Artykuły dotyczące tematu: błąd

dodany: 28.05.2013 | tagi: , , , ,

PayPal płaci hakerom, gdy znajdą błąd. Nie uznał błędu, który znalazł 17-latek

12

PayPal ma lukę XSS. Firmę powiadomił o tym nastoletni haker. PayPal tego nie uznał.

Jest nim Robert Kugler – 17-letni uczeń z Niemiec, który interesuje się bezpieczeństwem systemów komputerowych.

W wiadomości do SecLists.Org, opublikowanej 24 maja, napisał:

Chciałbym was ostrzec – PayPal.com ma lukę podatną na ataki Cross-site scripting*. PayPal Inc. ma uruchomiony program typu bug bounty [przyp. red. – program, za pomocą którego hakerzy mogą zgłaszać znalezione przez siebie błędy, a PayPal im za to zapłaci]. Obejmuje on też podatności XSS. Dlatego postanowiłem (…) wysłać informację o błędzie do Site Security PayPala.

Więcej informacji o programie Bug Bounty.

W e-mailu nastolatek określił miejsce, gdzie się znajduje błąd i jak może zostać wywołany – przesłał też screen:  http://picturepush.com/public/13144090.

Niestety – PayPal nie uznał jego odkrycia. I nie zapłacił młodemu hakerowi.

Site Security PayPala twierdzi, że:

Aby zakwalifikować się do Bug Bounty Program, nie można: (…) mieć mniej niż 18 lat. Jeśli PayPal odkryje, że researcher nie spełnia powyższych kryteriów, PayPal usunie go z BBP i zdyskwalifikuje, przez co nie będzie mógł on otrzymywać zapłaty za znalezienie podatności.

PayPal chce zaoszczędzić? Nastoletni haker nie zarzuca tego amerykańskiej firmie. Stwierdził jedynie, że odrzucenie wyników jego testów to

 nie najlepszy sposób motywowania badaczy bezpieczeństwa.

 

*Cross-site scripting (XSS) – sposób ataku na serwis WWW polegający na osadzeniu w treści atakowanej strony kodu (zazwyczaj JavaScript), który wyświetlony innym użytkownikom może doprowadzić do wykonania przez nich niepożądanych akcji. Skrypt umieszczony w zaatakowanej stronie może obejść niektóre mechanizmy kontroli dostępu do danych użytkownika.

Źródło: pl.wikipedia.org

SecLists.Org – to serwis, który prowadzi Gordon Lyon – jego pseud. internetowy to Fyodor – ekspert bezpieczeństwa sieciowego i oprogramowania open source, a także pisarz i hacker w dobrym tego słowa znaczeniu (zobacz jego bio w Wikipedii). Publikuje na nim informacje, które dotyczą bezpieczeństwa i programów open source’owych dostępnych w Internecie, których źródłem są jego własne spostrzeżenia powstające przy tworzeniu programów, książek, artykułów, stron WWW i innych projektów.

dodany: 07.03.2013 | tagi: , ,

Błąd w Kaspersky Internet Security blokuje systemy operacyjne

0

Błąd w programie Kaspersky Internet Security 2013 sprawia, że po wysłaniu specjalnie spreparowanego pakietu IPv6 można spowodować blokadę systemu operacyjnego.

Konsultant ds. bezpieczeństwa Marc Heuse zamieszczając swoje odkrycie na liście mailingowej Full Disclosure napisał, że jeśli na komputerze docelowym była możliwa łączność IPv6, to osoba atakująca może wysłać specjalnie spreparowany pakiet, który może spowodować odmowę usług.

Fragmentaryczny pakiet z wieloma nagłówkami przedłużeń, w tym z jednym dużym, prowadzi do całkowitego zamrożenia systemu operacyjnego. Brak komunikatu logowania czy ostrzeżenia. System nie jest w stanie wykonać żadnego zadania.

Heuse dodał, że jedynym rozwiązaniem jest usunięcie części produktu z błędem lub całkowite jego odinstalowanie. Sam Heuse zgłosił błąd do Kaspersky’ego 21 stycznia i, ponownie, 14 lutego, ale nie otrzymał żadnej odpowiedzi:

żadnego feedbacku od Kaspersky’ego, nawet po ponownym wysłaniu zgłoszenia z ostrzeżeniem, że jeśli nic z tym nie zrobią, to błąd zostanie ujawniony. Więc proszę bardzo

– Heuse wyjaśnił, skąd wzięła się u niego decyzja ujawnieniu błędu.

Specjaliści Kaspersky Lab twierdzą, że nie mieli pojęcia o zgłoszeniach Heusego, ale potwierdzają, że winny jest w jednym z ich systemowych sterowników.

Prywatny patch jest dostępny na żądanie. Autopatch zostanie wkrótce wydany tak, aby rozwiązać problem na każdym komputerze z naszym oprogramowaniem. Mimo że Kaspersky Lab dostrzega problem, chcielibyśmy podkreślić, że nie są nam znane żadne szkodliwe konsekwencje wykorzystania tego rzadkiego błędu. Kaspersky Lab pragnie przeprosić za wszelkie niedogodności. Podjęte zostały działania, aby zapobiec takim incydentom w przyszłości.

Czytamy w oświadczeniu wysłanym przez Kaspersky Lab.

Mamy nadzieję, że na żadnych szkodliwych konsekwencjach się zakończy.