Skocz do zawartości
Forum Kopalni Wiedzy

Rekomendowane odpowiedzi

MIT (Massachusetts Institute of Technology) poinformował o znalezieniu krytycznych dziur w stworzonym przez tę uczelnię, szeroko wykorzystywanym protokole uwierzytelniania i autoryzacji Kerberos.

Luki pozwalają atakującemu na przejęcie kontroli nad serwerem Kerberosa i uzyskanie dostępu do bazy danych. Możliwe, że cyberprzestępca jest również w stanie dostać się do innych komponentów sieci. Dziury mogą zostać też wykorzystane do przerwania pracy Kerberosa, co z kolei uniemożliwi dostęp do sieci legalnym użytkownikom.
Luki odkryto w module kadmind i spowodowana jest ona błędami w komunikacji dokonywanej za pomocą RPC i GSS-API.Cyberprzestępca może wykorzystać kadmind to zainfekowania pamięci szkodliwym kodem i wykonania go. Do przeprowadzenia ataku nie jest konieczne uwierzytelnienie się w systemie.
Błąd dotyczy kadmind w wersjach od krb5-1.4 do krb5-1.4.4 oraz od krb5-1.5 do krb5-1.5.

Wadliwe jest również oprogramowanie wszystkich producentów korzystających z biblioteki RPC oraz GSS-API w wymienionych powyżej wersjach. Edycje wcześniejsze niż krb5-1.4 są pozbawione błędu.

Opublikowano już kod źródłowy łat dla RPC i GSS-API. Ponadto wkrótce MIT udostępni wersję 1.5.2 swojego oprogramowania, która jest pozbawiona błędów.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Podobna zawartość

    • przez KopalniaWiedzy.pl
      Na MIT powstały ogniwa fotowoltaiczne cieńsze od ludzkiego włosa, które na kilogram własnej masy wytwarzają 18-krotnie więcej energii niż ogniwa ze szkła i krzemu. Jeśli uda się skalować tę technologię, może mieć do olbrzymi wpływ produkcję energii w wielu krajach. Jak zwraca uwagę profesor Vladimir Bulivić z MIT, w USA są setki tysięcy magazynów o olbrzymiej powierzchni dachów, jednak to lekkie konstrukcje, które nie wytrzymałyby obciążenia współczesnymi ogniwami. Jeśli będziemy mieli lekkie ogniwa, te dachy można by bardzo szybko wykorzystać do produkcji energii, mówi uczony. Jego zdaniem, pewnego dnia będzie można kupić ogniwa w rolce i rozwinąć je na dachu jak dywan.
      Cienkimi ogniwami fotowoltaicznymi można by również pokrywać żagle jednostek pływających, namioty, skrzydła dronów. Będą one szczególnie przydatne w oddalonych od ludzkich siedzib terenach oraz podczas akcji ratunkowych.
      To właśnie duża masa jest jedną z przyczyn ograniczających zastosowanie ogniw fotowoltaicznych. Obecnie istnieją cienkie ogniwa, ale muszą być one montowane na szkle. Dlatego wielu naukowców pracuje nad cienkimi, lekkimi i elastycznymi ogniwami, które można będzie nanosić na dowolną powierzchnię.
      Naukowcy z MIT pokryli plastik warstwą parylenu. To izolujący polimer, chroniący przed wilgocią i korozją chemiczną. Na wierzchu za pomocą tuszów o różnym składzie nałożyli warstwy ogniw słonecznych i grubości 2-3 mikrometrów. W warstwie konwertującej światło w elektryczność wykorzystali organiczny półprzewodnik. Elektrody zbudowali ze srebrnych nanokabli i przewodzącego polimeru. Profesor Bulović mówi, że można by użyć perowskitów, które zapewniają większą wydajność ogniwa, ale ulegają degradacji pod wpływem wilgoci i tlenu. Następnie krawędzie tak przygotowanego ogniwa pomarowano klejem i nałożono na komercyjnie dostępną wytrzymałą tkaninę. Następnie plastik oderwano od tkaniny, a na tkaninie pozostały naniesione ogniwa. Całość waży 0,1 kg/m2, a gęstość mocy tak przygotowanego ogniwa wynosi 370 W/kg. Profesor Bulović zapewnia, że proces produkcji można z łatwością skalować.
      Teraz naukowcy z MIT planują przeprowadzenie intensywnych testów oraz opracowanie warstwy ochronnej, która zapewni pracę ogniw przez lata. Zdaniem uczonego już w tej chwili takie ogniwo mogłoby pracować co najmniej 1 lub 2 lata. Po zastosowaniu warstwy ochronnej wytrzyma 5 do 10 lat.

