V Mega doteraz objavených 5 + 2 zraniteľností

DSL.sk, 11.2.2013

V novej službe webového úložiska súborov s podporou ich verejného zdieľania Mega bolo doteraz nájdených spolu sedem bezpečnostných zraniteľností respektíve slabín.

Prevádzkovateľ služby o tom informoval cez víkend.

Služba minulý víkend vypísala za nájdenie bezpečnostných chýb odmenu, ktorej výška podľa závažnosti chyby dosahuje maximálne 10 tisíc eur. V tom čase boli podľa Mega identifikované a nahlásené tri zraniteľnosti.

Aktuálne Mega zverejnila aj svoju klasifikáciu závažnosti chýb, ktorá pozostáva zo šiestich tried. Najzávažnejšia trieda šesť zahŕňa potenciálne principiálne chyby v použitej schéme šifrovania, trieda päť chyby umožňujúce útočníkom spustiť na serveroch Mega zvolený kód alebo získať významejší prístup.

Takéto zraniteľnosti zatiaľ v službe identifikované neboli.

Najzávažnejšou doteraz nájdenou chybou, ktorú objavila hackerská skupina fail0verflow ešte pred vypísaním odmeny, bolo použitie úplne nevhodného kryptografického algoritmu CBC-MAC pre hash funkciu použitú na kontrolu integrity sťahovaného JavaScript kódu z CDN siete. Táto zraniteľnosť patrí do skupiny štyri, medzi zraniteľnosti v šifrovaní zneužiteľné po kompromitovaní serverov služby Mega.

V čase vypísania odmeny boli v službe známe ďalšie dve zraniteľnosti, zrejme obe typu XSS umožňujúce podvrhnúť a spustiť v rámci session užívateľa útočníkmi podvrhnutý JavaScript kód. Aktuálne boli nájdené už štyri XSS zraniteľnosti, napríklad XSS umožňujúca vložiť do stránky kód vďaka nedostatočnej kontrole mien súborov a priečinkov.

Tri z týchto zraniteľností boli triedy tri, jednoducho zneužiteľných XSS zraniteľností. Jedna z nich bola v použitom Flash komponente tretej strany, ZeroClipboard.swf. Štvrtá z XSS zraniteľností bola v triede dva, triede XSS zraniteľností zneužiteľných iba vďaka man-in-the-middle útoku alebo po kompromitovaní serverov Mega.

V triede jedna, ostatných menej závažných zraniteľností, boli objavené dve slabiny. Obe boli typu nedodržiavania všetkých možných bezpečnostných opatrení pre predchádzanie útokom, v jednom prípade išlo o neposielanie hlavičky HTTP Strict Transport Security a v druhom neposielanie hlavičky X-Frame-Options.

Koľko prevádzkovateľ Mega za nájdené zraniteľnosti spolu doteraz vyplatil v oznámení neuvádza, podľa informácií zverejnených v nedeľu Dotcomom za zraniteľnosti v triede tri vypláca ale po tisíc eur.


Najnovšie články:



Diskusia:

AA5AA Od: AA5AA | Pridané: 11.2.2013 9:36 Moze niekto kratko vysvetlit co su to za chyby ? Odpovedať Známka: -2.0 Hodnotiť:

Re: AA5AA Od: kakadu | Pridané: 11.2.2013 21:19 diery v trenkách asi Odpovedať Známka: 1.1 Hodnotiť:

Re: AA5AA Od: Deer | Pridané: 12.2.2013 13:24 Vysvetlit ti to mozeme ale necakaj, ze to pochopis: http://bitly.com/14PNPHs Odpovedať Hodnotiť:

deravy web Od reg.: kokotia_halava | Pridané: 11.2.2013 9:44 takyto odflaknuty deravy projekt od najvacsich warezokov a hekrov teda nikto necakal. A to hakery su najlepsi programatory zrobia web ktory im sam pohakujem este ja sam. Odpovedať Známka: -8.8 Hodnotiť:

