Kollyva or Koliva Funeral and Memorial Boiled Wheat - Κόλλυβα
Δύο ακαδημαϊκοί του πανεπιστημίου του Πρίνστον έχουν βρει έναν τύπο κωδικοποιητικού ελαττώματος σε αρκετές εξέχουσες ιστοσελίδες που θα μπορούσαν να θέσουν σε κίνδυνο τα προσωπικά δεδομένα και σε μια ανησυχητική περίπτωση, να στραγγίξουν έναν τραπεζικό λογαριασμό.
Ο τύπος ελαττώματος, (CSRF), επιτρέπει σε έναν εισβολέα να εκτελεί ενέργειες σε μια τοποθεσία Web για λογαριασμό ενός θύματος που είναι ήδη συνδεδεμένος στον ιστότοπο.
Οι ανεπάρκειες του CSRF έχουν αγνοηθεί σε μεγάλο βαθμό από τους προγραμματιστές του Διαδικτύου λόγω έλλειψης γνώσεων, έγραψε ο William Zeller και Edward Felten, ο οποίος συντάσσει ένα ερευνητικό έγγραφο σχετικά με τα ευρήματά τους.
Το ελάττωμα βρέθηκε στις ιστοσελίδες των The New York Times. ING Direct, τράπεζα αποταμιεύσεων των Η.Π.Α. YouTube στο Google. και το MetaFilter, έναν ιστότοπο blogging.
Για να εκμεταλλευτεί ένα ελάττωμα CSRF, ο εισβολέας πρέπει να δημιουργήσει μια ειδική ιστοσελίδα και να προσελκύσει ένα θύμα της σελίδας. Ο κακόβουλος ιστότοπος είναι κωδικοποιημένος για να στέλνει ένα αίτημα μεταξύ ιστότοπων μέσω του προγράμματος περιήγησης του θύματος σε έναν άλλο ιστότοπο.
Δυστυχώς, η γλώσσα προγραμματισμού που υποστηρίζει το Internet, HTML, διευκολύνει την εκτέλεση δύο τύπων αιτημάτων, που χρησιμοποιούνται για επιθέσεις CSRF, γράφουν οι συγγραφείς.
Το γεγονός αυτό δείχνει πώς οι προγραμματιστές του Διαδικτύου πιέζουν τον φάκελο προγραμματισμού για να σχεδιάσουν υπηρεσίες Web αλλά μερικές φορές με απρόβλεπτες συνέπειες.
"Η βασική αιτία του CSRF και παρόμοιων τρωτών σημείων την πολυπλοκότητα των σημερινών πρωτοκόλλων Web και τη σταδιακή εξέλιξη του ιστού από μια εγκατάσταση παρουσίασης δεδομένων σε μια πλατφόρμα για διαδραστικές υπηρεσίες ", σύμφωνα με το άρθρο.
Ορισμένες τοποθεσίες Web ορίζουν ένα αναγνωριστικό συνεδρίας, ένα κομμάτι πληροφοριών αποθηκευμένο σε ένα cookie, ή ένα αρχείο δεδομένων στο πρόγραμμα περιήγησης, όταν ένα άτομο συνδεθεί στον ιστότοπο. Το αναγνωριστικό συνεδρίας ελέγχεται, για παράδειγμα, κατά τη διάρκεια μιας ηλεκτρονικής αγοράς, για να εξακριβωθεί ότι το πρόγραμμα περιήγησης συμπεριλάμβανε τη συναλλαγή.
Κατά τη διάρκεια μιας επίθεσης CSRF, το αίτημα του χάκερ διαβιβάζεται μέσω του προγράμματος περιήγησης του θύματος. Ο ιστότοπος ελέγχει το αναγνωριστικό της περιόδου σύνδεσης, αλλά ο ιστότοπος δεν μπορεί να ελέγξει εάν το αίτημα προέρχεται από το σωστό άτομο.
Το πρόβλημα CSRF στην τοποθεσία Web της New York Times, σύμφωνα με το ερευνητικό έγγραφο, τη διεύθυνση ηλεκτρονικού ταχυδρομείου του χρήστη που έχει συνδεθεί στον ιστότοπο. Η διεύθυνση αυτή θα μπορούσε ενδεχομένως να μην είναι ανεπιθύμητη.
Ο ιστότοπος της εφημερίδας διαθέτει ένα εργαλείο που επιτρέπει στους συνδεδεμένους χρήστες να στέλνουν μια ιστορία σε κάποιον άλλο. Εάν επισκέπτεται το θύμα, ο ιστότοπος του hacker αποστέλλει αυτόματα εντολή μέσω του προγράμματος περιήγησης του θύματος για να στείλει ένα μήνυμα ηλεκτρονικού ταχυδρομείου από την τοποθεσία Web του ιστοτόπου. Εάν η διεύθυνση ηλεκτρονικού ταχυδρομείου προορισμού είναι η ίδια με εκείνη του hacker, θα αποκαλυφθεί η διεύθυνση ηλεκτρονικού ταχυδρομείου του θύματος.
Από τις 24 Σεπτεμβρίου, το ελάττωμα δεν είχε καθοριστεί, αν και οι συγγραφείς έγραψαν ότι κοινοποίησαν την εφημερίδα τον Σεπτέμβριο 2007.
Το πρόβλημα της ING είχε πιο ανησυχητικές συνέπειες. Οι Zeller και Felten έγραψαν το ελάττωμα της CSRF επέτρεψε τη δημιουργία ενός πρόσθετου λογαριασμού για λογαριασμό ενός θύματος. Επίσης, ένας εισβολέας θα μπορούσε να μεταφέρει χρήματα του θύματος στον δικό του λογαριασμό. Η ING έχει διορθώσει από τότε το πρόβλημα, έγραψαν.
Στην ιστοσελίδα του MetaFile, ένας χάκερ θα μπορούσε να αποκτήσει έναν κωδικό πρόσβασης ενός ατόμου. Στο YouTube, μια επίθεση θα μπορούσε να προσθέσει βίντεο στα "αγαπημένα" του χρήστη και να στείλει αυθαίρετα μηνύματα για λογαριασμό του χρήστη, μεταξύ άλλων ενεργειών. Και στα δύο σημεία, τα προβλήματα CSRF έχουν καθοριστεί.
Ευτυχώς, τα ελαττώματα της CSRF είναι εύκολο να βρεθούν και να διορθωθούν εύκολα, τα οποία οι συγγραφείς δίνουν τεχνικές λεπτομέρειες στη δημοσίευσή τους. Δημιούργησαν επίσης ένα πρόσθετο για το Firefox που υπερασπίζεται ορισμένα είδη επιθέσεων CSRF.
Η ομάδα των επτά μεγάλων βιομηχανικών χωρών που εξέφρασαν έντονη ανησυχία για την πρόσφατη απότομη άνοδο της αξίας του γιέν δεν έκανε τίποτα για να σταματήσει την άνοδο του νομίσματος. Οι συναλλαγές ανήλθαν στις 92,85 ¥ με το δολάριο ΗΠΑ στις 4 μ.μ. το νέο γιεν κάνει τα ιαπωνικά αγαθά ακριβότερα στο εξωτερικό και επίσης μειώνει την αξία των κερδών που πραγματοποιούνται στο εξωτερικό όταν μεταφέρονται στην Ιαπωνία, χτυπώντας εταιρείες που είναι σημαντικοί εξαγωγείς όπως η Sony. Η άνοδος του νομίσ
Μερίδια στη Sony , η οποία έχασε το 12% της αξίας της την Παρασκευή, χτυπήθηκε και πάλι σκληρά και έκλεισε 8% στα 1,821 δολάρια (19,59 δολάρια ΗΠΑ).
Για να το κάνετε αυτό, έχουν εκμεταλλευτεί ένα σφάλμα τα ψηφιακά πιστοποιητικά που χρησιμοποιούν οι ιστότοποι για να αποδείξουν ότι είναι αυτοί που ισχυρίζονται ότι είναι. Χρησιμοποιώντας τα γνωστά ελαττώματα στον αλγόριθμο κατακερματισμού MD5 που χρησιμοποιήθηκε για τη δημιουργία ορισμένων από αυτά τα πιστοποιητικά, οι ερευνητές μπόρεσαν να παραβιάσουν την αρχή έκδοσης πιστοποιητικών RapidSSL.com της Verisign και να δημιουργήσουν ψεύτικα ψηφιακά πιστοποιητικά για οποιαδήποτε τοποθεσία στο Διαδί
Η Microsoft έχει κυκλοφορήσει τις ενημερώσεις ασφαλείας της για το μήνα Σεπτέμβριο, αλλά μερικές ατέλειες που δεν καλύπτονται, μερικοί ειδικοί στην ασφάλεια αναρωτιούνται εάν η εταιρεία λογισμικού θα αναγκαστεί να κυκλοφορήσει μια ενημερωμένη έκδοση κώδικα έκτακτης ανάγκης κάποια στιγμή τον επόμενο μήνα. ένα μη επεξεργασμένο σφάλμα στο λογισμικό SMB (Server Message Block) 2 που παραδίδεται με τα Windows Vista και τον Windows Server 2008 θα μπορούσε να μετατραπεί σε σοβαρό πονοκέφαλο.
Έγινε απόδειξη κώδικα έννοιας που δείχνει πώς μπορεί να χρησιμοποιηθεί το σφάλμα για να καταρρεύσει ένα μηχάνημα των Windows Δευτέρα έως τη λίστα αλληλογραφίας Full Disclosure από τον Laurent Gaffie