Week 4
A biztonsági értékesítők figyelmeztetik a Microsoft Internet Information Services 6 webkiszolgálói szoftvereit, hogy egy új online támadás kockáztassa az adataikat.
A hibát nyilvánosságra hozták, amikor a biztonsági kutató Nikolaos Rangos közzétette a sérülékenység a teljes közzétételi biztonsági levelezési listához. Egy speciálisan kialakított HTTP kérést küldött a kiszolgálónak, amely képes megtekinteni és feltölteni a fájlokat a gépen. A támadás kihasználja a hibát oly módon, ahogyan a Microsoft szoftvere feldolgozza a Unicode tokeneket, mondta.
A biztonsági rést az online támadásokban használják, az Amerikai Számítógépes Segélyhívó Csapat hétfőn állította.
[További olvasmány: távolítsa el a rosszindulatú programokat Windows számítógépről]A nyilatkozatában a Microsoft azt mondta, hogy nem hallott ilyen támadásokról, hanem hogy Rangos állításait vizsgálja. "Biztonsági tanácsadással dolgozunk, amely útmutatást nyújt az ügyfeleknek" - mondta a vállalat hétfőn.
A hiba hatással van az IIS 6 felhasználókra, amelyek engedélyezték a WebDAV (Web alapú elosztott szerzői és verzió) protokollokat, a weben.
A támadók számára lehetővé teszi a védett fájlok engedély nélküli megtekintését a kiszolgálón, és fel lehet használni fájlok feltöltését is, állítja Thierry Zoller, független biztonsági kutató, aki megerősítette Rangos eredményeit. Azonban Zoller azt mondta, hogy semmilyen módon nem használhatja ezt a hibát, hogy jogosulatlan szoftvert futtathasson egy IIS-kiszolgálón.
Zoller azt mondta, hogy az IIS 5 és az IIS 7 nem tűnik sérülékenynek a támadásokkal szemben, amelyek a WebDAV technológiát használják. "Biztonságosabb, mint sajnálom" - mondta azonnali üzenettel: "Letiltja a WebDAV-t ideiglenesen, és várjon a Microsoftra."
Egy e-mail interjúban Rangos azt mondta, hogy még a WebDAV engedélyezése esetén is az Exchange Server fut az IIS 6-on A SharePoint Server nem érinti a hiba.
A Cisco hasonló figyelmeztetést hallatott. "A WebDAV-t használó IIS-kiszolgálókkal kapcsolatos érzékeny információkat tároló webhelyek adminisztrátorainak javasoljuk, hogy azonnal hozzák a hatékony enyhítő intézkedéseket, mivel a kizsákmányoló kód nyilvánosan elérhető" - mondta a vállalat a weboldalán közzétett biztonsági figyelmeztetés mellett.
Egy csoport, amelyről úgy gondolják, hogy az indiai hackerekből áll, átvette a kormányt a Kendriya Vidyalaya Ratlam, a Madhya Pradesh az indiai hackerek üzenetet hagytak a weboldalon a webhely tulajdonosának, és kijelentették, hogy a webhelyet pakisztáni hackerek támadták meg, de most már alatta van a pakisztáni hackerek ellen. az indiai hackerek ellenőrzése. Az üzenet azt is tájékoztatta a webhely tulajdonosáról, hogy javítsa a webhelyet.
[
Facebook a hibák kiszivárgását végző felhasználók telefonszámaiért
A Facebook kirakja a javítást egy ritka hiba kijavítására az API-jában, amely nyilvánvalóan szivárogtatja a felhasználók telefonszámát az alkalmazásfejlesztőknek.
A 'Ghost Telephonist' lehetővé teszi a hackerek számára, hogy átvegyék az irányítást a telefonod felett
A kutatók egy új sebezhetőséget fedeztek fel a 4G-hálózatokban, amely lehetővé teszi a hackerek számára, hogy átvegyék az irányítást egy telefon felett, és elfogják a hívásokat és az üzeneteket.