Jump to content
Forum Kopalni Wiedzy

Recommended Posts

MIT (Massachusetts Institute of Technology) poinformował o znalezieniu krytycznych dziur w stworzonym przez tę uczelnię, szeroko wykorzystywanym protokole uwierzytelniania i autoryzacji Kerberos.

Luki pozwalają atakującemu na przejęcie kontroli nad serwerem Kerberosa i uzyskanie dostępu do bazy danych. Możliwe, że cyberprzestępca jest również w stanie dostać się do innych komponentów sieci. Dziury mogą zostać też wykorzystane do przerwania pracy Kerberosa, co z kolei uniemożliwi dostęp do sieci legalnym użytkownikom.
Luki odkryto w module kadmind i spowodowana jest ona błędami w komunikacji dokonywanej za pomocą RPC i GSS-API.Cyberprzestępca może wykorzystać kadmind to zainfekowania pamięci szkodliwym kodem i wykonania go. Do przeprowadzenia ataku nie jest konieczne uwierzytelnienie się w systemie.
Błąd dotyczy kadmind w wersjach od krb5-1.4 do krb5-1.4.4 oraz od krb5-1.5 do krb5-1.5.

Wadliwe jest również oprogramowanie wszystkich producentów korzystających z biblioteki RPC oraz GSS-API w wymienionych powyżej wersjach. Edycje wcześniejsze niż krb5-1.4 są pozbawione błędu.

Opublikowano już kod źródłowy łat dla RPC i GSS-API. Ponadto wkrótce MIT udostępni wersję 1.5.2 swojego oprogramowania, która jest pozbawiona błędów.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Similar Content

