Автор Тема: Mеждуплатформен троянец краде пароли в Linux и Mac OS X  (Прочетена 9305 пъти)

n00b

  • Участник
  • *****
  • Публикации: 1248
  • Distribution: OSX
  • Window Manager: 10.6, 10.8, 10.9
  • Live to hack, hack to live.
    • Профил
От снощи пак изскочи един 0day exploit за Java - и трите OS-и са уязвими и няма оправия за момента.
Активен

mobilio - професионални мобилни приложения

d0ni

  • Участник
  • *****
  • Публикации: 183
    • Профил
Цитат
А защо никой не го прави?
Аз на домашното си PC имам бозичка от 3 години, на която има само firefox и също нямам вируси.

В днешно време не можеш да си много сигурен дали имаш вирус или нямаш :)
Активен

go_fire

  • Участник
  • *****
  • Публикации: 5298
  • Distribution: Дебиан Сид
  • Window Manager: ROX-Desktop / е17
  • кашик с гранатомет в танково поделение
    • Профил
    • WWW
Дони, ако си следиш нетстатовете ще си доста сигурен. Тия дупки на жаба7 аз ги прочетох, че са дванадесет и там тия „ловците“ са уведомили оракулите. Шошоне не ги знам кои са тия тримата (кракери?) дето си изброил, но на практика непрекъснато ползваме програми за другата ОС. Туко що се каза една, други са ОО.о, лисо, Опера.
Активен

В $por4e2 e истината  ;)

***

Aко даваха стипендия за най-глупави, щях да съм човека с най-много Mини Kупъри

***

Reborn since 1998 || 15.09.2007 totally М$ free && conscience clear

dejuren

  • Участник
  • *****
  • Публикации: 1025
  • Distribution: Ubuntu, RedHat
  • Window Manager: lxde KDE4
    • Профил
А защо никой не го прави?
Код:
man mount
Цитат
noexec Do not allow direct execution of any binaries on the mounted filesystem.

... Тия дупки на жаба7 аз ги прочетох, че са дванадесет и там тия „ловците“ са уведомили оракулите.

Поправка: 29 в момента, в юнското обновление са били фиксирани 2, уведомлението от април(!!) до Оракъл е включвало всички 31, включително и нашия 0-day. Официалната позиция на Оракъл 5 дни вече след излизането на експлоита е позицията на щрауса (г..за стърчи отгоре). Плановия ъпдейт е насрочен за 16 октомври. Немското федерално ведмоство по информационна безопастност препоръчва незабавно изключване на жава плъгините на всички без изключение до излизане на обновление. В напълно легитимни сайтове вече се наблюдава появата на рекламни банери атакуващи потребителите през жава уязвимостта.
« Последна редакция: Aug 30, 2012, 18:06 от dejuren »
Активен

http://webchat.freenode.net/?channels=ubuntu-bg
The quieter you become, the more you are able to hear.
Две седмици цъкане с мишката спестяват два часа четене на документацията.

shoshon

  • Участник
  • *****
  • Публикации: 497
    • Профил
@go_fire Погледни снимчицата (като се логнеш във форума) и моля те, не казвай "аз игри не играя". Аз моите си ги купувам, но ако има такива групи, бълват кракнат софтуер ( погледни датите на upload), тогава OS и изкуствен интелект за самоотбрана да има - няма файда.

Активен

go_fire

  • Участник
  • *****
  • Публикации: 5298
  • Distribution: Дебиан Сид
  • Window Manager: ROX-Desktop / е17
  • кашик с гранатомет в танково поделение
    • Профил
    • WWW
М-да Шош, както казах неподготвен съм по темата.
Активен

В $por4e2 e истината  ;)

***

Aко даваха стипендия за най-глупави, щях да съм човека с най-много Mини Kупъри

***

Reborn since 1998 || 15.09.2007 totally М$ free && conscience clear

n00b

  • Участник
  • *****
  • Публикации: 1248
  • Distribution: OSX
  • Window Manager: 10.6, 10.8, 10.9
  • Live to hack, hack to live.
    • Профил
Това с банерите е напълно основателна причина още повече съм бил хакван през такъв.

