Новини: уразливість в OpenSSL, захист браузерів від шкідливого ПЗ і дірявий Android
22:45 26.04.2014За повідомленням www.opennet.ru, в OpenSSL виявлена критична уразливість, що може привести до витоку закритих ключів.
У OpenSSL виявлена одна із самих серйозних уразливостей (CVE-2014-0160) в історії проекту, що стосується величезного числа сайтів, серверних систем і клієнтських додатків, що використовують OpenSSL 1.0.1 для організації обміну даними через захищене з’єднання. Суть проблеми виявляється в можливості доступу до 64 Кб пам’яті клієнтського чи серверного процесу з яким встановлене шифроване з’єднання.
Практична небезпека уразливості пов’язана з тим, що в підданому витоку області пам’яті можуть розміщатися закриті ключі чи паролі доступу, що потенційно можуть бути витягнуті віддаленим зловмисником. Уразливість має місце в коді реалізації TLS-розширення heartbeat.
За повідомленням threatpost.ru, NSS оцінила браузерний захист від шкідливого ПЗ.
Дослідницька компанія NSS Labs опублікувала результати перевірки ефективності популярних веб-браузерів як засобу захисту від шкідливих програм, розповсюджуваних за допомогою соціальної інженерії. Крім п’яти регулярних учасників експерти випробували також трьох новачків - китайські браузери Kingsoft Liebao, Qihoo 360 Safe Browser і Sogou Explorer.
Кращі результати, як і раніше, продемонстрував Internet Explorer, що лідирував по всіх основних показниках. Ефективність блокування IE під час іспитів у середньому склала 99,9%. На другому місці браузер Liebao, на третьому Google Chrome.
У тестуванні NSS завжди перемагає IE. Результат передбачуваний, як це завжди буває в проплачених Microsoft дослідженнях .
За повідомленням www.opennet.ru, платформа Android уразлива до атаки PileUp.
Дослідники з Індіанського університету і компанії Microsoft опублікували статтю, у якій описали новий клас уразливостей у Package Management Service на платформі Android. Уразливими на даний момент є всі апарати, що працюють під керуванням Android, для яких є оновлення на наступну головну версію, ще не встановлене користувачем.
Суть PileUp уразливості полягає в наступному. Різні версії ОС Android мають різний набір дозволів для додатків і в нових версіях ОС цей набір розширюється. Зловмисник може підготувати додаток, що запитує доступ до привілейованих операцій, що з’явились у свіжій версії платформи.
Також була виявлена небезпечна DoS уразливість в Android 2.3, 4.2.2, 4.3 і можливо інших випусках. Встановлення підготовленого зловмисниками пакета APK може привести до зациклених перезавантажень, що не усуваються, тобто приводить до непрацездатності пристрою до виконання перепрошивання.