Re: deravy web Od: Alino  | Pridané: 11.2.2013 9:52 ten nick ti teda sedi, mega je este v beta verzii a doladuju sa veci, aj security. Takze si to mozu zatial dovolit mat chyby, a preco nie? Ked operacne systemy maju miliony vulnerabilit a uz su vo full release. Takto maju v mega este super pristup ze vypisu odmenu za najdenie chyb, a skupiny skillerov na zranitelnosti na webe ako je fail0verflow alebo lulzsec, budu este aj motivovany najst a nahlasit chybu priamo im a nezneuzit ju. Ale kokotia hlava je kokotia hlava... Odpovedať Známka: 8.7 Hodnotiť:

Re: deravy web Od reg.: kokotia_halava | Pridané: 11.2.2013 9:57 nikto do takeho deraveho systemu z ktoreho je mozne odsifrovat data nebude davat predsa dolezite udaje odkladat do neho aj tak. Akurat tak fotky z dovolenky co je halba celeho systemu Odpovedať Známka: -8.6 Hodnotiť:

Re: deravy web Od: jajajajajajaja | Pridané: 11.2.2013 10:13 bez urazky, ale mal by si sa liecit... ak to uz robis, tak si pytaj ine lieky, lebo tieto nepomahaju... to co tu produkujes na DSL uz nejaky cas, nieje normalne a mozno ty sa zabavas, no nam je ta len luto... ked raz dosiahnes vyssiu mentalnu uroven, tak prides na to, ze ake detinske bolo tvoje spravanie a uprimne drzim palce aby si tu uroven co najskor dosiahol... Odpovedať Známka: 8.6 Hodnotiť:

Re: deravy web Od reg.: kokotia_halava | Pridané: 11.2.2013 10:22 vyjadri sa k teme a prestan ma urazat.V mojich ocias si klesol na moralne dno. S uchylmi nechcem mat nic spolocne. Odpovedať Známka: -7.9 Hodnotiť:

Re: deravy web Od: barbar onan | Pridané: 11.2.2013 10:31 nie sú to závažné chyby vzhľadom k očakávanému obsahu. Určite na Mega nebudú účtovné závierky, analýzy, vedecký výskum a pod. že si tam niekto nahrá holú prcinu svojej priateľky, to je jeho problém...zvyšných 99,99% obsahu budú nepodstatné veci. Odpovedať Známka: 8.0 Hodnotiť:

Re: deravy web Od: jajajajajajaja | Pridané: 11.2.2013 10:42 vidis... ani to si nepochopil, ze ta neurazam... prepac ale tvoje spravanie nasvedcuje o tvojej emocionalnej nedospelosti a tak je tazke ti nieco vysvetlit... to ze ti niekto povie/napise nieco, co sa ti nepaci este neznamena, ze ta uraza a mysli to v zlom... mohol by som ti nadavat ako uz spravilo viacero ludi pri inych clankoch, ale mne ide o to aby si sa opytal sam seba: naozaj chcem posobit na ludi ako soplave decko, alebo im ukazem, ze niesom len kokotia_halava a viem sa vyjadrovat na urovni bez emocnych vybuchov? k veci: Mega len teraz zacina a ma tak samozrejme aj chyby... pisali to ludia, co znamena, ze v tom budu aj chyby, kedze kazdy clovek sa moze pomylit alebo spravit nieco, co niekto iny vie spravit este lepsie... ludia tam samozrejme budu nahravat svoje udaje, lebo aj napriek tymto chybam sa nedeje nic hrozne... megaupload si v minulosti ziskal vela priaznivcov (tiez mal chyby, ktore sa opravovali) a nepride ani Mega o nich kvoli takymto drobnostiam... Odpovedať Známka: 8.8 Hodnotiť:

