили даний інцидент і радять усім користувачам оновити OpenX до версії 2.8.11.
Про бекдори у веб додатках я вже писав неодноразово і це черговий випадок.
За повідомленням www.xakep.ru, Google підтвердила баг у генераторі псевдовипадкових чисел під Android.
Розробник Алекс Клюбін з компанії Google підтвердив наявність уразливості в криптографічному модулі Java Cryptography Architecture, що використовується додатками Android для генерації ключів, підпису і генерації псевдовипадкових чисел. Уразливість пов’язана з некоректною реалізацією генератора псевдовипадкових чисел (PRNG) в операційній системі.
Він опублікував повідомлення в блозі для розробників Android незабаром після того, як стало відомо про крадіжку як мінімум 55 BTC з одного з біткоін-гаманців, згенерованих у Android-додатку.
За повідомленням bugtraq.ru, Facebook засвітив особисті дані шести мільйонів користувачів за рік.
Помилка в реалізації механізму “Download Your Information” привела до того, що користувач при завантаженні своїх даних міг прихопити й електронну пошту/телефони інших користувачів зі свого списку контактів або тих, з ким він був яким-небудь чином пов’язаний у соціальній мережі.
Витоки ці почалися ще в 2012, але розробники усунули уразливість лише наприкінці червня. Загальне число потерпілих оцінюється в шість мільйонів.
Те, що Facebook дірявий, я писав неодноразово. Витоки інформації та інші уразливості там знаходять увесь час. Сам знаходив багато уразливостей на сайтах цієї соцмережі.