Архив блога

Microsoft выпустила 12 патчей и случайно допустила утечку сертификата Xbox Live

Декабрьский «Вторник патчей» (Patch Tuesday) принес 12 бюллетеней безопасности, исправления для 71 уязвимости, а также сообщение о том, что пользователи Xbox Live оказались под угрозой. Microsoft сообщила, что произошла утечка сертификата SSL/TLS для *.xboxlive.com и приватных ключей для него. Это означает, что пользователи сервиса стали потенциальными жертвами man-in-the-middle атак.

Ежемесячная пачка обновлений от Microsoft на этот раз содержит исправление, которое очень нелестно характеризует самих сотрудников компании. Бюллетень безопасности гласит, что Microsoft случайно допустила утечку цифрового сертификата SSL/TLS для Xbox Live, а также приватных ключей для него. Сколько людей могут пострадать из-за халатности Microsoft, не сообщается, но Xbox Live насчитывает около 40 млн активных пользователей. Как именно произошла утечка, не уточняется, вероятнее всего, компания случайно поделилась сертификатом с партнером.

Небезопасный сертификат был официально отозван Microsoft, однако мошенники все равно могут использовать его для проведения man-in-the-middle атак на необновившихся пользователей. Пока же компания сообщает, что атак с применением сертификата зафиксировано не было.

Для пользователей Windows 8 и более поздних версий ОС обновление произойдет автоматически. Пользователи Vista, Windows 7, Windows Server 2008 или Windows Server 2008 R2 тоже получат обновление, если у них активировано обновление центра сертификатов. Если пользователь по каким-то причинам отключил автоматически апдейтеры, Microsoft советует ему воспользоваться Certificates MMC snap-in и добавить утекший сертификат в список недоверенных.

Источник: xakep.ru

Эксперты обнаружили уязвимость в продуктах AVG, McAfee и Kaspersky Lab

Специалисты компании enSilo нашли серьезную проблему, которая оказалась общей для продуктов сразу нескольких антивирусных компаний. Уязвимость позволяет злоумышленнику с легкостью миновать все встроенные средства защиты Windows. Хотя крупные производители уже выпустили исправления, баг может быть по-прежнему актуален для других программ.

Впервые специалисты enSilo заметили проблему в марте 2015 года, когда столкнулись с AVG Internet Security 2015, установленным в системе одного из клиентов компании. Анализ показал, что антивирус распределяет страницы памяти, используя RWX (Read, Write, Execute) и постоянную предсказуемую адресацию. Этот баг может значительно упростить злоумышленнику обход механизмов защиты Windows и последующую эксплуатацию уязвимостей в сторонних приложениях.

«Microsoft встроила в Windows различные механизмы защиты от эксплоитов, к примеру, рандомизацию памяти (ASLR) или функцию предотвращения выполнения данных (DEP). Но когда страницы виртуальной памяти имеют постоянный и предсказуемый адрес, атакующий может узнать, куда именно записать код и откуда его исполнить, — разъясняют в блоге специалисты enSilo. — Из-за использования RWX в системе может быть исполнен вредоносный код, а значит все барьеры, возведенные Windows на пути злоумышленников, оказываются бесполезными».

Специалисты компании полагают, что эта проблема затрагивает не только антивирусы. Баг также могут содержать программы для мониторинга производительности или решения призванные защищать от утечек данных.

Компании AVG, Intel Security и «Лаборатория Касперского» уже отчитались об успешном устранении проблемы в своих продуктах. Но эксперты enSilo не советуют расслабляться и предостерегают пользователей, напоминая, что другие программы тоже могут быть уязвимы. Компания выпустила специальную утилиту, которая поможет отыскать небезопасные приложения в системе. Хотя инструмент не способен автоматически выявить уязвимую программу, он предоставит пользователю развернутую информацию о том, откуда начинать копать.

Источник: xakep.ru

Разработка смартфонов на базе Firefox OS прекращена, проект закрывается

Из стана организации Mozilla пришла грустная, но ожидаемая новость: проект Firefox OS закрывается. Можно не ждать выхода новых смартфонов на базе Firefox OS, так как разработка новых устройств полностью прекращена. Продажи уже выпущенных смартфонов, которые шли из рук вон плохо, тоже планируют свернуть.

Печальное известие официально огласили на конференции для разработчиков Mozlando. Для тех, кто следит за новостями, это сообщение вряд ли стало сюрпризом. В 2013 году, когда проект Firefox OS только стартовал, и первые устройства поступили в продажу, планировалось, что они составят конкуренцию девайсам Android, iOS и Windows Phone, особенно в сегменте бюджетных аппаратов. К сожалению, эта стратегия совершенно себя не оправдала. Собственная платформа Mozilla не выдержала жесткой конкуренции, так как Firefox OS не поражала воображение уникальными фишками, поддерживала ограниченное число приложений, а команде разработчиков явно не хватало опыта. В то же время дешевых решений, с привычным Android на борту, на рынке хватало, и пользователи закономерно предпочитали знакомое незнакомому.

Менее месяца назад Mozilla предприняла последнюю попытку привлечь пользователей к своей ОС и представила собственный лаунчер для Android, эмулирующий Firefox OS. Очевидно, это тоже не сработало.

Хотя смартфонов на базе Firefox OS мы больше не увидим, работа инженеров компании все же не пропадет даром. Организация сообщила, что код Firefox OS по-прежнему будет использоваться для работы различных IoT- устройств, к примеру, умных телевизоров.

Источник: xakep.ru