Поиск
Показаны результаты для тегов 'исправлять'.
Найдено: 3 результата
-
Microsoft опубликовала документ «Security Servicing Commitments for Windows» («Обязательства по обеспечению безопасности для Windows»), в котором компания рассказала о своих обязательствах касательно исправления уязвимостей в операционной системе. В частности, в документе описано, какие именно проблемы программисты Microsoft будут исправлять, а какие останутся без внимания. Документ призван дать экспертам по кибербезопасности более четкое понимание особенностей, ограничений и процессов в ОС Windows, а также пояснить обязательства по обслуживанию, которые берет на себя компания. «Мы заинтересованы в обратной связи когда дело касается нашей сервисной политики, и надеемся, что наши критерии покажутся вам, исследователям, логичными», - следует из документа. Как пояснили в Microsoft, при обнаружении очередной уязвимости действуют два критерия оценки: Угрожает ли найденая уязвимость особенностям операционной системы, которые Microsoft защищает? Достигает ли опасность уязвимости определенного уровня? Утвердительный ответ на оба вопроса означает, что проблемой займутся программисты Microsoft, а исправления для всех поддерживаемых продуктов будут выпущены в кратчайшие сроки. Если ответ хотя бы на один из вопросов будет «нет», тогда компания отложит исправление уязвимости до выпуска новой версии ОС. В документе также описаны уровни опасности уязвимостей: «критический», «высокий», «средний», «низкий» и «нулевой». Компания будет исправлять только уязвимости уровня «критический» и «высокий».
-
- microsoft
- рассказала
-
(и ещё 4 )
C тегом:
-
Администрация социальной сети «ВКонтакте» не стала исправлять серьезную уязвимость в функции импорта звонков, позволяющую получить доступ к номеру телефона любого пользователя. Проблему выявил 18-летний житель Воронежа, программист Сергей Вакулин, после чего уведомил администрацию ресурса о проблеме. Как сообщил Вакулин, уязвимость до сих пор существует и потенциально может быть проэксплуатирована злоумышленниками. Администрация соцсети отложила разработку соответствующего исправления, поскольку не сочла проблему достойной внимания. По словам программиста, данная уязвимость существует уже сравнительно давно – порядка 5 лет. «Как оказалось, моей уязвимости уже пять лет, можно сказать, юбилей. На протяжении пяти лет все пользователи, которые используют «ВКонтакте», подвергались этой опасности. В 2013 году был запущен импорт, с 2013 по 2018 год в настройках приватности не было такой опции как „кто может видеть мой номер при импорте“. По умолчанию эта опция находилась в стандартном режиме „все пользователи“. По поему мнению, этой уязвимостью пользовались многие подпольные компании», - отметил Вакулин. Реакция администрации «ВКонтакте» не удивила программиста. По его словам, множество экспертов по кибербезопасности сталкивались с несправедливостью со стороны руководства соцсети. «Они предлагали мне оплату, а минимальная оплата составляет 100 долларов, но почитал в интернете отзывы — многим моим коллегам-программистам не выплачивали эту денежную сумму, ссылаясь на то, что это вовсе не уязвимость. То есть дыру заделали, а оплату так и не совершили, в дальнейшем игнорили программистов, и в конечном итоге человек прождал восемь месяцев, и ему так и не выплатили за его уязвимость и за его потраченное время», - добавил Вакулин. В дальнейшем, программист планирует и далее заниматься исследованием подобных уязвимостей в других социальных сетях. Комментарий пресс-службы «ВКонтакте». «Сергей так и не смог предоставить доказательства наличия уязвимости. Как мы уже заявляли, названные им способы не являются рабочими — перебором нельзя идентифицировать профиль пользователя. ВКонтакте ежегодно выплачивает десятки тысяч долларов специалистам по информационной безопасности в рамках программы HackerOne — они сообщают об обнаружении технических уязвимостей в сервисах компании и официальных мобильных приложениях и получают за это вознаграждение.
-
- «вконтакте»
- торопится
-
(и ещё 4 )
C тегом:
-
Эксплуатируемая хакерами уязвимость нулевого дня (CVE-2017-7269) затрагивает порядка 600 тыс. компьютеров под управлением Windows по всему миру, однако Microsoft не намерена ее исправлять. Производитель объясняет отсутствие патча тем, что данная версия ОС больше не поддерживается. Исследователи Южно-китайского технологического университета обнаружили уязвимость в Windows Server 2003 и опубликовали PoC-код эксплоита на GitHub. Проблема эксплуатируется с середины 2016 года, однако о ней стало широко известно только на прошлой неделе, когда все больше хакеров стали работать над своими эксплоитами. Уязвимость присутствует в компоненте IIS WebDAV и может быть проэксплуатирована с помощью специально сконфигурированного запроса с использованием команды PROPFIND. С ее помощью злоумышленник может вызвать отказ в обслуживании или выполнить произвольный код. Проблема ставит под угрозу сотни тысяч компьютеров по всему миру, однако Microsoft остается непреклонной и не будет выпускать обновление. Компания не поддерживает Windows Server 2003 с 2015 года с целью подстегнуть пользователей к установке более новых версий ОС. Данная уязвимость является ярким примером угрозы безопасности информации предприятий, использующих устаревши версии ПО. В случае невозможности отказаться от Windows Server 2003 рекомендуется отключить WebDAV.