      « powrót do artykułu
    • przez KopalniaWiedzy.pl
      Fizycy z MIT opracowali kwantowy „ściskacz światła”, który redukuje szum kwantowy w laserach o 15%. To pierwszy taki system, który pracuje w temperaturze pokojowej. Dzięki temu możliwe będzie wyprodukowanie niewielkich przenośnych systemów, które będzie można dobudowywać do zestawów eksperymentalnych i przeprowadzać niezwykle precyzyjne pomiary laserowe tam, gdzie szum kwantowy jest obecnie poważnym ograniczeniem.
      Sercem nowego urządzenia jest niewielka wnęka optyczna znajdująca się w komorze próżniowej. We wnęce umieszczono dwa lustra, z których średnia jednego jest mniejsza niż średnica ludzkiego włosa. Większe lustro jest zamontowane na sztywno, mniejsze zaś znajduje się na ruchomym wsporniku przypominającym sprężynę. I to właśnie kształt i budowa tego drugiego, nanomechanicznego, lustra jest kluczem do pracy całości w temperaturze pokojowej. Wpadające do wnęki światło lasera odbija się pomiędzy lustrami. Powoduje ono, że mniejsze z luster, to na wsporniku zaczyna poruszać się w przód i w tył. Dzięki temu naukowcy mogą odpowiednio dobrać właściwości kwantowe promienia wychodzącego z wnęki.
      Światło lasera opuszczające wnękę zostaje ściśnięte, co pozwala na dokonywanie bardziej precyzyjnych pomiarów, które mogą przydać się w obliczeniach kwantowych, kryptologii czy przy wykrywaniu fal grawitacyjnych.
      Najważniejszą cechą tego systemu jest to, że działa on w temperaturze pokojowej, a mimo to wciąż pozwala na dobieranie parametrów z dziedziny mechaniki kwantowej. To całkowicie zmienia reguły gry, gdyż teraz będzie można wykorzystać taki system nie tylko w naszym laboratorium, które posiada wielkie systemy kriogeniczne, ale w laboratoriach na całym świecie, mówi profesor Nergis Mavalvala, dyrektor wydziału fizyki w MIT.
      Lasery emitują uporządkowany strumień fotonów. Jednak w tym uporządkowaniu fotony mają pewną swobodę. Przez to pojawiają się kwantowe fluktuacje, tworzące niepożądany szum. Na przykład liczba fotonów, które w danym momencie docierają do celu, nie jest stała, a zmienia się wokół pewnej średniej w sposób, który jest trudny do przewidzenia. Również czas dotarcia konkretnych fotonów do celu nie jest stały.
      Obie te wartości, liczba fotonów i czas ich dotarcia do celu, decydują o tym, na ile precyzyjne są pomiary dokonywane za pomocą lasera. A z zasady nieoznaczoności Heisenberga wynika, że nie jest możliwe jednoczesne zmierzenie pozycji (czasu) i pędu (liczby) fotonów.
      Naukowcy próbują radzić sobie z tym problemem poprzez tzw. kwantowe ściskanie. To teoretyczne założenie, że niepewność we właściwościach kwantowych lasera można przedstawić za pomocą teoretycznego okręgu. Idealny okrąg reprezentuje równą niepewność w stosunku do obu właściwości (czasu i liczby fotonów). Elipsa, czyli okrąg ściśnięty, oznacza, że dla jednej z właściwości niepewność jest mniejsza, dla drugiej większa.
      Jednym ze sposobów, w jaki naukowcy realizują kwantowe ściskanie są systemy optomechaniczne, które wykorzystują lustra poruszające się pod wpływem światła lasera. Odpowiednio dobierając właściwości takich systemów naukowcy są w stanie ustanowić korelację pomiędzy obiema właściwościami kwantowymi, a co za tym idzie, zmniejszyć niepewność pomiaru i zredukować szum kwantowy.
      Dotychczas optomechaniczne ściskanie wymagało wielkich instalacji i warunków kriogenicznych. Działo się tak, gdyż w temperaturze pokojowej energia termiczna otaczająca system mogła mieć wpływ na jego działanie i wprowadzała szum termiczny, który był silniejszy od szumu kwantowego, jaki próbowano redukować. Dlatego też takie systemy pracowały w temperaturze zaledwie 10 kelwinów (-263,15 stopni Celsjusza). Tam gdzie potrzebna jest kriogenika, nie ma mowy o niewielkim przenośnym systemie. Jeśli bowiem urządzenie może pracować tylko w wielkiej zamrażarce, to nie możesz go z niej wyjąć i uruchomić poza nią, wyjaśnia Mavalvala.
      Dlatego też zespół z MIT pracujący pod kierunkiem Nancy Aggarval, postanowił zbudować system optomechaczniczny z ruchomym lustrem wykonanym z materiałów, które absorbują minimalne ilości energii cieplnej po to, by nie trzeba było takiego systemu chłodzić. Uczeni stworzyli bardzo małe lustro o średnicy 70 mikrometrów. Zbudowano je z naprzemiennie ułożonych warstw arsenku galu i arsenku galowo-aluminowego. Oba te materiały mają wysoce uporządkowaną strukturę atomową, która zapobiega utratom ciepła. Materiały nieuporządkowane łatwo tracą energię, gdyż w ich strukturze znajduje się wiele miejsc, gdzie elektrony mogą się odbijać i zderzać. W bardziej uporządkowanych materiałach jest mniej takich miejsc, wyjaśnia Aggarwal.
      Wspomniane wielowarstwowe lustro zawieszono na wsporniku o długości 55 mikrometrów. Całości nadano taki kształt, by absorbowała jak najmniej energii termicznej. System przetestowano na Louisiana State University. Dzięki niemu naukowcy byli w stanie określić kwantowe fluktuacje liczby fotonów względem czasu ich przybycia do lustra. Pozwoliło im to na zredukowanie szumu o 15% i uzyskanie bardziej precyzyjnego „ściśniętego” promienia.

