Независимый исследователь обнаружил уязвимость в популярном сервисе StartSSL, который, в числе прочего, выдает бесплатные SSL–сертификаты.

Проблема в системе валидации доменов позволяла атакующему получить сертификат для абсолютно любого домена. StartCom – шестой по величине центр сертификации в мире. Такую популярность сервис приобрел, в частности, благодаря бесплатным сертификатам. Но выдача таких сертификатов осуществляется весьма странным способом. Обычно для подтверждения владения доменом администратора просят разместить на сайте определенный файл.

Данная брешь позволяет злоумышленнику провести межпротокольную атаку. Проблема актуальна для сайтов, работающих с протоколами SSLv2 и TLS, то есть ставит под угрозу около 33% всех сайтов и почтовых серверов интернета. 

Исследователи обнаружили в SSLv2 уязвимость, на базе которой сумели построить атаку, во многом копирующую Bleichenbacher-атаку на RSA. Смысл данной методики в том, что перед установкой зашифрованного соединения, клиент случайным образом выбирает ключ сессии, который зашифровывает RSA и отправляется серверу. 

Об уязвимости под названием VENOM, еще одном серьезном баге среди брешей, открывающих для эксплуатации огромные «площади» интернета, было сказано много. Это очень старый баг, обнаруженный в сравнительно новой ИТ-концепции — виртуализации.

Виртуальные машины — это что-то вроде независимо работающих компьютеров внутри других вычислительных систем. Так называемое «облако» — это, по большому счету, обширная сеть, объединяющая множество виртуальных машин. Используя VENOM, злоумышленник может «сбежать» из гостевой виртуальной среды в другую и выполнить в последней вредоносный код.

Эксперты заявили об обнаружении опасной уязвимости, которой подвержены iPhone и iPad, включая даже самые современные модели.

Брешь безопасности операционной системы iOS 8 связана с подключением к беспроводным точкам доступа. Злоумышленники могут использовать ее для того, чтобы внедрять вредоносный код, который приводит к циклической и непрекращающейся перезагрузке мобильных гаджетов. iPhone и iPad жертвы подвергаются DDoS-атаке, заключающейся в беспрерывной манипуляции SSL-сертификатами, посылаемыми устройству.

Благодаря непрестанно развивающимся технологиям наше пребывание в онлайн-среде становится все более простым, приятным и понятным. Чтобы выйти в Интернет, нам больше не требуются громоздкие настольные компьютеры: сегодня Сеть доступна с ноутбука, смартфона, планшета и даже телевизора.

Последние даже выделены в отдельную категорию под названием Smart TV и обладают впечатляющими возможностями интеграции с Интернетом. Было проведено целое исследование того, как телевизоры работают с пользовательскими данными. А могут ли они обеспечить безопасность доверяемой им информации?

Пользователи Windows были несколько расстроены, что Heartbleed их практически не затронул, в то время как уязвимость шифрования OpenSSL подвергла опасности две трети всех серверов в интернете. Теперь же и они могут повеселиться, ведь у них есть аналогичная уязвимость!

Компания Microsoft опубликовала отчет, в котором подробно описывается критический баг в реализации SSL/TLS от Microsoft, который позволяет злоумышленнику удаленно выполнять произвольный код. Подвержены все версии Windows. Это позволяет предположить, что уязвимость имеется не только на стороне сервера, но и на стороне клиента. 

Поскольку владельцы web-сайтов не приняли все меры, необходимые для поддержания безопасности ресурсов, хакеры до сих пор могут их компрометировать.

Уязвимость Heartbleed до сих пор эксплуатируется для компрометации web-сайтов. Несмотря на многочисленные исправления, призванные защитить владельцев ресурсов и их пользователей, хакеры до сих пор используют эту брешь для похищения паролей. Эксперты изучили огромное количество американских сайтов, чтобы выяснить, применили ли системные администраторы корректные меры по предотвращению дальнейших атак. 

Брешь позволяет злоумышленнику, осуществившему атаку «человек посередине», получить полный доступ к зашифрованным данным. Устаревшие web-технологии продолжают массово подвергаться уязвимостям.

Инженеры отдела безопасности Google обнаружили, что SSL-шифрование можно обойти с помощью эксплуатации новой бреши, которую они назвали POODLE. Из-за существования бреши использование SSL 3.0 более не представляется возможным. Уязвимость позволяет хакеру получить доступ к зашифрованной информации, осуществив атаку «человек посередине». 

Веб-серфинг — это один из наиболее популярных видов использования Интернета. Каждый день мы проводим время за ним: просматриваем новости, слушаем музыку, проверяем почту. Однако такой сервис подвергает риску информацию, хранящуюся на компьютере.

Во время веб-серфинга каждый может попасть на сайт, с которого возможна загрузка вируса, или злоумышленник обманом может заполучить личную информацию. Сигналом об угрозе может стать цифровой сертификат. Давайте рассмотрим, что же это такое цифровой сертификат, и как он обеспечивает безопасность при веб-серфинге. 

Только успели утихнуть страсти по поводу уязвимости Heartbleed, как на главных страницах десятков профильных сайтов появились сообщения о новом серьезном баге, который уже успел получить аж два запоминающихся имени — Shellshock и Bashdoor.

Он имеет все шансы стать угрозой даже более серьезной, чем ошибка в протоколе OpenSSL. Ведь, как и в случае с Heartbleed, проблема существовала задолго до ее обнаружения, и не исключено, что использовалась злоумышленниками в течение многих предыдущих лет. Bash присутствует в подавляющем большинстве современных *nix-систем. Итак, что же такое Bash?