Δευτέρα, 18 Δεκέμβριος 2017, 2:48 μμ

Tag Archives: HTTPS

Ιστότοποι Drupal: κίνδυνος λόγω προβληματικού μηχανισμού ενημερώσεων

Ο μηχανισμός ενημέρωσης του Drupal, του δημοφιλούς συστήματος διαχείρισης περιεχομένου (CMS), παρουσιάζει προβλήματα ασφαλείας και μάλιστα κακόβουλοι χρήστες θα μπορούσαν να ξεγελάσουν διαχειριστές ιστοσελίδων ώστε να εγκαταστήσουν κακόβουλες ενημερώσεις.

Ο μηχανισμός ενημέρωσης του Drupal, του δημοφιλούς συστήματος διαχείρισης περιεχομένου (CMS), παρουσιάζει προβλήματα ασφαλείας και μάλιστα κακόβουλοι χρήστες θα μπορούσαν να ξεγελάσουν διαχειριστές ιστοσελίδων ώστε να εγκαταστήσουν κακόβουλες ενημερώσεις. Ο ερευνητής Fernando Arbaboldi της IOActive παρατήρησε ότι το Drupal δεν ενημερώνει τους διαχειριστές ιστοσελίδων ότι μια ενημέρωση απέτυχε, π.χ. λόγω αδυναμίας πρόσβασης στον εξυπηρετητή ενημερώσεων. Αντίθετα, το back-end panel θα …

Read More »

Διαρροή δεδομένων σε session HTTPS λόγω… cookies!

Τα περιβόητα, πλέον, cookies φαίνεται ότι μπορούν να θέσουν σε κίνδυνο την κρυπτογραφημένη επικοινωνία βασισμένη στο πρωτόκολλο HTTPS, σύμφωνα με μια πρόσφατη αναφορά του αμερικανικού CERT.

Τα περιβόητα, πλέον, cookies φαίνεται ότι μπορούν να θέσουν σε κίνδυνο την κρυπτογραφημένη επικοινωνία βασισμένη στο πρωτόκολλο HTTPS, σύμφωνα με μια πρόσφατη αναφορά του αμερικανικού CERT. Στο vulnerability note που δημοσιεύθηκε την περασμένη βδομάδα στο CERT, τα cookies που δημιουργήθηκαν στο πλαίσιο αιτημάτων HTTP αποτελούν σοβαρό κίνδυνο για την ασφάλεια των HTTPS session, καθώς δεν παρέχουν “εγγυήσεις για την ακεραιότητα …

Read More »

Logjam attack: σοβαρή ευπάθεια αφήνει εκτεθειμένες χιλιάδες ιστοσελίδες

logjam

Σημαντική ευπάθεια που θέτει σε κίνδυνο τα μεταφερόμενα δεδομένα μεταξύ server και client εντόπισαν ερευνητές ασφαλείας. Πιο συγκεκριμένα, κατά τη διάρκεια μιας επίθεσης Logjam, ένας hacker είναι σε θέση να παρακάμψει την κρυπτογραφημένη επικοινωνία ανάμεσα στο χρήστη και τον server μιας ιστοσελίδας ή έναν mail server και έτσι να διαβάσει – ή ακόμα και να τροποποιήσει – δεδομένα που ανταλλάσσουν οι δύο …

Read More »

Ψηφιακά πιστοποιητικά: ποιον να εμπιστευτούμε;

ψηφιακά πιστοποιητικά

Τα ψηφιακά πιστοποιητικά (digital certificates) είναι η ραχοκοκαλιά  της Υποδομής Δημοσίου Κλειδιού (Public Key Infrastructure – PKI), και κατ’ επέκταση η βάση της online εμπιστοσύνης. Τα ψηφιακά πιστοποιητικά συχνά συγχέονται με τις ψηφιακές υπογραφές: μπορούμε να εμπιστευθούμε ένα έγγραφο γιατί φέρει υπογραφή, ή πιστοποίηση από μια Αρχή Πιστοποίησης (certificate authority – CA) που εμπιστευόμαστε. Με απλά λόγια, τα ψηφιακά πιστοποιητικά …

Read More »

FREAK: Και τα Windows είναι τελικά ευπαθή

FREAK Vulnerability -Windows Operating Systems

Πρόσφατα ανακαλύφθηκε η ευπάθεια στα πρωτόκολλα SSL/TLS με την ονομασία FREAK, η οποία δεν είχε εντοπιστεί για περισσότερο από μια δεκαετία και ενώ αρχικά οι ερευνητές ασφαλείας είχαν αναφέρει ότι η ανωτέρω ευπάθεια φαίνεται να προσβάλει μόνο λειτουργικά συστήματα της Android, ios και MacOS X, χθες (05/03/2015) η εταιρεία Microsoft ανακοίνωσε ότι οι περισσότερες εκδόσεις των λειτουργικών της συστημάτων είναι τελικά …

Read More »

FREAK: Σοβαρή ευπάθεια στα πρωτόκολλα SSL/TLS

Freak SSL/TLS vulnerability

Μια νέα σοβαρή ευπάθεια (vulnerability) των πρωτοκόλλων ασφαλείας SSL/TLS που εντοπίστηκε από ερευνητές εκθέτει σε κίνδυνο εκατομμύρια χρήστες συσκευών Apple και Android. Πως επηρεάζονται οι χρήστες των συσκευών Apple και Android από την νέα ευπάθεια; Κάποιος κακόβουλος χρήστης έχει τη δυνατότητα με επίθεση τύπου man-in-the-middle να «διαβάσει» την κρυπτογραφημένη κίνηση από ιστοσελίδες οι οποίες φαίνονται ως ασφαλείς (https), το οποίο …

Read More »

Κακόβουλο λογισμικό διαμοιραζόταν μέσω των δικτύων διαφημίσεων της AOL

Μια διαδικτυακή καμπάνια διαμοιρασμού κακόβουλου λογισμικού μέσω της επίσημης ιστοσελίδας της “The Huffington Post”, αλλά και άλλων ενημερωτικών ιστοσελίδων, εντόπισαν ερευνητές ασφάλειας. Το εν λόγω λογισμικό μεταφέρεται μέσω του δικτύου διαφημίσεων του αμερικάνικου κολοσσού AOL. Το πρόβλημα εντόπισαν ειδικοί της Cyphort Labs, στα τέλη του 2014, όταν παρατηρήθηκε ότι διαφημίσεις που συνδέονταν με κακόβουλο λογισμικό εμφανιζόταν στους φυλλομετρητές χρηστών των …

Read More »

Κακόβουλο λογισμικό στοχεύει σε τραπεζικά δεδομένα γερμανόφωνων χρηστών

Banking malware for german users

Κρούει τον κώδωνα του κινδύνου η Microsoft για μια νέα παραλλαγή malware που στοχεύει σε τραπεζικές συναλλαγές γερμανόφωνων – προς το παρόν – πολιτών. Το κακόβουλο λογισμικό, σύμφωνα με το PC World που μεταφέρει την είδηση, είναι ένας τύπος malware – Emotet, για τους γνωρίζοντες – που μπορεί να συλλέξει τραπεζικά δεδομένα που αποστέλλονται μέσω συνδέσεων HTTPS, παρεισφρέοντας σε οκτώ …

Read More »