      « powrót do artykułu
    • przez KopalniaWiedzy.pl
      Za znalezienie luki w produktach Apple'a można będzie otrzymać do miliona dolarów. Ivan Krstic, odpowiedzialny w Apple'u za kwestie bezpieczeństwa, poinformował podczas dorocznej konferencji Black Hat, że firma zwiększa z 200 000 do 1 000 000 limit kwoty, jaką płaci za znalezione dziury. Przedsiębiorstwo chce w ten sposób zachęcić odkrywców luk, by informowali je o ich istnieniu, zamiast by sprzedawali je na czarnym rynku.
      Co więcej, program nagród nie będzie ograniczony tylko do iPhone'a ale będzie dotyczył również innych produktów, jak iPad, Mac, Apple Watch czy Apple TV.
      Dotychczas firma płaciła do 200 000 USD za informacje o dziurach, ale krytykowano ją, że to zbyt mała kwota, więc istnieje pokusa sprzedaży informacji na czarnym rynku, co negatywnie odbiłoby się na bezpieczeństwie użytkowników firmowych produktów.
      Oczywiście nie dostaniemy miliona dolarów za każdą informację o luce. Najwyższą kwotę przewidziano tylko dla znalazców najpoważniejszych najbardziej groźnych dziur. Ponadto do 500 000 dolarów zwiększono kwotę za informacje o dziurach pozwalających na nieuprawniony dostęp do danych użytkownika.

      « powrót do artykułu
    • przez KopalniaWiedzy.pl
      Eksperci z firmy Eclypisium ostrzegają, że ponad 40 sterowników dla systemu Windows zawiera dziury, które mogą zostać wykorzystane do ataku na pecety i serwery. Błędy występują w produktach wielu gigantów IT, takich jak Intel, Toshiba, Huawei czy Asus. Narażone na atak są wszystkie wersje Windows.
      Dziury znalezione przez pracowników Eclypsium pozwalają na zwiększenie uprawnień w dostępie do sprzętu. Za ich powstanie odpowiada niedbałość w pisaniu kodu i niezwracanie uwagi na kwestie bezpieczeństwa.
      Eclypsium już poinformowało wszystkich 20 producentów sterowników. Dotychczas 15 z nich poprawiło swoje oprogramowanie. Sterowniki załatali m.in. Intel, Huawei, Toshiba, NVIDIA, Gigabyte, Biostar, AsRock, AMI, Realtek, ASUSTek czy AMD. Kilku producentów nie wypuściło jeszcze poprawek, dlatego ich nazw nie ujawniono.
      Błędy w sterownikach zdarzają się dość często. W czerwcu Microsoft poprawiał swój sterownik dla urządzeń bezprzewodowych firmy Broadcom, a w marcu specjaliści z Redmond poinformowali Huawei o znalezieniu dziury w sterowniku highendowych MateBook'ów.

      « powrót do artykułu
    • przez KopalniaWiedzy.pl
      Gavin Thomas, który w Microsofcie sprawuje funkcję Principal Security Engineering Manager, zasugerował, że ze względów bezpieczeństwa czas porzucić języki C i C++. Thomas argumentuje na blogu Microsoftu, że rezygnacja ze starszych języków na rzecz języków bardziej nowoczesnych pozwoli na wyeliminowanie całej klasy błędów bezpieczeństwa.
      Od 2004 roku każdy błąd naprawiony w oprogramowaniu Microsoftu jest przez nas przypisywany do jednej z kategorii. Matt Miller podczas konferencji Blue Hat w 2019 roku zauważył, że większość tych dziur powstaje wskutek działań programistów, którzy przypadkowo wprowadzają do kodu C i C++ błędy związane z zarządzeniem pamięcią. Problem narasta w miarę jak Microsoft tworzy coraz więcej kodu i coraz silniej zwraca się w stronę oprogramowania Open Source. A Microsoft nie jest jedyną firmą, która ma problemy z błędami związanymi  z zarządzaniem pamięcią, pisze Thomas.
      W dalszej części swojego wpisu menedżer wymienia liczne zalety C++, ale zauważa, że język ten ma już swoje lata i pod względem bezpieczeństwa czy metod odstaje od nowszych języków. Zamiast wydawać kolejne zalecenia i tworzyć narzędzia do walki z błędami, powinniśmy skupić się przede wszystkim na tym, by programiści nie wprowadzali błędów do kodu, czytamy.
      Dlatego też Thomas proponuje porzucenie C++. Jednym z najbardziej obiecujących nowych języków programistycznych zapewniających bezpieczeństwo jest Rust, opracowany oryginalnie przez Mozillę. Jeśli przemysł programistyczny chce dbać o bezpieczeństwo, powinien skupić się na rozwijaniu narzędzi dla developerów, a nie zajmować się tymi wszystkimi pobocznymi sprawami, ideologią czy przestarzałymi metodami i sposobami rozwiązywania problemów.

      « powrót do artykułu
  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...