(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

Десять опасностей, которых лучше избежать в Хеллоуин

Источник: crn
Сара Куранда

Страшно!

Хеллоуин на пороге, и специалистам ИТ-безопасности нужно быть начеку - иначе они рискуют испытать нешуточный испуг из-за хакеров. Прошлый месяц уже принес больше напастей, чем сластей*. Были сообщения о пугающих уязвимостях, связанных с Android, iOS, Windows, популярными приложениями, маршрутизаторами сетей и др. Профессионалам ИБ, суеверны они или нет, вряд ли захочется выглядеть так, будто им явилось привидение в этот Хеллоуин. Поэтому спешим напомнить главные страхи, которые могут-таки маячить где-то рядом.

Android в сетях LTE

Уязвимость в операционной системе Android в сетях LTE, используемых Verizon и AT&T, может позволить некорректный биллинг сотовой связи (в большую или меньшую сторону), спуфинг телефонных номеров, возможность напрямую извлекать данные с других телефонов, совершать звонки без ведома владельца, а также открыть дверь для DoS-атак на сеть оператора. Об этой уязвимости было сообщено в рекомендации, опубликованной 16 октября в общедоступной базе данных уязвимостей (CERT) Университета Карнеги-Меллона. Уязвимость вызвана отсутствием надлежащих разрешений в ОС Android для метода пакетной коммутации, используемого в сетях LTE. Похоже, она не затрагивает iOS-устройства в той же сети, говорится в сообщении. Для устранения этой уязвимости рекомендуется, чтобы каждый провайдер обновил свою сеть.

Adobe Flash - опасен!

В октябре Adobe выпустила экстренное обновление для устранения уязвимости в своем Flash Player. Это было сделано вне регулярного цикла ежемесячных обновлений, последнее из которых рассылалось лишь за несколько дней до этого. Экстренный патч устранял уязвимость, обнаруженную компанией Trend Micro и касавшуюся версий Adobe Flash для Windows, Macintosh и Linux. Уязвимость заключалась в особенностях плагинов этой программы: если программа "падала", это могло дать возможность атакующему захватить контроль над системой. Патч был выпущен после того, как было обнаружено, что эту уязвимость использовали атаки фишинга, в частности, проведенные группой под названием "Pawn Storm" против государственных структур. Вскоре после объявления об уязвимости Apple решила блокировать использование некоторых устаревших версий Flash на своих компьютерах.

Осторожно! Маршрутизаторы Netgear

Уязвимость в некоторых роутерах Netgear для SOHO, обнаруженная этим летом, была широко использована хакерами в конце сентября. Дефект ПО, выявленный специалистами из Shell Shock Labs и Compass Security, потенциально позволял хакерам перенаправить трафик на свои серверы, получив доступ к веб-интерфейсу управления по внутренней сети. По оценке исследователей, лишь одним хакером были взломаны более 10 тыс. роутеров. Netgear выпустила заплату для этой уязвимости.

Жесткие диски с недошифрованием

Если вы думаете, что лучше защищены, используя внешний жесткий диск с самошифрованием, то должны вас разочаровать. Научная статья, авторами которой указаны Gunner Alendal, Christian Kison и modg, опубликованная в конце сентября, сообщает: в ходе исследования были проанализированы шесть накопителей компании Western Digital, выпущенные в период с 2007 по 2013 г. В них были выявлены несколько уязвимостей, в том числе совершенно открытые лазейки и несколько путей утечки шифровальных ключей.

SYNful Knock бьет по Cisco

В конце сентября исследователи обнаружили, что почти 200 IP-адресов маршрутизаторов Cisco в более чем 30 странах были атакованы вредоносным встроенным ПО, известным под названием "SYNful Knock". Незадолго до этого фирма FireEye опубликовала отчет, что обнаружила 14 инфицированных роутеров. Физически внедрив это ПО в ПЗУ, атакующие получали лазейку, которая могла сохраняться даже после перезагрузок, сообщил тогда представитель Cisco на запрос CRN. Эта проблема затрагивала три давние модели маршрутизаторов: 1841, 2811 и 3825. VAR"ы ответили тогда, что не ожидают снижения продаж продукции Cisco.

