Nemzetközi IT biztonsági sajtószemle
Nemzetközi
IT biztonsági sajtószemle
Címkefelhő
sérülékenység vizsgálat adatlopás gyakorlat NATO kriptográfia Egyesült Államok Air Europa NSDC CheckPoint Kaspersky Safe Kids ipari kémkedés APT39 MITMEngine Southwest BookMate US-CERT operációs rendszer rdesktop Spotify Artsy Opera sérülékenység szankció LibreOffice Fotolog kiberhadviselés hálózati forgalom lehallgatása EU Law Enforcement Emergency Response Protocol Japán Kanada
 2018. március 06. 10:43

Egyetemi kutatók az LTEInspector nevű nyílt forráskódú szoftver segítségével összesen tíz új sérülékenységet azonosítottak az LTE protokollokban, további kilenc, már ismert mellett.

Bővebben

Egyetemi kutatók az LTEInspector nevű nyílt forráskódú szoftver segítségével összesen tíz új sérülékenységet azonosítottak az LTE protokollokban, további kilenc, már ismert mellett. A publikusan elérhető "LTEInspector: A Systematic Approach for Adversarial Testing of 4G LTE" című tanulmányukból kiderül, hogy a sérülékenységek – többek között – módot adhatnak más felhasználók nevében való feljelentkezésre, üzenetek küldésére és elfogására, egy adott eszköz helyzetének meghamisítására, vagy akár eszközök leválasztására a hálózatról. Még aggasztóbbá teszi a felfedezést, hogy a biztonsági rések közül nyolcat sikeresen ki tudtak használni egy relatíve alacsony költségű (körülbelül 3 900 dolláros) tesztrendszeren, ami azt jelenti, hogy a bűnözők számára ez nem lényeges korlátozó tényező a számtalan potenciális felhasználási móddal – például alibi gyártás a mobil eszköz helyzetére vonatkozó adatok módosításával – szemben. A kutatók a sérülékenységek javítását nem tartják valószínűnek, mivel az utóbbi évek során feltárt problémák sem kerültek kezelésre, emellett elismerik, hogy a visszafelé-kompatibilitás megőrzése is komoly nehezítő tényező.

www.bleepingcomputer.com
Kevesebb
 január 23. 12:30

A Let's Encrypt bejelentette, hogy 2019. február 13-tól megszűnteti a TLS-SNI-01 domain validációs metódus támogatását, annak tavaly januárban felfedezett komoly sérülékenysége miatt.

Bővebben

A Let's Encrypt közleményben tudatta, hogy 2019. február 13-tól megszűnteti a TLS-SNI-01 domain validációs eljárás támogatását, annak tavaly januárban felfedezett komoly sérülékenysége miatt, amely a támadók számára lehetővé teszi, hogy felhasználhassák a támadott website HTTPS tanúsítványait. A cég közleménye szerint ügyfeleik többsége már a javasolt alternatívákat használja (DNS-01, HTTP-01), azonban feltételezik, hogy még előfordulhatnak olyanok, akik nem tértek át ezekre  elük igyekeznek közvetlenül is felvenni a kapcsolatot. 

(theregister.co.uk)
Kevesebb
 2018. augusztus 08. 10:22

A Let's Encrypt bejelentette, hogy tanúsítványaikat immáron direkt módon elfogadja az összes nagy gyökértanúsító (root) szervezet, mint a Microsoft, a Google, az Apple, a Mozilla, az Oracle, és a Blackberry.

Bővebben

A Let's Encrypt bejelentette, hogy tanúsítványaikat immáron direkt módon elfogadja az összes nagy gyökértanúsító (root) szervezet, mint a Microsoft, a Google, az Apple, a Mozilla, az Oracle, és a Blackberry, ezeken keresztül pedig a nagyobb böngészők és operációs rendszerek is. A korábbi köztes elem, az IdenTrust kiiktatásra került, mivel ez magában hordozta annak az esélyét, hogy amennyiben az IdenTrust felé meggyengülne a bizalom ─ ami a közelmúltban például a Symantec esetében megtörtént ─ akkor az az összes Let's Encrypt tanúsítványt érintené. A cég közleménye szerint azonban egyes régebbi rendszerek nem kompatibilisek az új eljárással, és még legalább öt év kell ahhoz, hogy ezek kikopjanak a webes ökoszisztémából.

(www.bleepingcomputer.com)
Kevesebb