    • By KopalniaWiedzy.pl
      Fizycy z MIT opracowali kwantowy „ściskacz światła”, który redukuje szum kwantowy w laserach o 15%. To pierwszy taki system, który pracuje w temperaturze pokojowej. Dzięki temu możliwe będzie wyprodukowanie niewielkich przenośnych systemów, które będzie można dobudowywać do zestawów eksperymentalnych i przeprowadzać niezwykle precyzyjne pomiary laserowe tam, gdzie szum kwantowy jest obecnie poważnym ograniczeniem.
      Sercem nowego urządzenia jest niewielka wnęka optyczna znajdująca się w komorze próżniowej. We wnęce umieszczono dwa lustra, z których średnia jednego jest mniejsza niż średnica ludzkiego włosa. Większe lustro jest zamontowane na sztywno, mniejsze zaś znajduje się na ruchomym wsporniku przypominającym sprężynę. I to właśnie kształt i budowa tego drugiego, nanomechanicznego, lustra jest kluczem do pracy całości w temperaturze pokojowej. Wpadające do wnęki światło lasera odbija się pomiędzy lustrami. Powoduje ono, że mniejsze z luster, to na wsporniku zaczyna poruszać się w przód i w tył. Dzięki temu naukowcy mogą odpowiednio dobrać właściwości kwantowe promienia wychodzącego z wnęki.
      Światło lasera opuszczające wnękę zostaje ściśnięte, co pozwala na dokonywanie bardziej precyzyjnych pomiarów, które mogą przydać się w obliczeniach kwantowych, kryptologii czy przy wykrywaniu fal grawitacyjnych.
      Najważniejszą cechą tego systemu jest to, że działa on w temperaturze pokojowej, a mimo to wciąż pozwala na dobieranie parametrów z dziedziny mechaniki kwantowej. To całkowicie zmienia reguły gry, gdyż teraz będzie można wykorzystać taki system nie tylko w naszym laboratorium, które posiada wielkie systemy kriogeniczne, ale w laboratoriach na całym świecie, mówi profesor Nergis Mavalvala, dyrektor wydziału fizyki w MIT.
      Lasery emitują uporządkowany strumień fotonów. Jednak w tym uporządkowaniu fotony mają pewną swobodę. Przez to pojawiają się kwantowe fluktuacje, tworzące niepożądany szum. Na przykład liczba fotonów, które w danym momencie docierają do celu, nie jest stała, a zmienia się wokół pewnej średniej w sposób, który jest trudny do przewidzenia. Również czas dotarcia konkretnych fotonów do celu nie jest stały.
      Obie te wartości, liczba fotonów i czas ich dotarcia do celu, decydują o tym, na ile precyzyjne są pomiary dokonywane za pomocą lasera. A z zasady nieoznaczoności Heisenberga wynika, że nie jest możliwe jednoczesne zmierzenie pozycji (czasu) i pędu (liczby) fotonów.
      Naukowcy próbują radzić sobie z tym problemem poprzez tzw. kwantowe ściskanie. To teoretyczne założenie, że niepewność we właściwościach kwantowych lasera można przedstawić za pomocą teoretycznego okręgu. Idealny okrąg reprezentuje równą niepewność w stosunku do obu właściwości (czasu i liczby fotonów). Elipsa, czyli okrąg ściśnięty, oznacza, że dla jednej z właściwości niepewność jest mniejsza, dla drugiej większa.
      Jednym ze sposobów, w jaki naukowcy realizują kwantowe ściskanie są systemy optomechaniczne, które wykorzystują lustra poruszające się pod wpływem światła lasera. Odpowiednio dobierając właściwości takich systemów naukowcy są w stanie ustanowić korelację pomiędzy obiema właściwościami kwantowymi, a co za tym idzie, zmniejszyć niepewność pomiaru i zredukować szum kwantowy.
      Dotychczas optomechaniczne ściskanie wymagało wielkich instalacji i warunków kriogenicznych. Działo się tak, gdyż w temperaturze pokojowej energia termiczna otaczająca system mogła mieć wpływ na jego działanie i wprowadzała szum termiczny, który był silniejszy od szumu kwantowego, jaki próbowano redukować. Dlatego też takie systemy pracowały w temperaturze zaledwie 10 kelwinów (-263,15 stopni Celsjusza). Tam gdzie potrzebna jest kriogenika, nie ma mowy o niewielkim przenośnym systemie. Jeśli bowiem urządzenie może pracować tylko w wielkiej zamrażarce, to nie możesz go z niej wyjąć i uruchomić poza nią, wyjaśnia Mavalvala.
      Dlatego też zespół z MIT pracujący pod kierunkiem Nancy Aggarval, postanowił zbudować system optomechaczniczny z ruchomym lustrem wykonanym z materiałów, które absorbują minimalne ilości energii cieplnej po to, by nie trzeba było takiego systemu chłodzić. Uczeni stworzyli bardzo małe lustro o średnicy 70 mikrometrów. Zbudowano je z naprzemiennie ułożonych warstw arsenku galu i arsenku galowo-aluminowego. Oba te materiały mają wysoce uporządkowaną strukturę atomową, która zapobiega utratom ciepła. Materiały nieuporządkowane łatwo tracą energię, gdyż w ich strukturze znajduje się wiele miejsc, gdzie elektrony mogą się odbijać i zderzać. W bardziej uporządkowanych materiałach jest mniej takich miejsc, wyjaśnia Aggarwal.
      Wspomniane wielowarstwowe lustro zawieszono na wsporniku o długości 55 mikrometrów. Całości nadano taki kształt, by absorbowała jak najmniej energii termicznej. System przetestowano na Louisiana State University. Dzięki niemu naukowcy byli w stanie określić kwantowe fluktuacje liczby fotonów względem czasu ich przybycia do lustra. Pozwoliło im to na zredukowanie szumu o 15% i uzyskanie bardziej precyzyjnego „ściśniętego” promienia.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Za znalezienie luki w produktach Apple'a można będzie otrzymać do miliona dolarów. Ivan Krstic, odpowiedzialny w Apple'u za kwestie bezpieczeństwa, poinformował podczas dorocznej konferencji Black Hat, że firma zwiększa z 200 000 do 1 000 000 limit kwoty, jaką płaci za znalezione dziury. Przedsiębiorstwo chce w ten sposób zachęcić odkrywców luk, by informowali je o ich istnieniu, zamiast by sprzedawali je na czarnym rynku.
