ΑρχικήSecurityΤο API της Kaspersky ανοιχτό σε κατάχρηση από websites

Το API της Kaspersky ανοιχτό σε κατάχρηση από websites

Οι ευπάθειες στο λογισμικό της Kaspersky έχουν αφήσει ένα εσωτερικό API ανοιχτό σε κατάχρηση από webmasters και οι προσπάθειες για την ενημέρωση κώδικα έχουν αποτύχει μέχρι στιγμής.

Την Δευτέρα, ο προγραμματιστής λογισμικού Wladimir Palant τεκμηριώνει τον μύθο, ο οποίος ξεκίνησε αφού άρχισε να ερευνά τις λειτουργίες του Kaspersky Web Protection που περιλαμβάνονται σε λογισμικό όπως το Kaspersky Internet Security 2019. Η λειτουργικότητα της online προστασίας περιλαμβάνει σαρώσεις των αποτελεσμάτων αναζήτησης για την εξάλειψη δυνητικά κακόβουλων link, και την παρακολούθηση της πρόληψης.

Τον Δεκέμβριο του περασμένου έτους, ο προγραμματιστής βρήκε ένα σύνολο τρωτών σημείων και ζητημάτων ασφαλείας στη λειτουργία προστασίας του Web, τα οποία μπορούν να ενεργοποιηθούν από οποιονδήποτε website.

Kaspersky

#secnews #bostondynamics #robodog 

Ο σκύλος ρομπότ Spot της Boston Dynamics παίζει μπάλα. Τα Ρομπότ σκύλοι της Boston Dynamics μαθαίνουν να παίζουν με μπαλάκι, χάρη σε ένα μείγμα τεχνητής νοημοσύνης (AI) και όρασης υπολογιστή, που τα βοηθά να εστιάζουν σε αντικείμενα. Σε μια νέα μελέτη που δημοσιεύτηκε στις 10 Οκτωβρίου στο περιοδικό IEEE Robotics and Automation Letters, οι ερευνητές ανέπτυξαν μια μέθοδο που ονομάζεται "Clio" που επιτρέπει στα ρομπότ να χαρτογραφούν γρήγορα μια σκηνή χρησιμοποιώντας κάμερες στο σώμα τους και να εντοπίζουν τα μέρη που είναι πιο σχετικά με την εργασία τους. 

00:00 Εισαγωγή
00:34 Μέθοδος Clio 
00:57 Boston Dynamics Spot
01:32 Καινοτομία του Clio

Μάθετε περισσότερα: https://www.secnews.gr/627579/skylos-robot-spot-boston-dynamics-paizei-mpala/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #bostondynamics #robodog

Ο σκύλος ρομπότ Spot της Boston Dynamics παίζει μπάλα. Τα Ρομπότ σκύλοι της Boston Dynamics μαθαίνουν να παίζουν με μπαλάκι, χάρη σε ένα μείγμα τεχνητής νοημοσύνης (AI) και όρασης υπολογιστή, που τα βοηθά να εστιάζουν σε αντικείμενα. Σε μια νέα μελέτη που δημοσιεύτηκε στις 10 Οκτωβρίου στο περιοδικό IEEE Robotics and Automation Letters, οι ερευνητές ανέπτυξαν μια μέθοδο που ονομάζεται "Clio" που επιτρέπει στα ρομπότ να χαρτογραφούν γρήγορα μια σκηνή χρησιμοποιώντας κάμερες στο σώμα τους και να εντοπίζουν τα μέρη που είναι πιο σχετικά με την εργασία τους.

00:00 Εισαγωγή
00:34 Μέθοδος Clio
00:57 Boston Dynamics Spot
01:32 Καινοτομία του Clio

Μάθετε περισσότερα: https://www.secnews.gr/627579/skylos-robot-spot-boston-dynamics-paizei-mpala/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Llhhazl0LU9ya29J

Ο σκύλος ρομπότ Spot της Boston Dynamics παίζει μπάλα

SecNewsTV 19 hours ago

Το Web Protection πρέπει να είναι σε θέση να επικοινωνεί με την κύρια εφαρμογή Kaspersky και την τιμή ενός μυστικού value, η οποία θεωρητικά δεν είναι γνωστή στους web domains και έχει τη δυνατότητα να εξασφαλίσει ασφαλή επικοινωνία. Εντούτοις, ένα ελάττωμα ασφαλείας επέτρεψε στους ιστότοπους να αποσπάσουν αυτό το κλειδί “αρκετά εύκολα”, σύμφωνα με την Palant, και “να τους επιτρέψουν να δημιουργήσουν μια σύνδεση με την εφαρμογή Kaspersky και να στείλουν εντολές ακριβώς όπως θα κάνανε το Web Protection”.

Οι επεκτάσεις Chrome και Firefox χρησιμοποιούν εγγενή μηνύματα για την ανάκτηση της υπογραφής, ενώ ο Internet Explorer διαβάζει script injections. Χωρίς την επέκταση του προγράμματος περιήγησης, το Kaspersky θα εισάγει τα scripts του απευθείας στα website και εδώ εμφανίστηκε η πρώτη ευπάθεια CVE-2019-15685, μέσω της κατάχρησης του URL Advisor και των frames, προκειμένου να εξαχθεί η υπογραφή.

“Τα website θα μπορούσαν να χρησιμοποιήσουν αυτήν την ευπάθεια, για παράδειγμα, για να απενεργοποιήσουν σιωπηρά τη λειτουργικότητα προστασίας adblocking και παρακολούθησης”, λέει ο προγραμματιστής. “Θα μπορούσαν επίσης να κάνουν αρκετά πράγματα όπου ο αντίκτυπος δεν ήταν τόσο προφανής.”

Αφού αναφέρθηκε το ελάττωμα, η Kaspersky ανέπτυξε μια λύση τον Ιούλιο του 2019, εμποδίζοντας την πρόσβαση σε ορισμένες λειτουργίες σε δικτυακούς τόπους στα προϊόντα του 2020. Ωστόσο, θα μπορούσαν να γίνουν αποδεκτές και άλλες εντολές, όπως οι ιστοσελίδες με whitelisting στα adblockers (CVE-2019-15686). Ένα νέο ζήτημα προέκυψε επίσης λόγω του αποτυχημένου patch: τα website είχαν πρόσβαση στα δεδομένα του συστήματος χρηστών, συμπεριλαμβανομένων των μοναδικών αναγνωριστικών της εγκατάστασης Kaspersky σε υπολογιστή (CVE-2019-15687).

Αυτή η απροσδόκητη εισαγωγή δεδομένων δεν ήταν το τέλος της ιστορίας. Η Palant λέει ότι το patch εισήγαγε επίσης μια νέα ευπάθεια που θα μπορούσε να χρησιμοποιηθεί για να προκαλέσει μια συντριβή στη διαδικασία αντιμετώπισης ιών, αφήνοντας τα συστήματα ευάλωτα σε εισβολές, όπως το CVE-2019-15686.

Η επιχείρηση του κυβερνοχώρου επιχείρησε στη συνέχεια να επιδιορθώσει την κατάσταση, επιλύοντας τη διαρροή δεδομένων και “κυρίως” τον καθορισμό του προβλήματος των συντριβών. οι ιστότοποι δεν θα μπορούσαν πλέον να προκαλέσουν “crash”, αλλά οι επεκτάσεις του προγράμματος περιήγησης ή οι τοπικές εφαρμογές πιθανώς θα μπορούσαν.

Μια νέα ενημερωμένη έκδοση κώδικα έχει αναπτυχθεί και θα κυκλοφορήσει στις 28 Νοεμβρίου, αλλά με μια εφεδρική προσέγγιση “script injection” αντί να βασίζεται καθαρά στις επεκτάσεις του προγράμματος περιήγησης, με το προγραμματιστή να μην έχει πολλές ελπίδες ότι θα επιλυθεί το πρόβλημα.

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS