Azure Friday | Azure App Service with Hybrid Connections to On-premises Resources
Una novità critica difetto in SSL o Secure Sockets Layer utilizzato per proteggere il traffico Web per operazioni bancarie online, acquisti e qualsiasi altra connessione https, consente a un utente malintenzionato di penetrare in qualsiasi connessione teoricamente protetta e aggiungere comandi dannosi.
Sfruttare la falla richiede accedere al traffico di rete specifico tra un client, ad esempio un browser Web e un Web o un altro server. Ciò significa che la maggior parte degli utenti domestici probabilmente non verrebbero presi di mira in modo specifico da uno di questi potenziali attacchi man-in-the-middle, secondo Marsh Ray, ricercatore di sicurezza presso PhoneFactor, che fornisce soluzioni di autenticazione a due fattori basate su telefono.
Tuttavia, le aziende e le organizzazioni sono probabilmente obiettivi. Per Ray, qualsiasi traffico protetto da SSL potrebbe potenzialmente essere vulnerabile, sia che si tratti di un sito https, di comunicazioni di database protette o di una connessione di posta elettronica protetta. Il problema non consente la decrittografia e il furto dei dati crittografati con SSL, ma consente invece l'inserimento di qualsiasi comando nel flusso di comunicazioni.
[Ulteriori letture: Come rimuovere il malware dal PC Windows]Questo sarebbe abbastanza brutto per il traffico https, in cui è possibile creare un browser Web vittima per inviare dati a un sito controllato da un utente malintenzionato. E potrebbe rivelarsi devastante per un server di database.
Ray afferma che PhoneFactor ha originariamente trovato il difetto ad agosto mentre eseguiva i test di sicurezza interni e lo manteneva tranquillo mentre i produttori e i gruppi di software interessati lavoravano a una correzione. Nel frattempo, però, un ricercatore indipendente ha trovato il difetto e ha infranto le notizie.
Le patch sono in corso ma non ancora disponibili. La soluzione attualmente proposta richiederà l'applicazione di patch a tutte le applicazioni client e server, inclusi browser Web, programmi di posta elettronica e qualsiasi altro programma che utilizza librerie SSL, secondo Ray.
Il post di PhoneFactor sul problema è disponibile sul sito dell'azienda e il ricercatore di sicurezza Chris Paget ha pubblicato i suoi pensieri sull'argomento (scorri verso il basso i commenti per vedere un po 'avanti e indietro tra Ray e Paget). Il servizio di notizie di IDG ha anche una buona storia sull'argomento.
La Scandinavia si incrina sugli annunci indesiderati di Facebook
Facebook potrebbe essere portato in tribunale da organizzazioni di consumatori dei paesi nordici se non smette di inserire annunci non richiesti nei feed di notizie degli utenti.
Foro di plug-in di Facebook che permetteva il dirottamento dell'account
Facebook ha patchato una grave vulnerabilità che avrebbe potuto consentire agli aggressori di accedere facilmente ai dati e al controllo dell'account utente privato account che inducono gli utenti ad aprire link appositamente predisposti, un ricercatore di sicurezza di applicazioni Web ha detto giovedì.
Ricercatore: gli hacker possono causare ingorghi di traffico manipolando i dati del traffico in tempo reale
Gli hacker possono influenzare il flusso del traffico in tempo reale -Sistemi di analisi per far sì che le persone guidino negli ingorghi o per mantenere le strade libere nelle aree in cui molte persone usano i sistemi di navigazione di Google o Waze, un ricercatore tedesco ha dimostrato a BlackHat Europe.