• ГлавнаяНовостиНовостиНовости, 201801Новости, 201801 → Через торрент-клиент Transmission можно захватить ПК под Windows, Linux и MacOS

    Через торрент-клиент Transmission можно захватить ПК под Windows, Linux и MacOS

    Эксперт Google Project Zero, Тевис Орманди (Tavis Ormandy) опубликовал информацию о серьезной уязвимости в торрент-клиенте Transmission, которая позволяет захватывать контроль над компьютером жертвы.

    КиТ :: Будь в СЕТИ! KiT - Keep-inTouch :: RSS-лента

  • Anketka - Мнения, за которые платят деньги.

    LovePlanet - Соцсеть знакомств для веб-мастеров.

    Biglion - Сила коллективных покупок.

    admitad - Сайт партнерских программ и рекламы.

    Miralinks - Рекламная кампания размещения статей для продвижения социальных сетей и сайтов.

    Liex - Биржа статей и ссылок в социальных сетях.

    GoGetLinks - Система размещения платных обзоров со ссылками в социальных сетях и сайтах.

    GetGoodLinks - Ссылки в социальных сетях и сайтах для размещения навсегда.

    Sape - Деньги на привлечении вебмастеров и оптимизаторов.

    Skrill - Сервис перевода денег.

    CPAzilla - Программа заработка на сайтах знакомств.

    1PS - Регистрация сайта в каталогах.

    Link - Реклама на сайтах.

P.c{font-size:75%;text-align:right;}img{border:0;padding:1px;}table{display:table;border-spacing:10px;}td{display:table-cell;padding:10px;vertical-align:top;}input,textarea{border-radius:3px;border:1px solid grey;margin:2px;}/*Обратная связь и подписка - кнопки*/ .buttons{background:#e0ffff;color:#dc143c;border:1.5px solid black;}

Помимо подробных сведений об уязвимости, Орманди опубликовал и пробный эксплойт, позволяющий производить атаку на Transmission. Этот эксплойт использует функцию, которая позволяет управлять приложением BitTorrent через веб-браузер. По словам Орманди, большинство пользователей предпочитают не использовать защиту этого приложения паролем, поскольку предполагается, что интерфейс JSON RPC будет под контролем лишь тех, у кого есть физический доступ к компьютеру с запущенным клиентом Transmission.

Однако используя метод под названием DNS Rebinding, Орманди нашел способ удаленного управления интерфейсом Transmission. Для этого потребуется заманить жертву на вредоносный сайт. По словам исследователя, его пробная атака точно работает под браузерами Chrome и Firefox на Windows и Linux, и скорее всего будет эффективно на других платформах и под другими браузерами.

При атаке DNS Rebinding вредоносная страница запускает на машинах потенциальных жертв локальный скрипт, который производит атаку на другие машины в той же локальной сети. По идее, правила ограничения домена должны препятствовать этому: локальные скрипты могут получать доступ к контенту, располагающемуся только на том же хосте. Ключевой способ обеспечить соблюдения этого правила - это сравнение доменных имен; метод DNS Rebinding обходит его, используя некоторые особенности системы доменных имен (DNS).

В частности, потенциальные злоумышленники могут создать произвольное DNS-имя, а затем переадресовать его на имя localhost уязвимого компьютера.

Описание атаки

Сам Орманди так описал атаку. Пользователь посещает сайт attacker.com, в котором спрятан фрейм со ссылкой на субдомен под контролем злоумышленника. Злоумышленник настраивает DNS-сервер так, чтобы тот попеременно возвращал адреса 127.0.0.1 и 123.123.123.123 (контролируемый преступником адрес) с очень низким значением TTL (коротким временем существования).

Атака DNS Rebinding на клиент Transmission

/*Спойлер/Accordion - для рубрик*/.accordion [type=checkbox]{display:none;}.accordion ul{list-style:none;}.accordion label{display:block;cursor:pointer;line-height:25px;background:#d95b43;border-radius:5px 10px 0 0;border:1px solid #542437;}.accordion label:hover,.accordion [type=checkbox]:checked ~ label{background:#c02942;color:#fff;}.accordion .rubcontent{height:0;transition:all .1s ease .1s;overflow:hidden;}.accordion [type=checkbox]:checked ~ .rubcontent{height:20%;border:1px solid #542437;padding:1px;}.rubcontent [type=email], .rubcontent [type=submit]{display:block;margin:0 auto;}@media (min-width:801px){/*Рубрики справа*/ .advert{font-size:85%;position:relative;margin-left:83%;margin-right:10px;z-index:5;}/*Мобильное меню - скрыть*/ #mob_menu{display:none;}/*Новости - анонс*/ #phablet td{display:block;}}
ГлавнаяНовостиНовостиНовости, 201801Новости, 201801 → Через торрент-клиент Transmission можно захватить ПК под Windows, Linux и MacOS

Телевизионщики просят у властей зарегулировать видео в Рунете по образцу ТВ

Работу контентных интернет-платформ следует законодательно регулировать, а требования к ним в отношении правил размещения рекламы, структуры владения, возрастной квалификации приблизить к тем, которые действуют для вещателей. Такое предложение содерж...

Дочерняя компания Сбербанка займется автомобилями-беспилотниками

По планам SberAutoTech, первые беспилотные автомобили должны выехать на дороги общего пользования уже в конце 2020-го — начале 2021 года....

Доля отечественного ПО в закупках госорганов должна прирасти до 70%

Доля российского софта в стоимости закупок по итогам 2020 г. должна составить не менее 70% для госорганов и не менее 50% для госкорпораций и компаний с госучастием. Такие данные приводит «Коммерсант» со ссылкой на проект плана Правительства по достиж...

Сбербанк использует безработных в качестве разметчиков данных

Сбербанк предоставит безработным жителям семи регионов Северо-Кавказского федерального округа возможность зарабатывать на платформе разметки данных TagMe....

В Китае запретили популярный детский язык программирования, потому что он учит плохому

В Китае заблокирован веб-сайт американского образовательного проекта для детей Scratch. Об этом сообщил портал Techcrunch со ссылкой на данные сайта Greatfire.org, ведущего мониторинг доступности интернет-ресурсов на территории КНР....

[Популярные социальные сети][*Добавить сайт]


Группы: ВК | FB | Tw | OK

Рубрики | КАТАЛОГ | Новости | Контакты |