      Co więcej, program nagród nie będzie ograniczony tylko do iPhone'a ale będzie dotyczył również innych produktów, jak iPad, Mac, Apple Watch czy Apple TV.
      Dotychczas firma płaciła do 200 000 USD za informacje o dziurach, ale krytykowano ją, że to zbyt mała kwota, więc istnieje pokusa sprzedaży informacji na czarnym rynku, co negatywnie odbiłoby się na bezpieczeństwie użytkowników firmowych produktów.
      Oczywiście nie dostaniemy miliona dolarów za każdą informację o luce. Najwyższą kwotę przewidziano tylko dla znalazców najpoważniejszych najbardziej groźnych dziur. Ponadto do 500 000 dolarów zwiększono kwotę za informacje o dziurach pozwalających na nieuprawniony dostęp do danych użytkownika.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Eksperci z firmy Eclypisium ostrzegają, że ponad 40 sterowników dla systemu Windows zawiera dziury, które mogą zostać wykorzystane do ataku na pecety i serwery. Błędy występują w produktach wielu gigantów IT, takich jak Intel, Toshiba, Huawei czy Asus. Narażone na atak są wszystkie wersje Windows.
      Dziury znalezione przez pracowników Eclypsium pozwalają na zwiększenie uprawnień w dostępie do sprzętu. Za ich powstanie odpowiada niedbałość w pisaniu kodu i niezwracanie uwagi na kwestie bezpieczeństwa.
      Eclypsium już poinformowało wszystkich 20 producentów sterowników. Dotychczas 15 z nich poprawiło swoje oprogramowanie. Sterowniki załatali m.in. Intel, Huawei, Toshiba, NVIDIA, Gigabyte, Biostar, AsRock, AMI, Realtek, ASUSTek czy AMD. Kilku producentów nie wypuściło jeszcze poprawek, dlatego ich nazw nie ujawniono.
      Błędy w sterownikach zdarzają się dość często. W czerwcu Microsoft poprawiał swój sterownik dla urządzeń bezprzewodowych firmy Broadcom, a w marcu specjaliści z Redmond poinformowali Huawei o znalezieniu dziury w sterowniku highendowych MateBook'ów.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Gavin Thomas, który w Microsofcie sprawuje funkcję Principal Security Engineering Manager, zasugerował, że ze względów bezpieczeństwa czas porzucić języki C i C++. Thomas argumentuje na blogu Microsoftu, że rezygnacja ze starszych języków na rzecz języków bardziej nowoczesnych pozwoli na wyeliminowanie całej klasy błędów bezpieczeństwa.
      Od 2004 roku każdy błąd naprawiony w oprogramowaniu Microsoftu jest przez nas przypisywany do jednej z kategorii. Matt Miller podczas konferencji Blue Hat w 2019 roku zauważył, że większość tych dziur powstaje wskutek działań programistów, którzy przypadkowo wprowadzają do kodu C i C++ błędy związane z zarządzeniem pamięcią. Problem narasta w miarę jak Microsoft tworzy coraz więcej kodu i coraz silniej zwraca się w stronę oprogramowania Open Source. A Microsoft nie jest jedyną firmą, która ma problemy z błędami związanymi  z zarządzaniem pamięcią, pisze Thomas.
      W dalszej części swojego wpisu menedżer wymienia liczne zalety C++, ale zauważa, że język ten ma już swoje lata i pod względem bezpieczeństwa czy metod odstaje od nowszych języków. Zamiast wydawać kolejne zalecenia i tworzyć narzędzia do walki z błędami, powinniśmy skupić się przede wszystkim na tym, by programiści nie wprowadzali błędów do kodu, czytamy.
      Dlatego też Thomas proponuje porzucenie C++. Jednym z najbardziej obiecujących nowych języków programistycznych zapewniających bezpieczeństwo jest Rust, opracowany oryginalnie przez Mozillę. Jeśli przemysł programistyczny chce dbać o bezpieczeństwo, powinien skupić się na rozwijaniu narzędzi dla developerów, a nie zajmować się tymi wszystkimi pobocznymi sprawami, ideologią czy przestarzałymi metodami i sposobami rozwiązywania problemów.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Niedawno donosiliśmy o wynikach badań, z których wynika, że oceany ogrzały się bardziej niż dotychczas sądziliśmy. Teraz ich autorzy informują, że popełnili błąd w obliczeniach. Podkreślają przy tym, że pomyłka nie falsyfikuje użytej metodologii czy nowego spojrzenia na biochemię oceanów, na których metodologię tę oparto. Oznacza jednak, że konieczne jest ponowne przeprowadzenie obliczeń.
      Jak mówi współautor badań, Ralph Keeling, od czasu publikacji wyników badań w Nature, ich autorzy zauważyli dwa problemy. Jeden z nich związany jest z nieprawidłowym podejściem do błędów pomiarowych podczas mierzenia poziomu tlenu. Sądzimy, że łączy efekt tych błędów będzie miał niewielki wpływ na ostateczny wynik dotyczący ilości ciepła pochłoniętego przez oceany, ale wynik ten będzie obarczony większym marginesem błędu. Właśnie prowadzimy ponowne obliczenia i przygotowujemy się do opublikowania autorskiej poprawki na łamach Nature, stwierdza Keeling.
      Redakcja Nature również postanowiła pochylić się nad problemem. Dla nas, wydawców, dokładność publikowanych danych naukowych ma zasadnicze znaczenie. Jesteśmy odpowiedzialni za skorygowanie błędów w artykułach, które opublikowaliśmy, oświadczyli przedstawiciele pisma.

      « powrót do artykułu
×
×
  • Create New...