(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

Десять опасностей, которых лучше избежать в Хеллоуин

Источник: crn
Сара Куранда

Страшно!

Хеллоуин на пороге, и специалистам ИТ-безопасности нужно быть начеку - иначе они рискуют испытать нешуточный испуг из-за хакеров. Прошлый месяц уже принес больше напастей, чем сластей*. Были сообщения о пугающих уязвимостях, связанных с Android, iOS, Windows, популярными приложениями, маршрутизаторами сетей и др. Профессионалам ИБ, суеверны они или нет, вряд ли захочется выглядеть так, будто им явилось привидение в этот Хеллоуин. Поэтому спешим напомнить главные страхи, которые могут-таки маячить где-то рядом.

Android в сетях LTE

Уязвимость в операционной системе Android в сетях LTE, используемых Verizon и AT&T, может позволить некорректный биллинг сотовой связи (в большую или меньшую сторону), спуфинг телефонных номеров, возможность напрямую извлекать данные с других телефонов, совершать звонки без ведома владельца, а также открыть дверь для DoS-атак на сеть оператора. Об этой уязвимости было сообщено в рекомендации, опубликованной 16 октября в общедоступной базе данных уязвимостей (CERT) Университета Карнеги-Меллона. Уязвимость вызвана отсутствием надлежащих разрешений в ОС Android для метода пакетной коммутации, используемого в сетях LTE. Похоже, она не затрагивает iOS-устройства в той же сети, говорится в сообщении. Для устранения этой уязвимости рекомендуется, чтобы каждый провайдер обновил свою сеть.

Adobe Flash - опасен!

В октябре Adobe выпустила экстренное обновление для устранения уязвимости в своем Flash Player. Это было сделано вне регулярного цикла ежемесячных обновлений, последнее из которых рассылалось лишь за несколько дней до этого. Экстренный патч устранял уязвимость, обнаруженную компанией Trend Micro и касавшуюся версий Adobe Flash для Windows, Macintosh и Linux. Уязвимость заключалась в особенностях плагинов этой программы: если программа "падала", это могло дать возможность атакующему захватить контроль над системой. Патч был выпущен после того, как было обнаружено, что эту уязвимость использовали атаки фишинга, в частности, проведенные группой под названием "Pawn Storm" против государственных структур. Вскоре после объявления об уязвимости Apple решила блокировать использование некоторых устаревших версий Flash на своих компьютерах.

Осторожно! Маршрутизаторы Netgear

Уязвимость в некоторых роутерах Netgear для SOHO, обнаруженная этим летом, была широко использована хакерами в конце сентября. Дефект ПО, выявленный специалистами из Shell Shock Labs и Compass Security, потенциально позволял хакерам перенаправить трафик на свои серверы, получив доступ к веб-интерфейсу управления по внутренней сети. По оценке исследователей, лишь одним хакером были взломаны более 10 тыс. роутеров. Netgear выпустила заплату для этой уязвимости.

Жесткие диски с недошифрованием

Если вы думаете, что лучше защищены, используя внешний жесткий диск с самошифрованием, то должны вас разочаровать. Научная статья, авторами которой указаны Gunner Alendal, Christian Kison и modg, опубликованная в конце сентября, сообщает: в ходе исследования были проанализированы шесть накопителей компании Western Digital, выпущенные в период с 2007 по 2013 г. В них были выявлены несколько уязвимостей, в том числе совершенно открытые лазейки и несколько путей утечки шифровальных ключей.

SYNful Knock бьет по Cisco

В конце сентября исследователи обнаружили, что почти 200 IP-адресов маршрутизаторов Cisco в более чем 30 странах были атакованы вредоносным встроенным ПО, известным под названием "SYNful Knock". Незадолго до этого фирма FireEye опубликовала отчет, что обнаружила 14 инфицированных роутеров. Физически внедрив это ПО в ПЗУ, атакующие получали лазейку, которая могла сохраняться даже после перезагрузок, сообщил тогда представитель Cisco на запрос CRN. Эта проблема затрагивала три давние модели маршрутизаторов: 1841, 2811 и 3825. VAR"ы ответили тогда, что не ожидают снижения продаж продукции Cisco.

Stagefright 2.0

Весьма подходящее название к празднику (букв. "пугало сцены"). Эта уязвимость вновь напомнила о себе в октябре, уже "в новой версии" Stagefright 2.0, которая затрагивает порядка 1 миллиарда Android-смартфонов. Сообщение о "первой" Stagefright поступило от фирмы Zimperium в июле. Stagefright 2.0 привязана к специально "подправленным" mp3- и mp4-файлам, позволяющим хакерам использовать их для исполнения вредоносного кода. Эта уязвимость затрагивает устройства, использующие Android версии 5.0 и старше, но есть и другая уязвимость, затрагивающая более ранние версии. Google уже выпустила патч для этой проблемы.

Fitbit Flex: опасный браслет?

Совершая пробежку после поедания всех сладостей в Хеллоуин, можно нарваться на неприятность. На конференции Hack.Lu в октябре исследователь Axelle Apvrille из фирмы Fortinet сообщил об уязвимости в популярных фитнес-браслетах Fitbit Flex. Она позволяет проникнуть в фитнес-трекер по каналу Bluetooth, после чего послать вредоносный код или ПО на компьютер. Фирма Fitbit ответила тогда, что не верит в такую уязвимость, однако приветствовала заботу исследователей.

Небезопасный WinRAR

Популярная программа упаковки файлов WinRAR имеет очень существенную уязвимость, объявили исследователи из Vulnerability Lab в октябре. Эта уязвимость, которая затрагивает версию 5.21, может позволить хакерам создать свои собственные сжатые архивы с вредоносным кодом и в конечном счете взломать компьютер. Уязвимость вызвана исполнимыми файлами пакета WinRAR, которые не позволяют проверить файл до того, как он открыт.

Проникновение в iOS 9

Android - не единственная мобильная операционная система с уязвимостью. Новейшая iOS 9 также имеет уязвимость, обнаруженную в октябре, о которой сообщил Хосе Родригес (Jose Rodriguez) на YouTube. Он показал, как можно обойти экран блокировки, получив полный доступ к фотографиям и списку контактов на смартфоне. Можно самому ликвидировать эту уязвимость на iPhone, отключив Siri, когда смартфон блокирован, или создав код доступа, включающий цифры и буквы.

Опять Windows!

В рамках своего традиционного "вторника" Microsoft выпустила, помимо прочих, критичный патч для уязвимости, которая затрагивала все версии Windows. Дефект был обнаружен в браузере Internet Explorer (новый Edge им не затронут); потенциально он позволял хакеру получить доступ к компьютеру через подставной вебсайт и использовать ошибку в том, как браузер обрабатывает объекты в памяти. Уязвимость устраняется патчем MS15-106.

___

* Обыгрывается "trick or treat" - традиционное выпрашивание сладостей в Хеллоуин. (Прим. перев.)



 Распечатать »
 Правила публикации »
  Обсудить материал в конференции Microsoft »
Обсудить материал в конференции Дизайн, графика, обработка изображений »
Написать редактору 
 Рекомендовать » Дата публикации: 29.10.2015 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
Microsoft Office 365 Бизнес премиум. Подписка на 1 рабочее место на 1 год
Microsoft Office 365 Профессиональный Плюс. Подписка на 1 рабочее место на 1 год
Microsoft SQL CAL 2017 Sngl OLP 1License NoLevel DvcCAL
Microsoft System Center Standard Core Sngl License/Software Assurance Pack OLP 2Licenses NoLevel CoreLic Qualified
Microsoft Visual Studio Professional w/MSDN AllLng License/Software Assurance Pack OLP 1 License No Level Qualified
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Безопасность компьютерных сетей и защита информации
Новости ITShop.ru - ПО, книги, документация, курсы обучения
Программирование на Microsoft Access
CASE-технологии
Один день системного администратора
Программирование на Visual С++
 
Статьи по теме
 
Новинки каталога Download
 
Исходники
 
Документация
 
Обсуждения в форумах
Как извлечь рисунки из файла Word (42)
Вообще-то есть еще способ - сделать в Word-е Copy рисунка, открыть Microsoft Photo Editor и там:...
 
Сдача экзаменов Microsoft гарантия 100% (13)
Сдача экзаменов Microsoft гарантия 100%. Дополнительная информация по E-mail.
 
Подключение JavaScript (305)
Всем привет! Я подключаю JavaScript нижеприведенным образом. Код: <script...
 
Как восстановить рабочий стол? Помогите срочно надо! (3)
Windows 7 максимальная. В учетной записи сменила пароль и выключила комп, после включения...
 
Пять возможностей Windows, о которых вы могли не знать (5)
пыщпыщ
 
 
 



    
rambler's top100 Rambler's Top100