Re: deravy web Od: Fxn | Pridané: 11.2.2013 10:44 kokotia-halava.... Bezne sa k pravopisu nevyjadrujem, chyba sa obcas vyskytne... Ale ty nie si schopny napisat ani len hlava a nie este ine slova. Vid tvoj prvy "prispevok". Urazat sa mozes akurat tak sam na seba a klesat vo vlastnych ociach. No a k teme: Keby som nahodou chcel uploadnut nieco dolezite, tak by som si to najskor zbalil do RAR-u (ZIP-u.....) nahodil na to heslo a az potom to niekde uploadol. A chcem vidiet nu masinku, ktora by v prijatelnom case zlomila dvojite sifrovanie! Ale na to by si musel prist pouzivanim rozumu. Stekat ako mala civava je sice v mode, ale aj tak len k smiechu. Presne ako aj ty. Odpovedať Známka: 7.0 Hodnotiť:

Re: deravy web Od: Neviem | Pridané: 11.2.2013 11:40 Dobre, ja som bol minule tiež ohromne vtipný a chválil som jozkooa za to, že dokáže vyťukať príspevok penisom na Iphone. Ale čo keď sú jozkoo aj halava dyslektici a my svine sa im vysmievame? To nie je pekné ... Odpovedať Známka: 4.0 Hodnotiť:

Re: deravy web Od: Fxn | Pridané: 11.2.2013 12:59 Ano, dnes je v mode neznalost pravopisu hadzat na daku chorobu, za ktoru akoze chudacik nemoze. Dokonca by sme ho mali aj lutovat.... Mozno je naozaj daky ...lektik. To ho ale neospravedlnuje za to primitivne myslenie a vyjadrovanie. Ked uz teda odhliadneme od toho pravopisu. Tie primitivne myslienky teraz cim ospravedlnis? Odpovedať Známka: 5.0 Hodnotiť:

Re: deravy web Od: Neviem | Pridané: 11.2.2013 13:13 Tourettov syndrom? Odpovedať Známka: 4.1 Hodnotiť:

Re: deravy web Od: Fxn | Pridané: 11.2.2013 14:26 Ake vznesene pomenovanie slabej (ziadnej) vychovy a nevzdelanosti. Same vyhovorky! Ked (ako vobec) tym trpi, tak nech si berie priklad od lepsich a snazi sa. Brat si priklad od horsich, byt lenivy a vegetovat dokaze kazdy blbec. Tu ma nasledovania hodny priklad. Ale na to nebude mat gule. To by sa musel snazit. Nakoniec by sa mohlo ukazat ze je to naozaj len nevychovany a nevzdelany, lenivy haj-zlik. http://dopice.sk/52h Odpovedať Známka: 8.0 Hodnotiť:

Re: deravy web Od: Doktor dre | Pridané: 11.2.2013 15:38 Ako vidím tu na DSL.sk chodia najväčší odborníci na psychiku. Radšej sa venujte užitočnejším veciam ako si robiť srandu z druhých. Tieto krčmové reči môžte nechať pre seba. Ja pevne verím že on to tak nemyslel a vyjadril to svojskym spôsobom. To vy pravdepodobne pochopiť nedokážete 'odborníci'. Odpovedať Známka: 0.0 Hodnotiť:

Re: deravy web Od: Fxn | Pridané: 11.2.2013 16:54 Ze to tak nemyslel ver, alebo never. Dobre miereny zdrb ho mozno nauci tomu, ze ma pisat tak, ako myslel. Co mu v tom branilo? Nema prepojenu mysel s rukami pri pisani, ci co? Okrem ineho, vsimol si si, ze niektore prispevky (aj pod tymto clankom) dokaze napisat bezchybne a niektore dodrbe ako sa len da? O vyjadrovani plati to iste. Ak je to ta ista osoba, tak ma velky problem. Sadlo si nanho naraz viac cvokarskych diagnoz. ;-) Hadzat vsetko na cvokara a spravat sa nadalej ako hovado.....to je take jednoduche! Ale zapracovat a spravat sa slusne aj na anonymnom internete je uz tazsie. To sa mnohym nechce. Ved vzdy sa najde daky nezistny obhajca.... Nabuduce to bude to iste. Internetovi hrdinovia.... V realite musia posluchat a spravat sa slusne, tak sa odreaguju na nete. No ale vzdy lepsie tu ako na detoch a manzelke. Aj ked....casom to aj tak neudrzia a prejavia sa. Lutujem tie rodiny. Zaujimave, ze srandu si tu nikto nerobi zo slusne sa vyjadrujucich ludi. Pan "odbornik"... Odpovedať Známka: 2.7 Hodnotiť:

