Post on 16-Jul-2015
transcript
https://mta.openssl.org/pipermail/openssl-users/2015-March/000778.htmlhttps://www.openssl.org/news/secadv_20150319.txt
Forthcoming OpenSSL releases============================
The OpenSSL project team would like to announce the forthcoming releaseof OpenSSL versions 1.0.2a, 1.0.1m, 1.0.0r and 0.9.8zf.
These releases will be made available on 19th March. They will fix anumber of security defects. The highest severity defect fixed by thesereleases is classified as "high" severity.
Yours
The OpenSSL Project Team
19-Mar-2015: Security Advisory: twelve security fixes
http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Pwn2Own-2015-Exploitation-at-its-Finest/ba-p/6708265
Pwn2Own 2015
3 bugs in Adobe Reader3 bugs in Adobe Flash3 bugs in the Windows operating system2 bugs in Internet Explorer 112 bugs in Mozilla Firefox$317,500 USD bounty paid out to researchers
Windows-based targets:Google Chrome (64-bit): $75,000Microsoft Internet Explorer 11 (64-bit with EPM-enabled): $65,000Mozilla Firefox: $30,000Adobe Reader running in Internet Explorer 11 (64-bit with EPM-enabled): $60,000Adobe Flash (64-bit) running in Internet Explorer 11 (64-bit with EPM-enabled): $60,000
Mac OS X-based targets:Apple Safari (64-bit): $50,000
http://zaufanatrzeciastrona.pl/post/ty-tez-mogles-dostac-swoj-wlasny-certyfikat-ssl-dla-domeny-microsoftu/
live.fi (Microsoft) – Comodo SSL Fail
http://www.bgpmon.net/what-caused-the-google-service-interruption/http://research.dyn.com/2015/03/uk-traffic-diverted-ukraine/
BGP redirect – (Google, British Telecom) - FAIL
https://freakattack.com/
FREAK (Factoring Attack on RSA-EXPORT Keys CVE-2015-0204) is a weakness in some implementations of SSL/TLS that may allow an attacker to decrypt secure communications between vulnerable clients and servers.
http://www.chiark.greenend.org.uk/~sgtatham/putty/changes.htmlhttp://zaufanatrzeciastrona.pl/post/blad-windows-uzyty-w-stuxnecie-nie-byl-prawidlowo-zalatany-od-5-lat/
Security fix: PuTTY no longer retains the private half of users' keys in memory by mistake after authenticating with them. See private-key-not-wiped-2. (Sorry! We thought we'd fixed that in 0.63, but missed one.)
Podstawową bronią Stuxnetu był błąd w przetwarzaniu plików LNK (СVE-2010-2568), który pozwalał infekować każdy komputer, do którego został podłączony zarażony napęd USB.
http://avlab.pl/wpadki-antywirusow-aktualizacja-sygnatur-pandy-mogla-spowodowac-uszkodzenie-systemu
Panda AV - FAIL
● McAfee, który unieruchomił ponad 800 tysięcy komputerów przenosząc do kwarantanny plik svchost.exe,
● Autodestrukcja Bitdefendera, który podobnie postępował z własnymi plikami i plikami systemu Windows,● Także ESET wydając niepoprawną aktualizację doprowadził do zasypywania użytkowników błędami,● Comodo, które samo uznało swój serwis weryfikacji SSL za niegodny zaufania,● F-Secure omyłkowo infekował komputery w Wielkiej Brytanii,● Malwarebytes Anti-Malware wykrywał samego siebie jako zagrożenie,● Sophosh, który usunął swój moduł aktualizacji,● Trend Micro identyfikował niektóre pliki systemowe jako trojany● Avira, która Windowsy wyłączyła.
SQL Injection over SIP
http://zaufanatrzeciastrona.pl/post/polaczeniami-telefonicznymi-do-sqli-czyli-jak-hakuja-prawdziwi-mistrzowie/
http://googleprojectzero.blogspot.com/2015/03/exploiting-dram-rowhammer-bug-to-gain.html
Exploiting the DRAM rowhammer bug to gain kernel privileges
“Rowhammer” is a problem with some recent DRAM devices in which repeatedly accessing a row of memory can cause bit flips in adjacent rows. We tested a selection of laptops and found that a subset of them exhibited the problem. We built two working privilege escalation exploits that use this effect.
HTTP Strict Transport Security comes to Internet Explorer
Strict-Transport-Security: max-age=15552000; preload
There are two important changes that impact users on sites using HSTS. First, when there is a certification error with a HSTS server, the
user will not be able to click through and ignore the certificate error; they must abort their connection. Second, mixed content is not supported on servers supporting HSTS; all the content must be secure.
http://blogs.msdn.com/b/ie/archive/2015/02/16/http-strict-transport-security-comes-to-internet-explorer.aspx
Google przez pomyłkę ujawniło ukryte dane właścicieli 280 tysięcy domen
http://zaufanatrzeciastrona.pl/post/google-przez-pomylke-ujawnilo-ukryte-dane-wlascicieli-280-tysiecy-domen/
Największa szwedzka gazeta zaliczyła właśnie spektakularną wpadkę. W poradniku opisującym, jak
szyfrować za pomocą PGP poufne materiały przesyłane do redakcji, załączyła przez przypadek swój klucz
prywatny. I to nie pierwszy raz.
http://zaufanatrzeciastrona.pl/post/jak-bezpiecznie-szyfrowac-poczte-pgp-a-oto-nasz-klucz-prywatny/