Независимые специалисты по информационной безопасности и в частности немецкий ИТ-консультант Левент Каян сообщили об обнаружении серьезной уязвимости в популярной системе VoIP-телефонии Skype. Найденная XSS-уязвимость позволяет злоумышленникам изменить пароль в Skype для конкретного пользователя. В свою очередь в Skype заявили, что они в курсе проблемы и работают над исправлением, которое должно выйти на будущей неделе. Каян в своем блоге рассказал, что он обнаружил проблему в среду, а в четверг уведомил о ней Skype. По его словам, проблема заключается в ошибке скрипта, обрабатывающем поле для ввода мобильного телефона пользователя. Каян написал небольшой скрипт, который можно вставить в поле ввода мобильного телефона. Когда один из пользователей в контакт-листе выходит в онлайн, злонамеренный пользовательский профиль обновляется и JavaScript позволяет обновить данные другого по ... Читать дальше »

Некоммерческая организация Mitre совместно с исследовательским институтом SANS опубликовала результаты исследования, в котором привели очередной список наиболее распространенных программных ошибок, которые наиболее часто используются злоумышленниками и наличие которых чреваты большими неприятностями. Экспертов удручает, но не удивляет тот факт, что  в ведущей пятерке по частотности и степени риска в очередной раз нет ничего неожиданного, разве что лидеры немного поменялись местами. Рейтинг-2011 наиболее опасных ошибок возглавляют те из них, которые позволяют злоумышленникам подменять SQL-запросы (SQL-инъекции). Второе место занимают дефекты, позволяющие злоумышленнику при запуске приложения манипулировать входными данными внешней команды (инъекции при выполнении команды ОС). Ступенью ниже оказались проблемы, связанные с переполнением буфера, ненадежность структуры веб-страницы (XSS) на ... Читать дальше »

Специалисты в области IT- безопасности из компании Netragard, испытывающие на прочность клиентские IT-инфраструктуры, накануне провели блестящую операцию. В рассматриваемом случае заказчик, чье имя не называется по известным причинам, хотел знать, насколько его сеть и хранимые в ней данные устойчивы к современным социотехническим методикам и защищены от физического несанкционированного доступа. Для достижения поставленной цели технический директор Netragard Эдрил Десотельс (Adriel Desautels) предложил использовать специальное оборудование, которому может найтись место в арсенале киношных секретных агентов. Хакеры из Netragard приобрели обыкновенную USB-мышь от Logitech и путем небольшой доработки превратили ее в настоящего "троянского коня".

... Читать дальше »

Очередной японский издатель компьютерных игр, компания Sega стал новой жертвой неизвестной группы хакеров. Факт "вторжения" был обнаружен ещё в четверг 16 июня, но лишь сегодня компания публично сообщила о крупной утечке персональных данных более 1,3 млн клиентов. За последние 24 часа компания Sega начала рассылать клиентам системы Sega Pass предупреждения о фактах несанкционированного доступа к их данным, в котором говорится: " За последние сутки мы обнаружили факт несанкционированного доступа к базе данных Sega Pass, где располагались клиентские сведения. Мы предприняли соответствующие меры для защиты наших клиентов, чтобы изолировать взломанные системы от остальных систем. Компания уже начала масштабное расследование факта взлома". В сообщении компании также говорится, что хакерам удалось получить данные к email, логинам, датам рождения и некоторым другим сведениям, однако пароли для доступа хранятся в зашифрованном виде, поэтому без расшифровки от них ... Читать дальше »