Re: deravy web Od: Neviem | Pridané: 11.2.2013 17:39 Dobre mierený zdrb ešte nikdy nikoho nič nenaučil. A keď hovorím nikdy, tak tým myslím kompletné dejiny vesmíru. Keď raz dostaneš skutočnú príležitosť niekoho vychovávať, pravdepodobne svoje metódy ešte prehodnotíš. Odpovedať Známka: -1.1 Hodnotiť:

Re: deravy web Od: Arjuna | Pridané: 12.2.2013 2:52 Z Tvojej strany su to len ciste dristy bez racionalneho zakladu. Kolega vyssie aspon argumentuje, ale Ty len viris vzduch. Odpovedať Známka: 5.0 Hodnotiť:

Re: deravy web Od: vibetribe | Pridané: 11.2.2013 15:56 Ty imbecil, vsak Ty sa urazas sam tymi exkrementami, ktore sem zo seba vypudzujes. Nevies ani pisat, ani sa riadne vyjadrovat. Si uplne zbytocny kus masa, ktory mina kyslik vsetkym schopnejsim. Odpovedať Známka: -4.5 Hodnotiť:

Re: deravy web Od: jajajajajajaja | Pridané: 11.2.2013 17:27 ked si taky pohorseny, tak preco klesas na tu istu uroven? Odpovedať Známka: 6.7 Hodnotiť:

Re: deravy web Od: vibetribe | Pridané: 12.2.2013 2:49 Musim sa znizit na jeho (pod) uroven, aby pochopil co mu chcem napisat. Ako inak sa da diskutovat z debilmi? Odpovedať Známka: -2.5 Hodnotiť:

Re: deravy web Od: jajajajajajaja | Pridané: 13.2.2013 0:46 nikdy neklesaj na niekoho uroven... nezabudaj, ze na tej urovni ta porazi vdaka svojim skusenostiam... Odpovedať Hodnotiť:

Re: deravy web Od: Neviem | Pridané: 11.2.2013 17:40 Cítiš nedostatok kyslíka? Môže to byť aj hygienou ... Odpovedať Známka: 4.0 Hodnotiť:

Re: deravy web Od: Alino  | Pridané: 11.2.2013 10:18 ja ta chapem, v puberte som bol podobna kokotia hlava, ty si to neskor tiez uvedomis. Ale k teme, dolezite udaje mas vsade v IT a aj tak je tam riziko ze budu kompromizovane. Aj ked si to nedas do PC ale na papier, tak skapes a ten papier ti najdu v byte napriklad. Ku vsetkemu existuju sposoby ako sa ku niecomu dostat. Treba ich len eliminovat aby to nedokazal hocikto z detskej izby. Odpovedať Známka: 8.0 Hodnotiť:

Re: deravy web Od: Pakomil | Pridané: 11.2.2013 20:29 A nikto nebude davat nezasifrovane data hoci aj na zasifrovany net, jedine DERAVY clovek (tym myslim teba :D ) ved si to zasifruj napr cez trúkript a potom hod na hoci aj pokec alebo azet, pokial nedas heslo loloja123 tak ta nehackne pravdepodobne ani FBI a ani Kosti skrizeny s ENCSAJ Odpovedať Známka: 6.0 Hodnotiť:

