Privacy, Security, Society - Computer Science for Business Leaders 2016
Talaan ng mga Nilalaman:
Mga gumagamit ng Pinagmulan, ang platform ng pamamahagi ng laro ng Electronic Arts (EA), ay mahina laban sa pag-atake ng malayuang pagpapatupad ng code sa pamamagitan ng pinagmulan: // Mga URL, ayon sa dalawang mga tagapangasiwa ng kaligtasan.
Luigi Auriemma at Donato Ferrante, ang mga tagapagtatag ng ReVuln, isang tagapagtatag ng security firm na nakabatay sa Malta, ay nagpahayag ng isyu sa seguridad noong nakaraang linggo sa isang pahayag sa Black Hat Europe 2013 conference sa Amsterdam.
Ang kahinaan ay nagbibigay-daan sa mga attackers na magsagawa ng arbitrary code sa mga gumagamit ng Origin 'mga computer sa pamamagitan ng pag-tricking sa mga ito sa pagbisita sa isang nakakahamak na website o pag-click sa isang espesyal na crafted link, sinabi ng mga mananaliksik.
[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]Ang opsyon ng Command line ay nagbibigay-daan sa panghihimasok
Kapag ang Pinagmulan ng kliyente ay naka-install sa isang computer, nagrerehistro ang sarili nito bilang tagapangasiwa para sa pinanggalingan: // mga link ng protocol, na ginagamit upang maglunsad ng mga laro-kasama ang mga pagpipilian sa command line o upang simulan ang iba pang mga pagkilos sa pamamagitan ng client.
Ang ilang mga laro ay may mga pagpipilian sa command line na payagan ang paglo-load ng mga karagdagang file. Halimbawa, ipinakita ng mga mananaliksik ang pag-atake ng link sa Pinagmulan laban sa bagong "Crysis 3" na laro, na sumusuporta sa isang opsyon na tinatawag na openautomate.
Openautomate ay isang tampok na nagbibigay-daan sa mga gumagamit na subukan ang pagganap ng kanilang graphics card sa "Crysis 3" gamit ang balangkas ng benchmark ng Nvidia. Ang utos ay sinusundan ng path sa isang DLL (dynamic na link library) na file na pagkatapos ay ikinarga ng "Crysis 3" na proseso.
Ang mga mananaliksik natagpuan ng isang paraan upang bapor pinagmulan: // mga link na tagubilin ang Origin client upang buksan ang " Crysis 3 "kasama ang openautomate command na sinusundan ng isang landas sa isang malisyosong DLL file na naka-host sa isang network o WebDAV share. Ang isang hiwalay na opsyon sa utos ay maaaring isama sa URL upang gawing "Crysis 3" nang tahimik sa background nang walang mga gumagamit na nakakakita ng anumang mga bintana.
Maaaring linlangin ng mga Attacker ang mga gumagamit sa pagbisita sa isang website na naglalaman ng isang piraso ng JavaScript code na pinipilit ang kanilang mga browser sa buksan ang espesyal na ginawa link.
Kapag pinagmulan: // link ay binuksan sa unang pagkakataon sa isang browser, ang mga gumagamit ay tatanungin kung nais nilang buksan ito sa Origin client, na kung saan ay ang rehistradong handler para sa ganitong uri ng URL. Ang ilang mga browser ay magpapakita ng ganap na landas ng URL o isang bahagi nito, habang ang iba pang mga browser ay hindi magpapakita ng URL sa lahat, sinabi ng mga mananaliksik.
Ang mga prompt sa pagkumpirma na ipinapakita ng mga browser ay nagbibigay sa mga user ng pagpipilian upang palaging buksan ang pinagmulan: / / Mga link sa Pinagmulan ng kliyente. Karamihan sa mga manlalaro ay malamang na napili ang opsyon na ito upang hindi sila mapalagay sa mga dialog ng pagkumpirma tuwing mag-click sila sa pinagmulang link, na nangangahulugan na para sa kanila ang atake ay magiging ganap na transparent, sinabi ng mga mananaliksik.
Katulad sa Steam flaw
Ang kahinaan ay halos magkapareho sa isa na natagpuan ng parehong mga mananaliksik noong nakaraang taon sa Valve's Steam online game platform ng pamamahagi. Pinapayagan nito ang pag-abuso ng singaw: // protocol na mga link sa parehong paraan.
Ang kahinaan ng Steam ay iniulat noong Oktubre 2012 ngunit hindi pa naayos, sinabi ng mga mananaliksik. Ang pag-aayos ay maaaring mangailangan ng malaking pagbabago sa platform dahil nagresulta ito mula sa isang depekto sa disenyo, sinabi nila. Ang mga mananaliksik ay hindi inaasahan ang EA na ayusin ang isyu ng pinagmulan na link anumang oras sa lalong madaling panahon.
Ang atake ay hindi limitado sa "Crysis 3." Gumagana rin ito para sa iba pang mga laro na may katulad na mga tampok sa command line o ilang mga lokal na kahinaan, sinabi ng mga mananaliksik. Ang kapintasan ay mahalagang nagbibigay ng paraan para sa mga tampok na pang-aabuso ng malay o mga isyu sa seguridad na maaaring malantad lamang sa mga lokal na pag-atake, sinabi nila.
