ValdikSS 12 ноя 2014 в 09:51

Критическая уязвимость в Microsoft SChannel

1 мин

22K

Блог компании Digital SecurityИнформационная безопасность*

+31

Комментарии 11

zhovner 12 ноя 2014 в 09:55

Как эксплуатируется?

ValdikSS 12 ноя 2014 в 09:57

Удаленно!
Пока неизвестно, на самом деле, но учитывая то, с какой скоростью Microsoft выпустила обновление, это действительно серьезная уязвимость.
Публичных эксплоитов нет.

ftp13 12 ноя 2014 в 10:14

Только сегодня одногрупникам в вузе рассказывал о Heartbleed, и замучили вопросом: «А маздай подвержен данной уязвимости?». Придётся завтра извинятся и рассказывать все по новой)

VBart 12 ноя 2014 в 11:32

Если вы только сегодня им об этом рассказывали, то могу предположить, что вы учитесь на очень далеком от ИТ факультете. =)

ftp13 12 ноя 2014 в 12:14

Частично вы правы, это только первый курс «Вычислительные машины, комплексы, системы и сети», и выяснилось что вся группа(11 человек ~~не считая меня~~)после школы, где на уроках информатики уровень = это пакет офиса и paint; я же после колледжа со специальностью и стажем работы эникея в 1 год. Задают доклад на любую тему из IT сферы, и таким образом через тему Shellshock,Heartbleed и BadUSB, я попытался, рассказать им про ssl/tsl, openssl, apache, микроконтроллеры, радио-электроннику и такие же мелкие подтемы (чтоб они хотя бы где то это слышали и если интересно, стали изучать глубже), а так же продемонстрировать что, даже баг/фича или непродуманность/оплошность может привести к разрушительным последствиям.

MyHabrahabr 12 ноя 2014 в 16:44

Это ещё ничего, хотя бы есть рассказывающий всякое интересное одногруппник. У меня на 3 курсе бизнес-информатики некоторые до сих пор «вконтакте» в поисковике каждый раз набирают и путают операцию mod с понятием «модуль числа».

НЛО прилетело и опубликовало эту надпись здесь

amarao 12 ноя 2014 в 15:47

Welcome to club. Майкрософт пошла по императивному стилю. Если хертблеед был декларативным «дай мне 64к французских булок», то эта уязвимость подразумевает, что злоумышленник сам напишет нужный код, а винды их исполнят.

Ждём понтовых монадических уязвимостей, с автовыведением типов.

Artem_zin 12 ноя 2014 в 20:02

Хоть где-то Microsoft сделала удобный API, а то отдай мне кусок памяти, потом сиди и разбирай, муторно ж :)

amarao 12 ноя 2014 в 21:01

Свежее, из музея:

navion 12 ноя 2014 в 17:28

Windows XP нет в списке уязвимых систем, шах и мат проклятые торгаши!

На самом деле обновление можно взять тут, если не хочется превращать систему в POSReady:
catalog.update.microsoft.com/v7/site/Search.aspx?q=Windows%20XP%20Embedded%20KB2992611

Зарегистрируйтесь на Хабре, чтобы оставить комментарий