Новини: змагання Mobile Pwn2Own, нова альтернатива CAPTCHA та Linux-бекдор
22:42 17.11.2013За повідомленням www.opennet.ru, на змаганні Mobile Pwn2Own продемонстрований успішний взлом браузера Chrome.
Підведено підсумки чергового змагання Mobile Pwn2Own, у рамках якого були представлені працюючі експлоіти для раніше невідомих уразливостей у мобільних версіях браузерів Chrome, IE 11 і Safari. Успішні атаки були продемонстровані для Android-версії Chrome на смартфонах Google Nexus 4 і Samsung Galaxy S4, IE 11 на планшеті Surface Pro з Windows 8.1, а також для Safari на iPhone 5.
Компанія Google вже оперативно випустила оновлення Chrome 31.0.1650.57, у якому усунуті виявлені критичні уразливості. Дані уразливості не специфічні для мобільної версії і також виявляються в Chrome для Linux, OS X і Windows.
Зазначу, що в березні на Pwn2Own 2013 були взломані Chrome, Firefox, IE 10, Windows 8 і Java.
За повідомленням www.xakep.ru, Keypic: ще одна альтернатива CAPTCHA.
З’являється усе більше доказів, що тести CAPTCHA у їхньому теперішньому вигляді відживають останні дні. Ринку терміново потрібні альтернативні рішення. І вони є. Один із самих незвичайних варіантів пропонує компанія Keypic.
Її захисна технологія діє непомітно для користувача. Ніяких питань, ніякого тексту на різнобарвному тлі - нічого. Перевірка “людина/робот” здійснюється в автоматичному режимі приблизно по десяти параметрах.
За повідомленням www.opennet.ru, Linux-бекдор, що організує прихований канал зв’язку в легітимному мережевому трафіку.
Компанія Symantec у результаті розбору атаки на одного з великих хостинг-провайдерів виявила новий вид бекдору для GNU/Linux. Бекдор виконаний у формі розділюваної бібліотеки, що перехоплює ряд стандартних викликів, таких як read, EVP_CipherInit, fork і ioctl. Бібліотека зв’язується з працюючими на системі мережевими процесами, такими як sshd, бере на себе обробку даних викликів і одержує контроль над трафіком уражених серверних додатків.
При роботі бекдор не зберігає файлів, не створює сокетів і не ініціює мережеві з’єднання, прикриваючись у своїй активності ураженим серверним процесом, що ускладнює його виявлення.