Навремето MSFT имаха проблем със зареждането на курсорите - защото ти го зареждаш, а се предава една структура към кернела за визуализация (към USER, a той към графичната подсистема която работи на кернелско ниво). Та във виртуална машина посещавам един сайт mininova и я оставих така, след 5 мин чух че виртуалката се рестартира (!?!) и ми стана много интересно. Поработих малко по проблема с едно прокси на основната машина и видях зловредния код маскиран като обикновен банер идващ с допълнителен JavaScript който пробива OS-a независимо от браузъра.

Аз вече изключих моите Java плъгини...
Активен

mobilio - професионални мобилни приложения

d0ni

  • Участник
  • *****
  • Публикации: 183
    • Профил
Дони, ако си следиш нетстатовете ще си доста сигурен...

Аз не бих бил много сигурен поради две причини:
1. netstat, lsof и останалите команди може да са подменени. А може и да е кернел модул или пачнат кернел.
2. не е нужно един вирус да праща информация постоянно, така че да можеш да го хванеш с netstat. Може да стои в пасивен режим или да генерира трафик на периоди.
Активен

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Може и да си комуникира примерно върху icmp, имаше един мноооого стар rootkit, който правеше това. За целта ти трябват root привилегии за да отвориш raw socket-а обаче. Но пък посмъртно няма да видиш нищо с netstat или lsof.
Активен

"Knowledge is power" - France is Bacon

go_fire

  • Участник
  • *****
  • Публикации: 5298
  • Distribution: Дебиан Сид
  • Window Manager: ROX-Desktop / е17
  • кашик с гранатомет в танково поделение
    • Профил
    • WWW
Е все пак казах „доста“, а не напълно. Осъзнавам разбира се, че не е необходимо през цялото време да комуникира.

Тоя номер дето го каза Гейта, нищо не ми говори, ама по принцип неговите приказки рядко ми говорят нещо. Но пък като го е казал, съм сигурен, че е така, защото малко са експертите от неговия калибър.

Аз жаба имам старата „отворена“. Netbeans си работи с нея, в редките случаи, когато го ползвам. Vuze също работи. Май всички други жабешки неща съм разкарал.

А да и проблемите на жаба със сигурността, никак, ама никак не са от вчера. Винаги ги е имало, поради това никога не съм я имал активирана в четеца на паяжини, даже когато аплетите бяха стандарт.

Всъщност единственият аплет, който съм ползвал беше служебен в Интранет. После го замениха с vbscript (от трън та на глог). Ама машините така и нямаха достъп в дивото пространство, та затова не бе проблем. А самият аплет беше всъщност едно тъпо меню дето може със всичко да направиш дори с обикновени списъци (е вярно няма да има плавен ефект).
Активен

В $por4e2 e истината  ;)

***

Aко даваха стипендия за най-глупави, щях да съм човека с най-много Mини Kупъри

***

Reborn since 1998 || 15.09.2007 totally М$ free && conscience clear

dejuren

  • Участник
  • *****
  • Публикации: 1025
  • Distribution: Ubuntu, RedHat
  • Window Manager: lxde KDE4
    • Профил
Хайрлия да е, пуснаха извънредно жава обновление https://blogs.oracle.com/security/entry/security_alert_for_cve_20121
След пропускане на юнското, докато никой не знаеше за уязвимостта, и седмица след като експлойта излезе публично... това му викам оперативност. Къде ще може да се мери софтуера с отворен код с неговите няколко дни до седмица затвяряне на уязвимости, за които никой дори не заподозира...

ПП Да, обновление пуснаха, затвориха дупката, само дето има още една от същия клас, незатворена. Единственото успокоение, че за нея няма публикуван експлойт. Аз аплодирам Оракъл прав! За тази също се знае от април.
« Последна редакция: Sep 01, 2012, 12:56 от dejuren »
Активен

http://webchat.freenode.net/?channels=ubuntu-bg
The quieter you become, the more you are able to hear.
Две седмици цъкане с мишката спестяват два часа четене на документацията.