ValdikSS Nov 12 2014 at 09:51

Критическая уязвимость в Microsoft SChannel

1 min

23K

Digital Security corporate blogInformation Security *

+30

Comments 11

zhovner Nov 12 2014 at 09:55

Как эксплуатируется?

ValdikSS Nov 12 2014 at 09:57

Удаленно!
Пока неизвестно, на самом деле, но учитывая то, с какой скоростью Microsoft выпустила обновление, это действительно серьезная уязвимость.
Публичных эксплоитов нет.

ftp13 Nov 12 2014 at 10:14

Только сегодня одногрупникам в вузе рассказывал о Heartbleed, и замучили вопросом: «А маздай подвержен данной уязвимости?». Придётся завтра извинятся и рассказывать все по новой)

VBart Nov 12 2014 at 11:32

Если вы только сегодня им об этом рассказывали, то могу предположить, что вы учитесь на очень далеком от ИТ факультете. =)

ftp13 Nov 12 2014 at 12:14

Частично вы правы, это только первый курс «Вычислительные машины, комплексы, системы и сети», и выяснилось что вся группа(11 человек ~~не считая меня~~)после школы, где на уроках информатики уровень = это пакет офиса и paint; я же после колледжа со специальностью и стажем работы эникея в 1 год. Задают доклад на любую тему из IT сферы, и таким образом через тему Shellshock,Heartbleed и BadUSB, я попытался, рассказать им про ssl/tsl, openssl, apache, микроконтроллеры, радио-электроннику и такие же мелкие подтемы (чтоб они хотя бы где то это слышали и если интересно, стали изучать глубже), а так же продемонстрировать что, даже баг/фича или непродуманность/оплошность может привести к разрушительным последствиям.

MyHabrahabr Nov 12 2014 at 16:44

Это ещё ничего, хотя бы есть рассказывающий всякое интересное одногруппник. У меня на 3 курсе бизнес-информатики некоторые до сих пор «вконтакте» в поисковике каждый раз набирают и путают операцию mod с понятием «модуль числа».

UFO landed and left these words here

amarao Nov 12 2014 at 15:47

Welcome to club. Майкрософт пошла по императивному стилю. Если хертблеед был декларативным «дай мне 64к французских булок», то эта уязвимость подразумевает, что злоумышленник сам напишет нужный код, а винды их исполнят.

Ждём понтовых монадических уязвимостей, с автовыведением типов.

Artem_zin Nov 12 2014 at 20:02

Хоть где-то Microsoft сделала удобный API, а то отдай мне кусок памяти, потом сиди и разбирай, муторно ж :)

amarao Nov 12 2014 at 21:01

Свежее, из музея:

navion Nov 12 2014 at 17:28

Windows XP нет в списке уязвимых систем, шах и мат проклятые торгаши!

На самом деле обновление можно взять тут, если не хочется превращать систему в POSReady:
catalog.update.microsoft.com/v7/site/Search.aspx?q=Windows%20XP%20Embedded%20KB2992611