Na 25 konferencji Chaos Communication Congress (25C3) w Berlinie, dw�ch naukowc�w Jacob Appelbaum i Alexander Sotirov wykazali, �e z powodzeniem uda�o im si� stworzy� nieuczciwy urz�d certyfikacji (CA), kt�ry zosta�by uznany za godny zaufania przez wszystkie przegl�darki internetowe. Pozwala�o by to im na mo�liwo�� podszywania si� pod dowoln� stron� internetow�, w tym zabezpieczon� poprzez protok� HTTPS.
Zidentyfikowali oni luk� w Infrastrukturze Klucza Publicznego (PKI) u�ywanego do wystawiania cyfrowych certyfikat�w dla bezpiecznych stron internetowych. Jak si� mo�na spodziewa�, s�abo�� le�y w funkcji hashuj�cej MD5. MD5 pozwala bowiem na konstruowanie r�nych wiadomo�ci z tego samego hashu. Znane jest to jako kolizja MD5. Przest�pca b�dzie w stanie stworzy� fa�szywy certyfikat CA, godny zaufania przez przegl�darki internetowe. S� oni w stanie monitorowa� i modyfikowa� dane wysy�ane do bezpiecznych stron internetowych.
Appelbaum i Sotirov powiedzieli, �e MD5 zosta� z�amany ju� w 2004 roku, kiedy zidentyfikowano atak kolizji. W 2007 roku przeprowadzono udany silniejszy atak na MD5.
Mimo ostrze�e� MD5 jest nadal stosowany przez urz�dy certyfikacji, w tym stosuje je jak�e s�awna firma RSA Data Security.
Zaleca si� przej�cie przez CA na nowsze funkcje hashuj�ce takie, jak SHA-1 lub nawet nowszy SHA-2, a nale�y pami�ta� o nadchodz�cym SHA-3.
Na dzie� dzisiejszy nie ma znacznego zagro�enia dla klient�w, gdy� naukowcy nie opublikowali kryptograficznego t�a ataku, a bez niego atak nie jest powtarzalny. Jednak nale�y podj�� szybk� migracj� przynajmniej do SHA-1.

Zesp� badawczy sk�ada� si� z Sotirova, Appelbauma, Davida Molnara, Marca Stevensa i BENNE de Wegera, Arne Dag Osvika oraz Arjen Lenstra.

�r�d�o: www.scmagazineus.com
[Kliknij, aby przeczyta� ca�o��]

Jak donosi www.php-fusion.pl wydano aktualizacje dla CMS PHP-Fusion 7.00.3 oraz 6.01.17 odpowiednio do wersji 7.00.4 i 6.01.18. Przyczyn� by�a luka, kt�ra znajdowa�a si� w pliku messages.php i umo�liwia�a atak XSS.

Link do poprawek:
PHP-Fusion 7.00.4 Update - tylko dla 7.00.3
PHP-Fusion 6.01.18 Update - tylko dla 6.01.17

Linki i �r�d�o: www.php-fusion.pl/ [Kliknij, aby przeczyta� ca�o��]

Jak donosi serwis heise-online udost�pniono now� wersj� aplikacji MediaPortal 1.0 b�d�cej odpowiednikiem Windowsowskiego Media Center. Aplikacja ta rozpowszechniana jest na zasadzie licencji GNU General Public License. W nowej wersji naprawiono znalezione b��dy oraz poprawiono obs�ug� pakietu. Jak przysta�o na aplikacj� medialn�, obs�uguje on wiele tuner�w telewizyjnych, potrafi odtawrza� muzyk� z dysku twardego, odbiera� programy telewizyjne m. in. w standardzie DVB-T oraz stacje radiowe DVB oraz przekazywane strumieniowe w Internecie. Oferuje te� inne funkcje, jak cho�by album fotograficzny.

�r�d�o: www.heise-online.pl [Kliknij, aby przeczyta� ca�o��]

W czasie �wi�t pojawi�a si� informacja o rzekomej luce w programie Windows Media Player. Informacj� tak� poda� serwis SecurityTracker, jednak po dochodzeniu, firma Microsoft uzna�a to roszczenie za fa�szywe. Luka mia�a pozwala� na wykonanie kodu w programie Windows Media Player 11 oraz jego wcze�niejszych wersjach. Jednak firma Microsoft w odpowiedzi stwierdzi�a, �e zg�oszony b��d nie pozwala na niepo��dane jej wykorzystanie i nie pozwala na wykonanie atakuj�cemu dowolnego kodu.
Dowodzi to temu, �e b��dy w oprogramowaniu b�d� si� zdarza�y, ale nie zawsze mo�na je b�dzie wykorzystywa�. Pokazuje to tak�e, �e coraz ci�ej jest si� dosta� do systemu z poziomu samego systemu operacyjnego, przez co hakerzy b�d� coraz cz�ciej si�ga� do b��d�w w oprogramowaniu.

�r�d�o: www.scmagazineus.com [Kliknij, aby przeczyta� ca�o��]

Producent m.in. ramek cyfrowych Samsung ostrzeg�, �e w oprogramowaniu do��czanym na p�ytach CD dla modeli: SPF-75H, SPF-76H, SPF-85H, SPF-85p i SPF-105P mo�e znajdowa� si� trojan W32.Sality.AE. Zagro�eni s� posiadacze system�w operacyjnych XP, gdy� jak podaje Samsung trojan ten nie funkcjonuje na systemach Vista. Zaleca si� pobra� sterowniki ze strony producenta ramki. Firma Amazon poinformowa�a tak�e, �e infekcj� mo�e by� zara�one tak�e oprogramowanie ramki SPF-85H.

�r�d�o: www.anti-malware.ru [Kliknij, aby przeczyta� ca�o��]

Dwa dni temu odkryto exploit dla pliku submit.php CMSa PHP-Fusion. Pojawi�a si� ju� stosowna �atka wydana przez DEV-Team PHP-Fusion, kt�r� nale�y bezw�ocznie zainstalowa� (linki do strony www.php-fusion.pl):
Aktualizacja do PHP-Fusion 7.00.3 - tylko dla v7.00.2
Aktualizacja do PHP-Fusion 6.01.17 - tylko dla v6.01.16

�r�d�o: www.php-fusion.pl [Kliknij, aby przeczyta� ca�o��]

W artykule przedstawiono mo�liwo�� awaryjnego uruchomienia zasilacza ATX oraz metod� sprawdzania napi�� podawanych przez zasilacz. Zapraszam do czytania -> Awaryjne uruchamianie oraz sprawdzanie zasilacza.. [Kliknij, aby przeczyta� ca�o��]