Исследователи безопасности из группы Zero, созданной компанией Google для предотвращения атак, совершаемых с использованием ранее неизвестных уязвимостей, продемонстрировали, что источником вторжения в инфраструктуру предприятия могут быть программные продукты предназначенные для защиты этой инфраструктуры. В 25 продуктах, связанных с обеспечением безопасности, выпускаемых под брендами Symantec и Norton, выявлено несколько критических уязвимостей, которые позволяют получить полный контроль над системой при выполнении проверки специально оформленного файла, без совершения каких-либо действий со стороны пользователя и проявляясь в конфигурации по умолчанию.

Проблемы затрагивают не только Windows, но и Linux. Проблемы присутствуют в коде распаковки исполняемых файлов, сжатых такими инструментами, как UPX и ASPack, а также в функциях разбора документов PowerPoint и Microsoft Office. Функции распаковки выполняются в основном движке системы защиты, работающем на уровне ядра в Windows и в форме привилегированного процесса в Linux (продукт запускается с правами root), без применения механизмов изоляции от остальной системы.

Примечательно, что изучение методов распаковки показало, что код некоторых распаковщиков заимствован из открытых библиотек, таких как libmspack и unrarsrc. При этом данный код не синхронизировался с оригинальными библиотеками уже 7 лет и содержит все устранённые в них за это время уязвимости. Libmspack распространяется под лицензией GPLv2, поэтому ещё не раскрытым остаётся вопрос возможного нарушения лицензии GPL.

Так как в продуктах Symantec применяется драйвер фильтрации, перехватывающий весь ввод/вывод, то для атаки достаточно отправить по электронной почте специально оформленный файл или отправить ссылку на эксплоит (пользователю не нужно открывать файл и ссылку, ПО для защиты само проанализирует контент). Так как проведение атаки не требует действий со стороны пользователя уязвимости могут быть использованы для создания червей, атакующих другие системы во внутренней сети.

Источник: opennet.ru

Вступление

В связи с недавним выходом дополнения к Ведьмаку 3 под названием «Кровь и вино «захотелось мне прямо со страшной силой его заиметь. Но сумму в 800 руб. мой несформировавшийся нищебродский бюджет бы сразу не потянул, потому захотелось мне придумать как бы так сделать, чтобы денег затратить поменьше, а выгоды наоборот, соответственно, приобрести побольше.

Тут то я и вспомнил, что можно же оплачивать всякие ништяки с баланса мобильного телефона. Последний раз такая мега идея меня посещала, когда я пытался сдать квартиру, и надо было поднять объявление в топ, что, собственно, и было успешно проделано.

Летом-осенью 2015 года по городу стали появляться маганеры нового оператора Теле2. Заманивали низкими ценами на звонки, бесплатными симками, 10 руб. при покупке сразу на балансе. Ну почему бы не взять раз звучит это сладкое слово-халява? Взяли с женой соседние номера, халява же.

Чтобы не лежала симка почем зря, ввели стимулирующую фишку для пользователей: кладешь 50 руб. на баланс-получаешь 50 бонусов на звонки и СМС в следующем месяце за счет заведения.

Т.к. я особо симкой не пользовался, на балансе скопилась достаточно нормальная сумма, ее то и решено было употребить на покупку вышеназванного DLC.

Покупка

Заходим в Steam, выбираем “Пополнение баланса” (Также можно просто оплатить любую игру).

Вводим номер телефона Теле2, жмем Далее и сильвупле! Через некоторое время получаем деньги на кошелек Steam! Думаю, не надо объяснять, чем чревато зачисление средств с баланса телефона без какого-либо подтверждения со стороны владельца этого самого баланса?

Итого

О ситуации я написал в Tele2 и Steam. От первых был получен ответ типа «спасибо за сигнал, будем разбираться, вот вам 10 бесплатных минут на баланс». От вторых пришло:

Ладно хоть нафиг не послали. ☹

На сегодняшний день дыру пофиксили, чтобы провести платеж, нужно на запрос по СМС отправить подтверждение.

Пользователи работают в Интернете, но там, как указано на сайте US-Cert , они могут столкнуться с многообразием компьютерных проблем в силу различных причин, начиная от шпионских программ, установленных без Вашего ведома, до хакеров, перехватывающих контроль над Вашим компьютером.

То, что может показаться крутой опцией для Вашего веб-браузера, на самом деле, может оказаться шлюзом для кибер-преступников, о чем обычный пользователь компьютера может и не подозревать. Иногда «меньше значит больше», и когда речь заходит о безопасности компьютера, чем меньше точек проникновения кибер-преступников на Ваш компьютер, тем меньше приходится беспокоиться о собственной защите.

Необходим комплексный баланс между свободой использования новых технологических функций (как, например, опции в веб-браузере) и одновременно с этим способностью «закрыть двери» для кибер-преступников.

Но зачем устанавливать дополнительные опции, если они бессмысленны? 83% новейших функций браузеров совершенно не нужны, как показано в исследовании (PDF), проведенном в Университете штата Иллинойс (США) . На самом деле, только 1% из 10 000 наиболее популярных веб-страниц используют эти функции каким-либо образом, причем полезность многих из них даже не доказана.

Хорошим примером является Ambient Light Events (ALS) – эта опция позволяет по-разному показывать веб-сайты, адаптируя яркость компьютера к уровню окружающей его освещенности. Хотя все это звучит очень круто, но только 14 из 10 000 веб-сайтов, анализируемых в данном исследовании, внедрили такую опцию, при этом очень мало пользователей, кто знает о ее существовании.

Еще одна история: Iframe. Он стал очень популярным HTML-элементом, который используется на многих различных типах сайтов: интерактивные области на веб-странице позволяют вставлять часть другой страницы на своем веб-сайте (эта опция известна как embedding). Как минимум, половина наиболее популярных веб-сайтов использует эту технологию, но при этом она блокируется в 77% случаев по причинам безопасности. В 2008 году хакеры “ распространили результаты поиска в Интернете с вредоносным iframe-кодом, что привело к атакам типа iframe overlay во многих известных сетях” . Большинство социальных сетей перестало использовать эту программу.

Также привлекает внимание приложение Vibration API, которое позволяет веб-сайтам управлять вибрацией устройств… если они решили использовать их. Сегодня только 1 из 10 000 наиболее популярных веб-сайтов использует эту опцию, но все же функции остаются доступными не только для разработчиков легитимных устройств, но также и для потенциальных хакеров, которое могли бы использовать их в своих собственных целях, например, для шпионажа за Вашими разговорами ( как это сделано здесь ).

Кибер-преступники могли бы использовать вибрацию Вашего смартфона для шпионажа за Вашими разговорами.

Достаточно сложно найти баланс между преимуществами доступных опций и мерами безопасности, по крайней мере, если мы говорим про веб-браузеры. Для защиты пользователю необходимо иметь надёжный антивирус , который способен остановить хакеров, пытающихся проникнуть через онлайн-дыры.

Оригинал.