Сбой программного обеспечения или проблема 2010

Новый 2010 год начался неприятным сюрпризом не только для системных администраторов, но и для обычных клиентов европейских банков. Многие владельцы пластиковых карт не смогли обналичить деньги в банкоматах и рассчитаться пластиковыми картами через терминалы. Проблема была вызвана ошибкой в программном обеспечении чипов, которыми были оснащены банкоматы.

Ошибка при обработке 2010 года затронула не только ПО для банкоматов, но и ряд программных решений различных производителей. Первой была замечена ошибка в ПО для фильтрации спама Spamassasin. Из-за правила, включенного по умолчанию FH_DATE_PAST_20XX, все почтовые сообщения обозначались как спам.

Компания Symantec вчера опубликовала на своем сайте бюллетень, в котором сообщается об ошибке в Symantec Endpoint Protection Manager (SEPM) сервере. Ошибка, возникшая при обработке 2010 года, не позволяет установить обновления, вышедшие после 31,12,2009. Компании пришлось выпустить исправление задним числом, увеличив его порядковый номер, чтобы пользователи смогли его установить. Таким образом, последнее обновление rev 114 от 31.12.2009 устанавливает обновления за 02.01.2010.

Проблемное ПО:

* Symantec Endpoint Protection v11.x Product Line
* Symantec Endpoint Protection Small Business Edition v12.x Product Line

Symantec обещает устранить ошибку в скором времени.

По умолчанию дата окончания срока действия файлов куки в Cisco CSM load balancer установлена в 01.01.2010 года, таким образом, все приложения не могли корректно работать.

Источник

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Уязвимости робота-игрушки позволяли общаться с чадом без ведома родителей

В «Лаборатории Касперского» изучили обучающего робота китайского производства и обнаружили уязвимости, которые можно использовать для получения данных о ребенке и общения с ним втайне от родителей. Вендора поставили в известность, проблемы уже решены.

Подвергнутая анализу подвижная детская игрушка, по словам экспертов, представляет собой интерактивное Android-устройство с цветным экраном, микрофоном и видеокамерой. В комплект входят игровые и обучающие приложения для детей, голосовой ассистент, средства подключения к интернету и связи с родителями через приложение, установленное на их смартфонах.

При начальном запуске робот просит обновить софт, выбрать сеть Wi-Fi, привязаться к устройству родителя (чтобы тот смог звонить и отслеживать активность и успехи ребенка), а также ввести имя и возраст пользователя.

Исследование показало, что умный гаджет общается со своим сервером по HTTP, и все данные передаются в открытом виде (сейчас перешел на HTTPS — после обновления прошивки). В результате злоумышленник мог, используя сетевой анализатор, перехватить информацию о ребенке.

Некоторые сетевые запросы тоже позволяли получить конфиденциальные данные. Так, токен доступа к API формировался на основе юзернейма, пароля и ключа, однако сервер отдавал его, не проверяя правильность пароля.

Запрос конфигурации осуществлялся по уникальному ID, однако последний можно было угадать подбором: он состоял из девяти символов и был схож с идентификатором P/N (номером партии), указанным на корпусе робота. Подобная возможность позволяла получить информацию о владельце игрушки, такую как имя, пол, возраст, IP-адрес, страна проживания.

Другой запрос по тому же ID возвращал имейл и телефонный номер родителя, а также код для привязки его мобильного устройства — одноразовый шестизначный пароль, который в отсутствие лимита на попытки ввода легко ломался брутфорсом. Заполучив такие ключи, злоумышленник мог перепривязать робота, подменив родительский аккаунт своим.

 

Исследование также выявило неадекватность защиты видеосвязи: при открытии сессии не проводилось надлежащих проверок. Из-за этого можно было, используя камеру и микрофон, звонить ребенку без ведома родителей.

 

Система обновления робота тоже оказалась несовершенной: отдаваемые с сервера архивы не заверялись подписью. В результате злоумышленник потенциально имел возможность заменить такой файл вредоносным.

«При покупке умных устройств необходимо обращать внимание не только на их развлекательные и образовательные опции, но и на уровень защищённости, — комментирует Николай Фролов, старший исследователь Kaspersky ICS CERT. — Мы рекомендуем родителям внимательно изучать обзоры умных игрушек, следить за новостями об обновлениях программного обеспечения и по возможности присматривать за ребёнком, пока он взаимодействует с таким гаджетом».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru