FÆTR - Farlig
Et krav om en software sårbarhed i et program, der bruges til at forbinde sikkert til servere på tværs af internettet, er sandsynligvis en hoax, ifølge en analytiker hos SANS Internet Storm Center.
Programmet kaldet OpenSSH (Secure Shell), installeres på titusinder af servere fremstillet af leverandører som Red Hat, Hewlett-Packard, Apple og IBM. Det bruges af administratorer til at foretage krypterede forbindelser med andre computere og udføre opgaver som fjernopdatering af filer. OpenSSH er open source-versionen, og der er kommercielle versioner af programmet.
Tidligere i ugen modtog SANS en anonym e-mail, der påstod en nulldagssårbarhed i OpenSSH, hvilket betyder, at en fejl i softwaren allerede er udnyttes efterhånden som det bliver offentligt. Det er den farligste type software sårbarhed, da det betyder, at der ikke er nogen løsning på det endnu, og de dårlige kender det.
[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]En ægte nulldagssårbarhed i OpenSSH kunne være ødelæggende for internettet, så hackere kunne få adgang til servere og pc'er indtil en løsning eller en patch er færdig.
"Det er derfor, jeg tror, at folk rent faktisk skaber en del panik", sagde Bojan Zdrnja, en SANS-analytiker og senior informationskonsulent hos Infigo, et sikkerheds- og penetrationstestfirma i Zagreb, Kroatien. "Folk bør ikke panik lige nu. Intet på dette tidspunkt peger på, at der er en udnyttelse, der bruges i naturen."
Beviset om en sand nul dags sårbarhed i OpenSSH er svag, sagde Zdrnja. Analytikere har hidtil ikke set en fungerende udnyttelse på trods af bekymringer for, at en gruppe, der hedder Anti-Sec, måske har fundet en nul-dag, der tillod dem at kontrollere en webserver. Detaljer om hacken blev offentliggjort på Full Disclosure, hvilket er et uformelt forum for sikkerhedsinformation.
Når der trykkes for flere detaljer, skrev en person, der hævder at være en del af Anti-Sec, en e-mail til IDG News Service, der sagde "jeg Jeg har ikke lov til at diskutere udnyttelsen (eller om den eksisterer), "som blev underskrevet" Anonym. "
Zdrnja sagde, at den samme gruppe for nylig kompromitterede en anden server, men det syntes at være et brutalt kraftangreb mod OpenSSH. Et brutalt kraftangreb er, hvor en hacker forsøger mange kombinationer af godkendelsesoplysninger for at få adgang til en server. Hvis en administrator bruger enkle log-ins og adgangskoder, gør det en server mere sårbar over for et voldsomt angreb, sagde Zdrnja.
Begge de kompromitterede servere blev drevet af samme person. "Jeg antager, at det vi har at gøre med her, er to hackere i en krig mellem hinanden," sagde Zdrnja.
Men der findes andre faktorer, der indikerer en null-dag for OpenSSH, der ikke eksisterer. Hvis nuldagen eksisterede, ville hackere sandsynligvis være mere tilbøjelige til at bruge den mod en mere profileret server end den seneste, der blev kompromitteret, sagde Zdrnja.
En af OpenSSHs udviklere, Damien Miller, kastede også koldt vand om muligheden for en nul-dag. Miller skrev på et OpenSSH forum onsdag, at han udvekslede e-mails med et påstået offer for nuldagen, men angrebene syntes at være "simple brute-force." "
" "Så jeg overbeviser mig ikke om, at en nul-dag eksisterer overhovedet, "skrev Miller. "Det eneste bevis indtil videre er nogle anonyme rygter og uverifiable indbrudskriptioner."
Der synes også at være en vis forvirring mellem den påståede nuldag og en anden sårbarhed i OpenSSH, sagde Zdrnja. Denne sårbarhed, som er fra endnu ikke-patrulerede, kunne give en hacker mulighed for at gendanne op til 32 bit almindelig tekst fra en vilkårlig blok af ciphertext fra en forbindelse sikret ved hjælp af SSH-protokollen i standardkonfigurationen ifølge en rådgivning fra UK ' s Center for beskyttelse af National Infrastructure (CPNI).
Sværhedsgraden af sårbarheden betragtes som høj, men chancen for en vellykket udnyttelse er lav, ifølge CPNI. Zdrnja sagde, at administratorer kan implementere stærkere godkendelsesmekanismer i OpenSSH ved hjælp af offentlige og private nøgler for at beskytte et vellykket angreb. I en rådgivende oplysning udtalte OpenSSH også, at muligheden for et vellykket angreb var lavt.
Microsoft Patches Sikkerhedsfejl i Produkter
Microsoft har udgivet patches til Exchange, SQL Server og Windows, herunder en løsning for en udbredt fejl i DNS.
Da Epic's designteam blev præsenteret for Gears of War 2s historie i interviews tidligere i år, pralede det over, at efterfølgeren til sin mega-sælgende tredjeparts taktiske skydespil ville have mere hjerte. De sjovede ikke. Gears 2 har alle slags hjerte, kun ikke af de grunde, du sandsynligvis tænker. Lad os bare sige, at du ikke ville fejle dette dygtigt pacede og obsessivt detaljerede spil's cranked cardiac fetish for den dobbelte humped ikon ætset på lykønskningskort eller i slutningen af
Jeg taler mest om historien, selvfølgelig effektivt MIA fra Gears of War, og længe rygter om at være "dybere" denne gang rundt. I juli gik Carlos Ferro, skuespilleren, der stemmer Dominic Santiago (en af dine holdkammerater i spillet) så langt som at hævde, at Gears 2 ville være "mere følelsesmæssigt påvirket" end Irrational's BioShock, et spil fejret ofte for sin usædvanlige tematiske modenhed . Ferro's kommentarer forlod diehard fans breathless men resten af os ærligt forvirret. De oprinde
Den nyoprettede Wireless Gigabit (WiGig) Alliance ser sandsynligvis ud til at spille en stor rolle i fremtiden for Wi-Fi, men dens højhastighedsteknologi vil sandsynligvis ikke presse ud kablede multimedienetværk.
Alliancen, som blev annonceret i sidste uge og ledet af flere store Wi-Fi-chipproducenter sammen med Microsoft, Nokia og de store forbrugerelektronikfirmaer, sagde det er på sporet for at færdiggøre en specifikation inden årets ende for 6Gb per sekund (Gbps) trådløse netværk. Det overstiger enhver tilgængelig trådløs teknologi. Men WiGig vil bruge 60 GHz radiospektrum, hvor frekvenserne er så høje, at de egner sig hovedsagelig til indretning på værelset.