Auriemma at Ferrante ay hindi kailanman ibubunyag ang mga kahinaan na nakita nila sa mga apektadong software vendor, kaya hindi sila nag-alerto sa EA tungkol sa kapintasan bago itanghal ito sa Black Hat.
Ang mga mananaliksik ay nag-publish ng isang puting papel sa kanilang website na nagpapaliwanag ng isyu sa mas detalyado at nagmumungkahi ng isang paraan upang pagaanin ang pag-atake. Ang pagbabawas ay nagsasangkot ng paggamit ng isang dalubhasang tool na tinatawag na urlprotocolview upang huwag paganahin ang pinagmulan: // URL.
Ang side effect ng paggawa nito ay ang paglulunsad ng mga laro gamit ang mga shortcut sa desktop o ang kanilang mga executable file ay hindi na gagana. Gayunpaman, ang mga gumagamit ay maaari pa ring maglunsad ng mga laro mula sa loob ng Pinagmulan ng kliyente.
Paminsan-minsan ang mga update ay napakahalaga, ngunit ang pinaka-tila tulad ng tinkering. Ang PS3's Disyembre 2, 2008 v2.53 update ay nagdagdag ng full-screen na suporta para sa Adobe Flash. Ang pag-update ng Nobyembre 5, 2008 v.2.52 ay nagdala ng tatlong mga pag-aayos sa maliit na glitch. Ang Hulyo 29, 2008 v2.42-update ang enigmatically "pagbutihin [d] ang kalidad ng pag-playback ng ilang PlayStation 3 at PlayStation format software." Ang pag-update ng Hulyo 8, 2008 v2.41 ay naayos
![Paminsan-minsan ang mga update ay napakahalaga, ngunit ang pinaka-tila tulad ng tinkering. Ang PS3's Disyembre 2, 2008 v2.53 update ay nagdagdag ng full-screen na suporta para sa Adobe Flash. Ang pag-update ng Nobyembre 5, 2008 v.2.52 ay nagdala ng tatlong mga pag-aayos sa maliit na glitch. Ang Hulyo 29, 2008 v2.42-update ang enigmatically "pagbutihin [d] ang kalidad ng pag-playback ng ilang PlayStation 3 at PlayStation format software." Ang pag-update ng Hulyo 8, 2008 v2.41 ay naayos](https://i.joecomp.com/games-2018/are-sony-s-playstation-3-updates-getting-old.jpg "Paminsan-minsan ang mga update ay napakahalaga, ngunit ang pinaka-tila tulad ng tinkering. Ang PS3's Disyembre 2, 2008 v2.53 update ay nagdagdag ng full-screen na suporta para sa Adobe Flash. Ang pag-update ng Nobyembre 5, 2008 v.2.52 ay nagdala ng tatlong mga pag-aayos sa maliit na glitch. Ang Hulyo 29, 2008 v2.42-update ang enigmatically \"pagbutihin [d] ang kalidad ng pag-playback ng ilang PlayStation 3 at PlayStation format software.\" Ang pag-update ng Hulyo 8, 2008 v2.41 ay naayos")
Huwag ako mali, sa tingin ko talagang kahanga-hanga na nais ng Sony na maglinis ng ilang frequency. Ngunit hindi dapat isang kumpanya na may mga mapagkukunan ng Sony at isang predictable hardware development platform malinaw na ang windshield maagang ng panahon?
Pinapayagan ng Tsina ang popular na online na laro World of Warcraft upang ma-relaunched para sa ilang mga manlalaro sa bansa pagkatapos ng mga linggo offline, ngunit nangangailangan pa rin ito ng mga pagbabago sa hindi kanais-nais na nilalaman ng laro. pinapayagan na i-restart ang mga operasyon sa Hulyo 30, halos dalawang buwan matapos ang downtime nito ay nagsimula, ngunit ang mga nakarehistrong manlalaro lamang ang pinahihintulutan na maglaro, sinabi ng state media late Martes.
World of Warcraft sa una ay naka-offline habang Blizzard Entertainment, ang tagalikha ng laro, inilipat ang mga lokal na operator sa Chinese Internet company NetEase. Ngunit nangangailangan ang China ng mga bagong operator ng mga dayuhang online game na mag-aplay para sa isang lisensya at isumite ang mga laro para sa screening ng nilalaman. Ang World of Warcraft ay hindi pinahihintulutan ng isang ganap na muling paglunsad hanggang ang prosesong ito ay nakumpleto.
Maraming mga monitor na nakakuha ng napakalaking apela sa mga nakaraang taon, at hindi mahirap makita kung bakit. Ang pagkakaroon ng isang pangalawang monitor ay nagpapahintulot sa iyo na i-reference ang isang bagay habang ang pagmamanipula ng data sa isa pa. Ang mas maraming mga screen ang mas mahusay na sinasabi ko.
Ang isang magaan na tablet na maaaring kumilos bilang pangalawang monitor ay perpekto para sa mga propesyonal sa mobile na nangangailangan ng sobrang real estate. Dahil ito ay batay sa iPhone, ang hardware nito ay magiging mas magaan at mas payat kaysa kung ito ay batay sa platform ng Intel Core 2. Ang pangkalahatang aparato ay dapat na tungkol sa bilang portable bilang umiiral na portable monitor usb tulad ng mga sa pamamagitan ng Mimo. Sa pamamagitan ng paggawa ng tablet manipis at liwanag, an