This feed does not validate.
"http://my.netscape.com/publish/formats/rss-0.91.dtd">
^
"http://my.netscape.com/publish/formats/rss-0.91.dtd">
^
"http://my.netscape.com/publish/formats/rss-0.91.dtd">
^
In addition, interoperability with the widest range of feed readers could be improved by implementing the following recommendation.
line 23, column 303: (10 occurrences) [help]
... legram.me/bugtraq">Telegram</a></description>
^
<?xml version="1.0" encoding="utf-8"?><!DOCTYPE rss PUBLIC "-//Netscape Communications//DTD RSS 0.91//EN" "http://my.netscape.com/publish/formats/rss-0.91.dtd"><rss version="0.91"> <channel> <title>BugTraq.Ru</title> <description>Информационная безопасность без паники и всерьез</description> <link>https://bugtraq.ru/</link> <image> <title>BugTraq.Ru</title> <url>https://bugtraq.ru/img/button.gif</url> <link>https://bugtraq.ru/</link> <width>88</width> <height>31</height> </image><item> <title>Бэкдор в xz/liblzma, предназначенный для атаки ssh-серверов</title> <link>https://bugtraq.ru/rsn/archive/2024/03/02.html</link> <description>Совершенно прекрасный бэкдор в библиотеке liblzma, входящей в состав архиватора xz, обнаружил разработчик из Microsoft Андрес Фройнд. Один из двух основных разработчиков xz JiaT75 в конце февраля добавил в архивированный релиз (tarball) скрипт, который вызывался при сборке deb/rpm-пакетов и внедрял в библиотеку вредоносный код, меняя поведение функций crc32_resolve и crc64_resolve. При вызове выполнялись различные проверки (типа процессора, параметров вызова программы, переменных окружения и т.п.), после чего происходил довольно медленный парсинг символьных таблиц динамически загружаемых библиотек (что и обратило на себя внимание Фройнда). Полный анализ сильно обфусцированного кода еще не закончен, предварительно он предназначен для удаленного исполнения кода, не требующего предварительной авторизации. Несмотря на то, что стандартный openssh не использует liblzma, некоторые популярные дистрибутивы включают в него поддержку уведомлений systemd, а вызываемая при этом libsystemd уже использует liblzma. За последние...<a href="//bugtraq.ru/rsn/archive/2024/03/02.html" title="полный текст">&raquo;&raquo;</a><br><a href="http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=17&m=169419">обсуждение</a> | <a href="https://telegram.me/bugtraq">Telegram</a></description> <pubDate>Sat, 30 Mar 2024 17:23:00 +0300</pubDate> <category>bugtraq</category> <category>ssh</category></item><item> <title>Три миллиона электронных замков готовы открыть свои двери</title> <link>https://bugtraq.ru/rsn/archive/2024/03/01.html</link> <description>Около трех миллионов популярных электронных замков Saflok швейцарской компании dormakaba, которыми оборудованы многие отели (около 13 тысяч), парковки и лифты в 131 странах, оказались подвержены уязвимости, получившей название, конечно же, Unsaflok. Чтобы воспользоваться уязвимостью, потребуются две карты — одна перепрограммирует замок, вторая его откроет. Модификация карт может быть проделана с помощью такого оборудования, как Flipper Zero, или даже просто Android-смартфоном с поддержкой NFC.<p>Производитель начал работу по исправлению уязвимости в ноябре 2023 года, спустя год после обнаружения. Пока заменено около 36 процентов замков.<br><a href="http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=17&m=169417">обсуждение</a> | <a href="https://telegram.me/bugtraq">Telegram</a></description> <pubDate>Fri, 22 Mar 2024 20:22:08 +0300</pubDate> <category>bugtraq</category> <category>уязвимости</category></item><item> <title>Doom на газонокосилках</title> <link>https://bugtraq.ru/rsn/archive/2024/02/01.html</link> <description>Husqvarna совместно с Bethesda подготовила к выходу к апрелю (и вроде бы не к первому) версию Doom, работающую на роботизированных газонокосилках Nera (ценой в жалкую пару тысяч долларов), <a href="https://www.youtube.com/watch?v=lp3X4IL4_UA">ролик с анонсом прилагается</a>. Печально, но столь полезная функция будет временной и отключится 9 сентября. Жаль, что не на бензопилах, было бы аутентичней.<br><a href="http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=17&m=169412">обсуждение</a> | <a href="https://telegram.me/bugtraq">Telegram</a></description> <pubDate>Wed, 28 Feb 2024 17:19:00 +0300</pubDate> <category>bugtraq</category></item><item> <title>Умер Никлаус Вирт</title> <link>https://bugtraq.ru/rsn/archive/2024/01/01.html</link> <description>1 января скончался Никлаус Вирт, создатель Паскаля, Модулы и Оберона, автор классического учебника «Алгоритмы + структуры данных = программы», один из отцов структурного программирования.<br><a href="http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=17&m=169407">обсуждение</a> | <a href="https://telegram.me/bugtraq">Telegram</a></description> <pubDate>Thu, 04 Jan 2024 14:05:00 +0300</pubDate> <category>bugtraq</category> <category>rip</category></item><item> <title>С наступающим</title> <link>https://bugtraq.ru/rsn/archive/2023/12/03.html</link> <description>И традиционное поздравление с неуклонно приближающимся unix time 1704056400.<br><a href="http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=17&m=169405">обсуждение</a> | <a href="https://telegram.me/bugtraq">Telegram</a></description> <pubDate>Sun, 31 Dec 2023 23:59:00 +0300</pubDate> <category>bugtraq</category> <category>ny</category></item><item> <title>Четверть приложений, использующих Log4j, до сих пор уязвима</title> <link>https://bugtraq.ru/rsn/archive/2023/12/02.html</link> <description>Спустя два года после обнародования крайне опасной <a href="https://bugtraq.ru/rsn/archive/2021/12/01.html">уязвимости в используемой для протоколирования библиотеке Apache Log4j</a> каждое четвёртое приложение с Log4j по-прежнему остаётся уязвимым. Судя по тому, что 32% потенциальных жертв вообще пользуется версиями, вышедшими до 2014, они в принципе не пытались что-то обновлять после своего запуска.<br><a href="http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=17&m=169403">обсуждение</a> | <a href="https://telegram.me/bugtraq">Telegram</a></description> <pubDate>Mon, 11 Dec 2023 18:29:00 +0300</pubDate> <category>bugtraq</category> <category>уязвимости</category> <category>java</category></item><item> <title>Google Drive находит файлы</title> <link>https://bugtraq.ru/rsn/archive/2023/12/01.html</link> <description>Google подтвердила, что небольшое число пользователей Google Drive for desktop версий с 84.0.0.0 по 84.0.4.0 <a href="https://bugtraq.ru/rsn/archive/2023/11/01.html">столкнулось с проблемой синхронизации локальных файлов</a> (с точки зрения пользователей проявлявшейся в потере этих файлов). Версия 85.0.13.0 для Windows и macOS получила инструмент для их восстановления, доступный как через меню, так и из командной строки. После завершения восстановления файлы будут записаны в отдельный каталог, по умолчанию Google Drive Recovery на рабочем столе. Для успешного восстановления важно, чтобы пользователь не успел отключить десктопный клиент от своего аккаунта и удалить каталог %USERPROFILE%\AppData\Local\Google.<br><a href="http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=17&m=169401">обсуждение</a> | <a href="https://telegram.me/bugtraq">Telegram</a></description> <pubDate>Thu, 07 Dec 2023 01:46:00 +0300</pubDate> <category>bugtraq</category> <category>google</category></item><item> <title>Google Drive теряет файлы</title> <link>https://bugtraq.ru/rsn/archive/2023/11/01.html</link> <description>Ряд пользователей Google Drive потерял данные за несколько месяцев. Первой ласточкой стало сообщение на форуме поддержки от южнокорейского пользователя, который обнаружил, что его Drive откатился на состояние мая 2023 года. В комментариях отметился еще десяток с лишним пользователей, сообщивших об аналогичных проблемах, плюс нашлись и независимые сообщения. Пострадавшие стали получать письма от службы поддержки, в которых признавалось наличие проблемы. Google исследует случившееся, но пока безуспешно. Пользователям, столкнувшимся с подобными симптомами, рекомендовано не вносить никакие изменения и не пытаться ничего восстанавливать самостоятельно.<br><a href="http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=17&m=169400">обсуждение</a> | <a href="https://telegram.me/bugtraq">Telegram</a></description> <pubDate>Mon, 27 Nov 2023 20:02:00 +0300</pubDate> <category>bugtraq</category> <category>google</category></item><item> <title>Атака в стиле Meltdown на iOS/macOS-браузеры</title> <link>https://bugtraq.ru/rsn/archive/2023/10/03.html</link> <description>Обнародованные пять с лишним лет назад <a href="https://bugtraq.ru/rsn/archive/2018/01/01.html">атаки Meltdown и Spectre</a>, основанные на использовании механизма спекулятивного выполнения команд в немирных целях, открыли совершенно новый класс атак, представители которого с тех пор периодически всплывают в самых разных окружениях, несмотря на различные ухищрения разработчиков процессоров и компиляторов.<p>На этот раз под раздачу попал Safari и другие браузеры, основанные на движке WebKit и работающие под iOS/macOS на процессорах A12-A15 и M1-M2, разработанных Apple для своих устройств.<p>Ключевым фактором использования уязвимости, описанной группой исследователей iLeakage, стала способность WebKit объединять обработку сайтов с разных доменов в рамках одного процесса при использовании метода JavaScript window.open.<p>Для успешного осуществления атаки уязвимый браузер должен провести около пяти минут на атакующем его сайте. После того, как процесс калибровки будет закончен, эта страница может использовать...<a href="//bugtraq.ru/rsn/archive/2023/10/03.html" title="полный текст">&raquo;&raquo;</a><br><a href="http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=17&m=169398">обсуждение</a> | <a href="https://telegram.me/bugtraq">Telegram</a></description> <pubDate>Wed, 25 Oct 2023 22:40:50 +0300</pubDate> <category>bugtraq</category> <category>apple</category> <category>уязвимости</category></item><item> <title>Microsoft планирует избавиться от NTLM</title> <link>https://bugtraq.ru/rsn/archive/2023/10/02.html</link> <description>Несмотря на то, что с 2000 года основным протоколом аутентификации в Windows стал Kerberos, в ситуациях, когда контроллер домена недоступен или просто отсутствует, по-прежнему используется NTLM-аутентификация. Microsoft планирует решить эту проблему, добавив в Windows 11 поддержку IAKerb для ситуаций, когда контроллер домена напрямую недоступен, и локального Key Distribution Center (KDC) for Kerberos для поддержки локальных аккаунтов, типичных для домашних сетей. Microsoft предполагает в дальнейшем мониторить активность использования NTLM, надеясь в будущем полностью отключить его поддержку.<br><a href="http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=17&m=169396">обсуждение</a> | <a href="https://telegram.me/bugtraq">Telegram</a></description> <pubDate>Sun, 15 Oct 2023 18:40:00 +0300</pubDate> <category>bugtraq</category> <category>microsoft</category></item> </channel></rss> 
