Our very first livestream! Sorry for game audio :(
Innholdsfortegnelse:
Facebook har patched et alvorlig sårbarhet som kunne ha tillatt angriperne å enkelt få tilgang til private brukerkonto data og kontrollere kontoer ved å lure brukerne til å åpne Nir Goldshlager, forskeren som hevder å ha funnet feilen og rapporterte den til Facebook, sendte en detaljert beskrivelse og video demonstrasjon av hvordan angrepet fungerte på bloggen sin.
Sårbarheten ville ha gitt en potensiell angriper å stjele sensitive informasjonstyper kjent som OAuth-tilgangstokener. Facebook bruker OAuth-protokollen for å gi tredjepartsprogrammer tilgang til brukerkontoer etter at brukerne har godkjent dem. Hver applikasjon tildeles en unik tilgangstoken for hver brukerkonto.
[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]
Goldshlager fant et sikkerhetsproblem på Facebooks nettsteder for mobile og berøringsaktiverte enheter som stammer fra feil sanitering av URL-baner. Dette tillot ham å lage nettadresser som kunne vært brukt til å stjele tilgangstoken for alle applikasjoner en bruker hadde installert på profilen deres.Mens de fleste applikasjoner på Facebook er tredjepartsapper som brukerne må godkjenne manuelt, er det en Få innebygde applikasjoner som er forhåndsgodkjent. En slik applikasjon er Facebook Messenger; Tilgangstokenet utløper ikke hvis ikke brukeren endrer passordet, og det har omfattende tillatelser for tilgang til kontodata.
Facebook Messenger kan lese, sende, laste opp og administrere meldinger, meldinger, bilder, e-post, videoer og mer. URL-manipulasjonsproblemet som ble funnet på m.facebook.com og touch.facebook.com, kunne ha blitt utnyttet for å stjele en brukers tilgangstoken til Facebook Messenger, som ville ha gitt angriperen full tilgang til kontoen, sa Goldshlager.
Fingered av bug-hunter
Angrepsadressen kunne ha blitt forkortet med en av de mange URL-korttjenestene og sendt til brukerne masquerading som en lenke til noe annet. Angrepet ville også ha jobbet med kontoer som hadde Facebooks tofaktorautentisering aktivert, sa Goldshlager.
Med tilgangstoken og brukerens Facebook-ID kan en angriper trekke ut informasjon fra brukerkontoen ved hjelp av Graph API Explorer, en Verktøy for utviklere tilgjengelig på Facebooks nettsted, sa Goldshlager fredag via e-post.
Ifølge Goldshlager fastsatte sikkerhetslaget for Facebook sikkerhetsproblemet. "Facebook har et profesjonelt sikkerhetslag, og de løser problemer veldig fort," sa han.
"Vi applauder sikkerhetsforskeren som har brakt dette problemet og for ansvarlig rapportering av feilen til vårt White Hat-program," en Facebook-representant sa fredag via e-post. "Vi jobbet med teamet for å sikre at vi forsto det fulle omfanget av sikkerhetsproblemet, som tillot oss å fikse det uten noen bevis på at denne feilen ble utnyttet i naturen. På grunn av den ansvarlige rapporteringen av dette problemet til Facebook har vi ikke noe bevis for at brukerne ble påvirket av denne feilen. Vi har gitt forskere en bounty til å takke dem for deres bidrag til Facebook Security. "
Forskeren hevder at han også fant andre OAuth-relaterte sårbarheter som påvirker Facebook, men nektet å avsløre noen informasjon om dem fordi de har" t har blitt løst ennå.
Facebook driver et bug-bounty-program der det betaler penger til sikkerhetsforskere som finner og ansvarlig rapporterer sårbarheter som påvirker nettstedet.
Goldshlager sa på Twitter at han ennå ikke har blitt betalt av Facebook for rapporterer dette sikkerhetsproblemet, men bemerket at rapporten inneholdt flere sikkerhetsproblemer, og at han sannsynligvis vil motta belønningen etter at alle har blitt løst.
Facebook betaler sikkerhetsforskere veldig bra for å finne og rapportere feil, sa Goldshlager via e-post. "Jeg kan ikke si hvor mye, men de betaler mer enn noe annet bugs-bounty-program som jeg vet."
Oppdatert kl. 11:55, PT for å inkludere en kommentar fra Facebook.
Microsoft fikk en splittet beslutning i føderal domstol om hvorvidt den tidlige markedsføringen av Vista var en løgn. Retten bestemte seg for at spørsmålet ikke skulle være en klassehandling - som faktisk kan avslutte saken - men tillot saksøkerne å fortsette sin handling hvis de velger.
Jeg tror ikke det er noen tvil om at Microsoft dramatisk undervurdert maskinvarekravene som kreves for å kjøre Vista. Jeg tror også Vista Home tilbyr så lite av Vista-opplevelsen, allerede en dramatisk nedskalert versjon av Vista-løftet - at det er rimelig å si at folk som kjører Vista Home, ikke kjører Vista i det hele tatt. Ingen Aero-grensesnitt = Ingen Vista.
I forrige uke annonserte en britisk mann han hadde funnet den tapt byen Atlantis ved hjelp av Google Ocean - den nyeste tillegget til Google Earth som har 3D-bademetri, som lar deg utforske havbunnen. Det antatte Atlantis-bildet er ca 620 miles utenfor den nordvestlige kysten av Afrika og sør for Portugal. Det viser et rektangulært rutenett med det som ser ut som veier som fører bort fra det ved koordinatene 31 15'15.53N 24 15'30.53W. Ifølge The Telegraph, avisen som først rapporterte "oppd
Fredagens søk utløste intenst interesse online til tross for den farfetched kravet. Mange riper på hodet, lurer på, hva om? Tross alt syntes dette undervannsfunnet å matche plasseringen Plato hadde beskrevet i hans skrifter. Platon sa at Atlantis var en massiv øy som var "større enn Libya og Asia sammen", og ligger i et fjernt punkt i Atlanterhavet ... foran munnen til stolpene i Hercules. > Google Quashes Atlantis Buzz
Bredt brukte trådløse IP-kameraer som er åpne for kapring via Internett, sier forskere
Tusenvis av trådløse IP-kameraer koblet til Internett har alvorlige sikkerhetssvakheter som tillater angripere å kapre dem og endre fastvaren sin, ifølge to forskere fra sikkerhetsfirmaet Qualys.