Неравенство естественным образом приводит к материализации высшего класса, опошлению среднего и озверению низшего.

- Дети, придумайте предложения со словами "некто" и "нечто". Пожалуйста, ...

Госучреждения Южной Кореи планируют перевести на Linux
Mon, 20 May 2019 23:36:17 +0300

Google ограничит доступ Huawei к своим сервисам для Android
Mon, 20 May 2019 08:35:29 +0300

Названы открытые образовательные проекты, получившие 15 млн долларов от фонда XPRIZE
Sun, 19 May 2019 09:39:29 +0300

Cloudflare, Mozilla и Facebook развивают BinaryAST для ускорения загрузки JavaScript
Fri, 17 May 2019 20:13:47 +0300

Microsoft открыл код библиотеки векторного поиска, используемой в Bing
Fri, 17 May 2019 10:18:44 +0300

Фонд свободного ПО сертифицировал звуковые карты и WiFi-адаптеры ThinkPenguin
Fri, 17 May 2019 09:08:30 +0300

Фонд Khronos создаёт рабочую группу по развитию открытых стандартов 3D-коммерции
Thu, 16 May 2019 22:32:19 +0300

В Firefox будут убраны настройки для отключения многопроцессного режима
Thu, 16 May 2019 08:24:50 +0300

Intel развивает открытую прошивку ModernFW и гипервизор на языке Rust
Wed, 15 May 2019 23:41:59 +0300

Проект по избавлению GNOME от ошибок и недоработок, проявляющихся при работе поверх Wayland
Wed, 15 May 2019 12:14:47 +0300

В OpenBSD-CURRENT добавлена утилита sysupgrade для автоматического обновления
Tue, 14 May 2019 00:05:09 +0300

GitHub ввёл в строй реестр пакетов, совместимый с NPM, Docker, Maven, NuGet и RubyGems
Sat, 11 May 2019 15:36:17 +0300

Linux-дистрибутиву MagOS исполнилось 10 лет
Sat, 11 May 2019 06:35:35 +0300

В Chrome появится защита от передачи сторонних Cookie и скрытой идентификации
Fri, 10 May 2019 10:30:06 +0300

Сделка по покупке NGINX компанией F5 Networks успешно завершена
Thu, 09 May 2019 21:30:19 +0300

Новости OPENNET
Новости

Facebook раскрыл сведения об инциденте с безопасностью, в результате которого атакующие получили контроль как минимум за 50 миллионами учётных записей пользователей социальной сети. В качестве превентивной меры отозваны ключи аутентификации сеанса у 90 млн пользователей, которых потенциально могла затронуть атака.

Получение контроля за учётными записями третьим лицом стало возможным благодаря выявлению трёх ошибок, по отдельности не представляющих большой опасности, но в сочетании дающих возможность провести целенаправленную атаку. Первая ошибка проявляется при использовании функции "View As", позволяющей пользователю оценить как будет выглядеть его страница глазами другого участника. Проблема связана с тем, что несмотря на то, что при просмотре профиля в данном режиме загрузчик видео не должен отображаться, в некоторых условиях он всё же показывается, например, при наличии предложения отправить поздравление о дне рождения.

Вторая ошибка присутствует в самом загрузчике видео, в котором некорректно используется функциональность единого входа (single signon). В частности, загрузчик генерирует токен доступа, имеющий полномочия как у мобильного приложения Facebook, что даёт заметно больше прав, чем необходимо для использования функциональности единой точки входа.

Третья ошибка проявляется когда загрузчик видео показывается на страницах в режиме "View As". Подразумевается, что показ загрузчика видео в данном режиме исключён, но из-за первой ошибки, его отображение всё же становится возможным. При показе в режиме "View As" загрузчик создаёт токен доступа, что также не должно происходить, но выполняется из-за второй ошибки. Суть третьей ошибки в том, что токен создаётся не для пользователя, просматривающего свою страницу в режиме "View As", а для другого пользователя, для которого оценивается как будет выглядеть страница. Таким образом, атакующий может получить токены доступа к учётным записям сторонних пользователей, просматривая определённым образом оформленный пост глазами других участников при помощи режима "View As".

16 сентября инженерами Facebook был зафиксирован всплеск аномальной активности. Анализ данного всплеска позволил определить наличие вредоносной деятельности и воссоздать метод проведения атаки. Полностью уязвимости были определены и устранены 25 сентября. В том числе Facebook временно отключил режим "View As" и заблокировал все токены, который были получены в данном режиме (пользователям потребуется перезайти в свой аккаунт).

Всего отозваны токены 90 млн пользователей, из которых 50 млн были непосредственно атакованы и ещё 40 млн, которые использовали функцию "View As" с момента появления уязвимости (начиная с июля 2017 года).

Пользователи имеют возможность проанализировать свои входы и подключаемые устройства в разделе анализа сеансов, но сообщается, что атакующие ограничились получением токенов (получение токена не отражается в логе входов), но до блокировки не успели массово ими воспользоваться.

Влияние атаки может быть значительно шире, чем предполагается, так полученные токены могли использоваться не только для входа в Facebook, но для подключения к любым сайтам и приложениям, использующим Facebook в качестве провайдера для идентификации. Пока не ясно имела ли атака целевой характер и была ли сосредоточена на определённой категории пользователей или регионе. Тем не менее уже объявлено, что в числе скомпрометированных учётных записей были аккаунты Марка Цукерберга и Шерил Сэндберг (исполнительный директор Facebook).

Интересно, что вчера исследователь безопасности из Тайваня заявил о намерении провести live-трансляцию удаления учётной записи Марка Цукерберга. Позднее исследователь отменил трансляцию и сообщил, что передал информацию о проблеме в Facebook. Детали уязвимости будут опубликованы после оплаты вознаграждения, вручаемого в рамках программы содействия исследователям безопасности. На пресс-конференции, посвящённой проблеме с получением токенов для 50 миллионами учётных записей, было упомянуто, что это разные уязвимости.

64.4888 71.9631 0.5856 9.3265

НОВОСТИ: Релиз Linux-дистрибутива Peppermint 10 Sat, 18 May 2019 08:59:34 +0300

Состоялся релиз Linux-дистрибутива Peppermint 10, основанного на пакетной базе Ubuntu 18.04 LTS и предлагающего легковесное пользовательское окружение на основе рабочего стола LXDE, оконного менеджера Xfwm4 и панели Xfce, которые поставляются вместо Openbox и lxpanel. Дистрибутив также примечателен поставкой фреймворка Site Specific Browser, позволяющего работать с web-приложениями, как с обособленными программами. Из репозиториев доступен развиваемый проектом Linux Mint набор приложений X-Apps (текстовый редактор Xed, менеджер фотографий Pix, мультимедийный проигрыватель Xplayer, просмотрщик документов Xreader, просмотрщик изображений Xviewer). Размер установочного iso-образа 1.4 Гб.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome