Принцип IBM

Машина должна работать, а человек — думать.

Турист спрашивает у местного жителя: - Вы мне не подскажете, как попасть на эту гору? ...

В Chrome появится поддержка ссылок на отдельные слова и фразы в тексте
Sat, 16 Feb 2019 10:48:24 +0300

Развитие Fedora Atomic Host прекращено в пользу проекта Fedora CoreOS
Sat, 16 Feb 2019 09:59:34 +0300

Представлен новый интерфейс браузера Opera
Fri, 15 Feb 2019 07:53:42 +0300

Обновление пакета с ядром для Ubuntu привело к проблемам с загрузкой на некоторых ноутбуках
Mon, 11 Feb 2019 08:25:02 +0300

Google представил механизм Adiantum для быстрого шифрования накопителей
Sun, 10 Feb 2019 22:52:09 +0300

FreedomEV - открытая надстройка для информационной системы автомобилей Tesla
Sat, 09 Feb 2019 23:25:16 +0300

В SUSE/openSUSE будет отключено автоопределение нетипичных файловых систем
Sat, 09 Feb 2019 09:45:28 +0300

Проект GTK+ объявил о переименовании в GTK
Fri, 08 Feb 2019 19:31:46 +0300

Фонд свободного ПО сертифицировал материнскую плату и ПК Vikings D8
Fri, 08 Feb 2019 08:59:57 +0300

В открытую платформу обмена сообщениями Mattermost инвестировано 20 млн долларов
Thu, 07 Feb 2019 09:47:47 +0300

Для Firefox развивается режим строгой изоляции страниц
Thu, 07 Feb 2019 09:09:44 +0300

Для Chrome реализован режим экономии ресурсов
Wed, 06 Feb 2019 12:40:48 +0300

Google опубликовал браузерное дополнение для оценки компрометации паролей
Wed, 06 Feb 2019 12:40:16 +0300

Для Fedora утверждён метод подсчёта пользователей, не использующий UUID
Wed, 06 Feb 2019 09:24:03 +0300

В Firefox 67 ожидается блокировщик скриптов для майнинга и скрытой идентификации
Tue, 05 Feb 2019 09:24:04 +0300

Новости OPENNET
Новости

Facebook раскрыл сведения об инциденте с безопасностью, в результате которого атакующие получили контроль как минимум за 50 миллионами учётных записей пользователей социальной сети. В качестве превентивной меры отозваны ключи аутентификации сеанса у 90 млн пользователей, которых потенциально могла затронуть атака.

Получение контроля за учётными записями третьим лицом стало возможным благодаря выявлению трёх ошибок, по отдельности не представляющих большой опасности, но в сочетании дающих возможность провести целенаправленную атаку. Первая ошибка проявляется при использовании функции "View As", позволяющей пользователю оценить как будет выглядеть его страница глазами другого участника. Проблема связана с тем, что несмотря на то, что при просмотре профиля в данном режиме загрузчик видео не должен отображаться, в некоторых условиях он всё же показывается, например, при наличии предложения отправить поздравление о дне рождения.

Вторая ошибка присутствует в самом загрузчике видео, в котором некорректно используется функциональность единого входа (single signon). В частности, загрузчик генерирует токен доступа, имеющий полномочия как у мобильного приложения Facebook, что даёт заметно больше прав, чем необходимо для использования функциональности единой точки входа.

Третья ошибка проявляется когда загрузчик видео показывается на страницах в режиме "View As". Подразумевается, что показ загрузчика видео в данном режиме исключён, но из-за первой ошибки, его отображение всё же становится возможным. При показе в режиме "View As" загрузчик создаёт токен доступа, что также не должно происходить, но выполняется из-за второй ошибки. Суть третьей ошибки в том, что токен создаётся не для пользователя, просматривающего свою страницу в режиме "View As", а для другого пользователя, для которого оценивается как будет выглядеть страница. Таким образом, атакующий может получить токены доступа к учётным записям сторонних пользователей, просматривая определённым образом оформленный пост глазами других участников при помощи режима "View As".

16 сентября инженерами Facebook был зафиксирован всплеск аномальной активности. Анализ данного всплеска позволил определить наличие вредоносной деятельности и воссоздать метод проведения атаки. Полностью уязвимости были определены и устранены 25 сентября. В том числе Facebook временно отключил режим "View As" и заблокировал все токены, который были получены в данном режиме (пользователям потребуется перезайти в свой аккаунт).

Всего отозваны токены 90 млн пользователей, из которых 50 млн были непосредственно атакованы и ещё 40 млн, которые использовали функцию "View As" с момента появления уязвимости (начиная с июля 2017 года).

Пользователи имеют возможность проанализировать свои входы и подключаемые устройства в разделе анализа сеансов, но сообщается, что атакующие ограничились получением токенов (получение токена не отражается в логе входов), но до блокировки не успели массово ими воспользоваться.

Влияние атаки может быть значительно шире, чем предполагается, так полученные токены могли использоваться не только для входа в Facebook, но для подключения к любым сайтам и приложениям, использующим Facebook в качестве провайдера для идентификации. Пока не ясно имела ли атака целевой характер и была ли сосредоточена на определённой категории пользователей или регионе. Тем не менее уже объявлено, что в числе скомпрометированных учётных записей были аккаунты Марка Цукерберга и Шерил Сэндберг (исполнительный директор Facebook).

Интересно, что вчера исследователь безопасности из Тайваня заявил о намерении провести live-трансляцию удаления учётной записи Марка Цукерберга. Позднее исследователь отменил трансляцию и сообщил, что передал информацию о проблеме в Facebook. Детали уязвимости будут опубликованы после оплаты вознаграждения, вручаемого в рамках программы содействия исследователям безопасности. На пресс-конференции, посвящённой проблеме с получением токенов для 50 миллионами учётных записей, было упомянуто, что это разные уязвимости.

66.7044 75.2492 0.6048 9.8386

НОВОСТИ: Опубликована техника скрытия вредоносного кода в анклавах Intel ... Tue, 12 Feb 2019 14:44:14 +0300

Группа исследователей из Грацского технического университета (Австрия), ранее известная разработкой техники атаки NetSpectre и метода эксплуатация уязвимости в DRAM-памяти через локальную сеть, продемонстрировала (PDF) метод скрытия вредоносного кода при помощи изолированных анклавов Intel SGX и организации контроля за основной системой из выполняемого в анклаве кода, в обход накладываемых анклавом ограничений.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome