BugTraq: Russian Security Newsline 06.03.2015

Если выпуск не отображается, вы можете прочесть его на сайте

Мои подписки      Мои группы      Мои новости              Автор  Дмитрий Леонов           Компьютеры и интернет   →   IT-защита   →   BugTraq: Russian Security Newsline    BugTraq: Russian Security Newsline 06.03.2015     BugTraq.Ru Обсуждение Архив выпусков БСК: предложить экспонат Трансляции: Facebook Google+ Twitter ВКонтакте LiveJournal Рассылки Subscribe.Ru BuqTraq: Обозрение BuqTraq: RSN BuqTraq: БСК Распределенные системы HTMLTEXTSMSPALM КОИ-8Латиницаwindows Russian Security Newsline 06.03.2015 Нортон поломал IE dl // 21.02.15 23:33 Пользователи столкнулись с вылетами при старте Internet Explorer после установки предпоследнего обновления Norton AntiVirus / Norton Internet Security. Следующее обновление исправляет проблему. Источник: The Register обсудить Потенциальные проблемы с двухфакторной аутентификацией в Яндекс.Деньгах dl // 20.02.15 19:22 Недавний не очень удачный подход Яндекса к двухфакторной аутентификации, похоже, заставил попристальней посмотреть и на другие их сервисы, в которых эта самая двухфакторность используется давно. Разработчики еще одного решения для двухфакторной аутентификации TeddyID обратили внимание на то, что в Яндекс.Деньгах помимо традиционного получения кода транзакции через SMS используется и набирающая популярность схема TOTP (меняющийся каждые 30 секунд секретный код, который можно получить, например, с помощью Google Authenticator). Проблема в том, что если в случае SMS вы, как правило, получаете не только код, но и информацию о транзакции (т.е. вы четко представляете, передачу какой суммы и куда подтверждаете), передать ее при использовании TOTP физически невозможно. И если на вашем компьютере завелся троян, способный подправить реквизиты вашего платежа, в SMS вы эту правку немедленно увидите, а c помощью Google Authenticator - уж что ушло, то ушло. В качестве демонстрации легкости подобной подмены было даже создано расширение для Chrome, активирующееся при попытке пополнить счет мобильного через Яндекс.Деньги на сумму менее 20 рублей. Расширение на лету увеличит последнюю цифру номера пополняемого телефона на единицу. Строго говоря, подобные проблемы характерны не только для Яндекс.Денег, ряд банков использует аналогичный механизм, исключающий передачу информации о транзакции при подтверждении. Но Яндекс.Деньги все-таки достаточно популярны, чтобы подобная уязвимость из теоретической превратилась в практически используемую. Источник: TeddyID обсудить Также в выпуске: Microsoft взялась за Superfish // 20.02.15 20:20 Андроидный троян, работающий после выключения смартфона // 20.02.15 18:22 uTorrent решил оприходовать простаивающие процессоры // 06.03.15 16:52 Другие обновления на сайте: BugTraq - обозрение #364 // 20.02.15 20:20 - Microsoft взялась за Superfish; - Потенциальные проблемы с двухфакторной аутентификацией в Яндекс.Деньгах; - Андроидный троян, работающий после выключения смартфона; - Крупная утечка ключей шифрования SIM-карт; - Lenovo опубликовала инструкцию по избавлению от Superfish; Третья пятерка из рейтинга статей: Хаос. Часть 6 [9.25] 03.08.04 01:11 Лабиринт. Часть 2 [9.19] 28.03.07 00:24 В Финляндии с интернет-зависимостью не берут в армию [9.19] 04.08.04 03:17 Тестер. Часть 3 [9.15] 04.02.06 02:23 Проверка целостности установленной linux-системы перед использованием [9.15] 21.08.03 19:47 Самые популярные темы форума за последнюю неделю: [hacking] "Лаборатория Касперского" обнаружила уникальную американскую программу кибершпионажа [257] [site updates] [lj] гуглексное [85] [humor] Без мышей [62] [site updates] uTorrent решил оприходовать простаивающие процессоры [1] Самые обсуждаемые темы форума за последнюю неделю: [humor] Без мышей [hacking] "Лаборатория Касперского" обнаружила уникальную американскую программу кибершпионажа [site updates] [lj] гуглексное [site updates] uTorrent решил оприходовать простаивающие процессоры Ведущий рассылки: Дмитрий Леонов, http://gplus.to/dmitry.leonov/     Комментировать выпуск      + В избранное Прошлые выпуски BugTraq: Russian Security Newsline 20.02.2015    20 февраля 2015, 17:52 BugTraq: Russian Security Newsline 05.02.2015    05 февраля 2015, 00:46 BugTraq: Russian Security Newsline 16.01.2015    16 января 2015, 19:09 Все выпуски рассылки

Subscribe рекомендует   Компьютеры и интернет  →   рассылки   и   группы    Игры Алавар Новые игры Фабрики игр Алавар Подписчиков: 453   Гарант. Ежедневный мониторинг федерального законодательства Ежедневный мониторинг нормативных актов – незаменимый инструмент работы для всех, кто хочет узнавать о важных изменениях в федеральном законодательстве сразу после их внесения. С текстами актов можно ознакомиться на портале www.garant.ru. Подписчиков: 41372   Мои Денежки - как жить лучше и веселее при небольших деньгах Социальный проект сайта moidenezki.ru с проверенными рекомендациями по экономии денег, повышению личного благосостояния, поиску интересной работы, открытию прибыльного бизнеса, а также с множеством полезных советов на все случаи жизни. Подписчиков: 486

Подписан адрес: autoinfodom@gmail.com Код этой рассылки: inet.bugtraq.rsn Архив рассылки Отписаться:  На сайте  Почтой Поддержка подписчиков Другие рассылки этой тематики Другие рассылки этого автора   Рассылка производится: Subscribe.Ru / ЗАО «Интернет-Проекты» / О компании / Политика конфиденциальности