Re: deravy web Od: BranoMojsej | Pridané: 11.2.2013 10:26 "Ti sy cely tak odflaknuti, ze sy any nevsymnes a znycy ta tvoj pravopys. Takeho bi som nedal any kopat kanali." Radšej si pohakuj Šlabikár, najlepšie úplne od začiatku. Na chuya ti štát, teda my pracujúci, platíme povinnú školskú dochádzku. Nevieš písať a už chces hackovať??? No dovoľ!!! Odpovedať Známka: 8.2 Hodnotiť:

Re: deravy web Od: provokátor | Pridané: 11.2.2013 14:10 Ty sa v prvom rade nauč písať ako človek, trúba negramotná! Odpovedať Známka: 7.1 Hodnotiť:

xujko2444 Od: dotxuj | Pridané: 11.2.2013 9:45 Príspevok bol zmazaný pre nevhodný a/alebo vulgárny obsah. Odpovedať Známka: -6.8 Hodnotiť:

Re: xujko2444 Od: ... | Pridané: 11.2.2013 10:08 Haters Gonna Hate! Odpovedať Známka: 7.9 Hodnotiť:

Re: xujko2444 Od: Fxn | Pridané: 11.2.2013 10:48 Ved co ine sa da cakat od "xujka" ? Z pouzivania rozumu ho naozaj nikto nemoze opodozrievat. ;-) Odpovedať Známka: 7.8 Hodnotiť:

Re: xujko2444 Od: tsrdhdhts | Pridané: 11.2.2013 11:39 Posielam kvety! Odpovedať Známka: 5.0 Hodnotiť:

Re: xujko2444 Od: daggag | Pridané: 11.2.2013 12:00 vy mate byt ti trollovia co si ich eu najima? to uz sme potom asi vyhrali :D Odpovedať Známka: 7.8 Hodnotiť:

chyby Od: ale_hovno | Pridané: 11.2.2013 16:39 Keby microsoft vypísal za nájdenie chyby odmenu , do týždňa by skrachoval :D Odpovedať Známka: 6.8 Hodnotiť:

Re: chyby Od: h4s | Pridané: 11.2.2013 22:04 tak tato sadla xD Odpovedať Známka: 0.0 Hodnotiť:

kim dotcom Od reg.: Lars Schotte | Pridané: 11.2.2013 17:57 akoze prva chyba na Mege je, ze ten Kim Cong-Dot-Com je dost tlsty a ked to bude pokracovat takto dalej, tak ho asi roztrhne v lufte, ako take prascisko pri valove prezrate. Odpovedať Známka: -5.7 Hodnotiť:

titulok Od: lol. | Pridané: 11.2.2013 23:46 Viac by sa mi pacil titulok "Doteraz objavených 5 + 2 Mega zraniteľností" 0:-) Odpovedať Známka: 6.0 Hodnotiť:

Re: titulok Od: hmm | Pridané: 12.2.2013 14:59 Tak ano, ked sa to neupresni ze sa jedna o pojem "Mega", clovek by si mohol mysliet ze ide o inu znacku. Ked si Dotcom potrpi na znacke Mega ako o patente, treba teda zdoraznit ze sa jedna o "Mega zranitelnosti (c)". Odpovedať Hodnotiť:

THAC0 Od: jurskyto | Pridané: 12.2.2013 14:33 5k5 + 2 THAC0 *Roll dice* Odpovedať Hodnotiť:

Re: THAC0 Od reg.: cookie_monster | Pridané: 12.2.2013 15:32 uff... d5? ako, uznavam, velice pekna a zaujimava kocka, ale dost tazko sa zhana /a btw: nespominam si, ze by sa v druhej edici AD&D d5 hadzala/ :) nemozes zmenit na nieco standardnejsie ako napr. d4 alebo d6? Odpovedať Hodnotiť:

Pridať komentár