Stagefright 2.0

Весьма подходящее название к празднику (букв. "пугало сцены"). Эта уязвимость вновь напомнила о себе в октябре, уже "в новой версии" Stagefright 2.0, которая затрагивает порядка 1 миллиарда Android-смартфонов. Сообщение о "первой" Stagefright поступило от фирмы Zimperium в июле. Stagefright 2.0 привязана к специально "подправленным" mp3- и mp4-файлам, позволяющим хакерам использовать их для исполнения вредоносного кода. Эта уязвимость затрагивает устройства, использующие Android версии 5.0 и старше, но есть и другая уязвимость, затрагивающая более ранние версии. Google уже выпустила патч для этой проблемы.

Fitbit Flex: опасный браслет?

Совершая пробежку после поедания всех сладостей в Хеллоуин, можно нарваться на неприятность. На конференции Hack.Lu в октябре исследователь Axelle Apvrille из фирмы Fortinet сообщил об уязвимости в популярных фитнес-браслетах Fitbit Flex. Она позволяет проникнуть в фитнес-трекер по каналу Bluetooth, после чего послать вредоносный код или ПО на компьютер. Фирма Fitbit ответила тогда, что не верит в такую уязвимость, однако приветствовала заботу исследователей.

Небезопасный WinRAR

Популярная программа упаковки файлов WinRAR имеет очень существенную уязвимость, объявили исследователи из Vulnerability Lab в октябре. Эта уязвимость, которая затрагивает версию 5.21, может позволить хакерам создать свои собственные сжатые архивы с вредоносным кодом и в конечном счете взломать компьютер. Уязвимость вызвана исполнимыми файлами пакета WinRAR, которые не позволяют проверить файл до того, как он открыт.

Проникновение в iOS 9

Android - не единственная мобильная операционная система с уязвимостью. Новейшая iOS 9 также имеет уязвимость, обнаруженную в октябре, о которой сообщил Хосе Родригес (Jose Rodriguez) на YouTube. Он показал, как можно обойти экран блокировки, получив полный доступ к фотографиям и списку контактов на смартфоне. Можно самому ликвидировать эту уязвимость на iPhone, отключив Siri, когда смартфон блокирован, или создав код доступа, включающий цифры и буквы.

Опять Windows!

В рамках своего традиционного "вторника" Microsoft выпустила, помимо прочих, критичный патч для уязвимости, которая затрагивала все версии Windows. Дефект был обнаружен в браузере Internet Explorer (новый Edge им не затронут); потенциально он позволял хакеру получить доступ к компьютеру через подставной вебсайт и использовать ошибку в том, как браузер обрабатывает объекты в памяти. Уязвимость устраняется патчем MS15-106.

___

* Обыгрывается "trick or treat" - традиционное выпрашивание сладостей в Хеллоуин. (Прим. перев.)



 Распечатать »
 Правила публикации »
  Обсудить материал в конференции Microsoft »
Обсудить материал в конференции Дизайн, графика, обработка изображений »
Написать редактору 
 Рекомендовать » Дата публикации: 29.10.2015 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
Microsoft Visual Studio Professional w/MSDN AllLng License/Software Assurance Pack OLP 1 License No Level Qualified
Microsoft Visual Studio Professional 2017 Sngl OLP 1License NoLevel
Microsoft Windows Professional 10 Sngl Upgrade OLP 1License NoLevel
Microsoft Visual Studio Professional 2017 Russian Academic OLP 1License NoLevel
Microsoft Visual Studio Professional w/MSDN AllLng Software Assurance OLP 1 License No Level Qualified
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Безопасность компьютерных сетей и защита информации
Новости ITShop.ru - ПО, книги, документация, курсы обучения
Программирование на Microsoft Access
CASE-технологии
Краткие описания программ и ссылки на них
Компьютерная библиотека: книги, статьи, полезные ссылки
 
Статьи по теме
 
Новинки каталога Download
 
Исходники
 
Документация
 
Обсуждения в форумах
Как извлечь рисунки из файла Word (40)
Вообще-то есть еще способ - сделать в Word-е Copy рисунка, открыть Microsoft Photo Editor и там:...
 
Программист более не звучит гордо (16)
Согласен. Но никак это не относится к тем, кто программирует на ассемблере. Мы - редкость....
 
Помощь по MS Access (327)
Доброе время суток. Случайно оказался на этом сайте, искал статьи по OLAP. Вижу, что...
 
И я там был (2)
И я там был, мед пиво пил, по усам текло, а в рот не попало.
 
Настройка меню "Пуск" Windows 7 при помощи реестра (2)
Скажите пожалуйста, а как можно закрепить ярлыки программ с помощью твиков реестра в левой части...
 
 
 



    
rambler's top100 Rambler's Top100