How to Set Up a JVC Television
Εάν τρέχετε μια τράπεζα και χρησιμοποιείτε μια IP κάμερα από τη D-Link, ίσως θελήσετε να δώσετε προσοχή σε αυτό.
Ένας αριθμός κάμερες παρακολούθησης IP που βασίζονται σε IP που έχουν δημιουργηθεί από την D-Link, έχουν ευπάθειες υλικολογισμικού που θα μπορούσαν να επιτρέψουν σε έναν εισβολέα να παρεμποδίσει τη ροή βίντεο, σύμφωνα με τους ερευνητές ασφαλείας.
Η Core Security, μια εταιρεία με έδρα τη Βοστώνη που ειδικεύεται στην ανίχνευση και έρευνα ευπάθειας, στο σταθερό λογισμικό της D-Link, το οποίο είναι τυλιγμένο σε τουλάχιστον 14 από τα προϊόντα της.
Οι ερευνητές της Core Security διαπίστωσαν ότι ήταν δυνατή η πρόσβαση χωρίς αυθεντικότητα ζωντανής ροής βίντεο μέσω του RTSP (πρωτόκολλο ροής σε πραγματικό χρόνο) καθώς και μέσω της εξόδου ASCII μιας ροής βίντεο στα επηρεαζόμενα μοντέλα. Το RTSP είναι ένα πρωτόκολλο σε επίπεδο εφαρμογών για τη μεταφορά δεδομένων σε πραγματικό χρόνο, σύμφωνα με την Task Force του Ιντερνετ Μηχανικών.
Οι ερευνητές βρήκαν επίσης ένα πρόβλημα με τον πίνακα ελέγχου που θα επιτρέπει σε έναν χάκερ να εισάγει αυθαίρετες εντολές. Σε ένα άλλο σφάλμα, τα D-Link κωδικοποιημένα στοιχεία πιστοποίησης στο υλικολογισμικό που "χρησιμεύουν αποτελεσματικά ως backdoor, τα οποία επιτρέπουν στους απομακρυσμένους εισβολείς να έχουν πρόσβαση στην ροή βίντεο RTSP", ανέφερε ο Core Security στις συμβουλευτικές υπηρεσίες του.
Περιγράφονται οι τεχνικές λεπτομέρειες σε μια θέση στην ενότητα Full Disclosure της Seclists.org, μαζί με μια λίστα με τα γνωστά προϊόντα που επηρεάστηκαν, μερικά από τα οποία έχουν καταργηθεί σταδιακά από την D-Link.
Η Core Security κοινοποίησε το πρόβλημα στις 29 Μαρτίου, σύμφωνα με μια καταγραφή της αλληλεπίδρασης των δύο εταιρειών που περιλαμβάνεται στην απόσπαση με πλήρη αποκάλυψη. Το ημερολόγιο, που γράφτηκε από τον Core, περιέχει ενδιαφέρουσες λεπτομέρειες για το πώς οι δύο εταιρείες αντιστοιχούσαν και προφανώς είχε κάποιες διαφωνίες.
Σύμφωνα με την Core, η D-Link δήλωσε ότι είχε ένα "μη δημοσιευμένο πρόγραμμα γενναιόδωρων προμηθευτών ασφαλείας". Πολλές εταιρείες έχουν προγράμματα σφάλματος που ανταμείβουν τους ερευνητές με μετρητά ή άλλα κίνητρα για την εξεύρεση ζητημάτων ασφάλειας στα προϊόντα τους και την ενημέρωσή τους προτού δημοσιοποιήσουν τις λεπτομέρειες.
Περίπου 20 Μαρτίου, η D-Link ζήτησε από την Core Security να υπογράψει ένα " ως μέρος του προγράμματος, το οποίο η Core απέρριψε. Οι όροι του σημειώματος δεν περιγράφηκαν. Η Core δήλωσε στην D-Link ότι "η παραλαβή χρημάτων από τους πωλητές μπορεί να προκαλέσει την παρατήρηση της έκθεσης."
Οι δύο εταιρείες είχαν μια άλλη μικρή συνάντηση. Η D-Link είπε στην Core ότι θα απελευθερώσει τα μπαλώματα και τις οδηγίες για να διορθώσει τα προβλήματα στο Φόρουμ Υποστήριξης της D-Link. Στη συνέχεια, η D-Link θα περιμένει έναν μήνα προτού προβεί σε δημόσια ανακοίνωση.
Η βασική ασφάλεια δεν μου άρεσε αυτή η πρόταση. Τελευταία Τετάρτη, η Core ζήτησε από τη D-Link "για διευκρίνιση σχετικά με την ημερομηνία κυκλοφορίας του D-Link και ειδοποιεί ότι η απελευθέρωση των διορθώσεων σε μια προνομιούχα κλειστή ομάδα ή / και ένα κλειστό φόρουμ ή λίστα είναι απαράδεκτη"
Το φόρουμ της D-Link έχει ένα πεδίο σύνδεσης, αλλά φαίνεται ότι ο καθένας μπορεί να δει πολλές από τις αναρτήσεις χωρίς να εγγραφεί. Η D-Link επέστρεψε μια μέρα αργότερα και είπε ότι τα μπαλώματα είναι έτοιμα και θα τοποθετηθούν στο δικτυακό της τόπο "τις επόμενες μέρες", γράφει ο Core.
Η D-Link δεν απάντησε άμεσα σε αιτήματα για σχόλια. Ήταν ασαφές από το φόρουμ υποστήριξης της εταιρείας, αν οι ενημερώσεις του firmware είχαν δημοσιευθεί ακόμα.
Η Core Security πίστευε τους ερευνητές της Francisco Francisco, Nahuel Riva, Martin Rocha, Juan Cotta, Pablo Santamaria και Fernando Miranda με την εύρεση των προβλημάτων. >
Το νέο λογισμικό Flash Player 10 που κυκλοφόρησε την Τετάρτη διορθώνει ελαττώματα ασφαλείας στο λογισμικό πολυμέσων της Adobe, συμπεριλαμβανομένων σφαλμάτων που θα μπορούσαν να επιτρέψουν στους χάκερς η οποία είναι γνωστή ως επίθεση clickjacking, έγραψε ο εκπρόσωπος της Adobe, David Lenoe, σε μια ανάρτηση ιστολογίου.
Για όσους δεν μπορούν να ενημερώσουν τη νέα αυτή έκδοση του Flash, μια ενημερωμένη έκδοση κώδικα ασφαλείας Flash 9 είναι ακόμα περίπου ένα μήνα μακριά, πρόσθεσε . Το Adobe εκτιμά το σφάλμα clickjacking ως «κρίσιμο».
Ο στόχος είναι να δημιουργηθούν μηχανές που να είναι μυαλοειδείς και να προσαρμόζονται στις αλλαγές, οι οποίες θα μπορούσαν να επιτρέψουν στις εταιρείες να βρουν μεγαλύτερη αξία στα δεδομένα τους. Αυτή τη στιγμή, η πλειοψηφία της αξίας της πληροφορίας χάνεται, αλλά τα σχετικά δεδομένα μπορούν να επιτρέψουν στις επιχειρήσεις ή τα άτομα να λαμβάνουν έγκαιρες αποφάσεις εγκαίρως ώστε να έχουν σημαντικό αντίκτυπο.
"Αν μπορούσαμε να σχεδιάσουμε υπολογιστές που θα μπορούσαν να βρίσκονται σε περιβάλλοντα πραγματικού κόσμου και η αίσθηση και η ανταπόκριση με έναν έξυπνο τρόπο, θα ήταν ένα τεράστιο βήμα προς τα εμπρός ", ανέφερε η Modha.
Η Microsoft γενικά απελευθερώνει μόνο επιδιορθώσεις εκτός του κανονικού μηνιαίου κύκλου της για τις πιο επικίνδυνες ελλείψεις ασφαλείας. Οι κίνδυνοι IE περιλαμβάνουν "στοιχεία και ελέγχους που έχουν αναπτυχθεί χρησιμοποιώντας ευάλωτες εκδόσεις της Microsoft Active Template Library", σύμφωνα με την Microsoft, και θα μπορούσαν να επιτρέψουν σε έναν εισβολέα να εκτελέσει εντολές ή να μεταφορτώσει κακόβουλο λογισμικό σε έναν ευάλωτο υπολογιστή εάν απλά προβάλετε μια κακόβουλη ιστοσελίδα .
Σύμφωνα με τη Microsoft, αυτή η ενημερωμένη έκδοση κώδικα MS09-034 "βαθμολογείται ως κρίσιμη για τον Internet Explorer 5.01 και τον Internet Explorer 6 Service Pack 1 που εκτελούνται σε υποστηριζόμενες εκδόσεις των Microsoft Windows 2000 · Κρίσιμη για τον Internet Explorer 6, τον Internet Explorer 7 και τον Internet Explorer 8 που εκτελούνται σε υποστηριζόμενες εκδόσεις των Windows XP · Κρίσιμη για τον Internet Explorer 7 και τον Internet Explorer 8 που εκτελούνται σε υποστηριζόμενες εκδόσεις τω