Komponentit

Symantec: Access sa Microsoft ActiveX Mga Pag-atake ay Magpapalakas

Achieve Two-Factor Authentication Without A Password Using Symantec VIP

Achieve Two-Factor Authentication Without A Password Using Symantec VIP
Anonim

Ang isang madaling gamitin na toolkit na ginamit upang tadtarin ang mga computer ay na-update na ngayon upang samantalahin ang isang unpatched na kahinaan sa seguridad sa software ng Microsoft, na maaaring mangahulugan ng mga pag-atake ay lalakas, ayon sa vendor Symantec. Ang Neosploit toolkit ay isa sa ilan sa Internet na maaaring magamit ng mga di-teknikal na mga hacker upang ikompromiso ang mga makina. Sinabi ni Symantec na nakita nito sa network ng mga sensor ng Internet na maaaring gamitin ng Neosploit ang isang kahinaan na inihayag noong unang bahagi ng nakaraang linggo sa programang Access database ng Microsoft.

"Ang karagdagang pagsusuri ng mga kompromiso ng honeypot na ito ay nagpahayag na ang pagsasamantala ay naidagdag sa isang variant ng Neosploit exploit kit, ito ay malamang na maabot ang isang mas malaking bilang ng mga biktima, "ayon sa isang entry sa ThreatCon advisory board ng kumpanya.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Microsoft hasn 't patched ang bug pa, at ang kumpanya lamang inisyu nito patches para sa buwan sa Hulyo 8. Ang kahinaan ay sa loob ng kontrol ng Snapshot Viewer ActiveX, na naglulunsad ng isang viewer para sa mga ulat ng Microsoft Access na hindi nangangailangan ng pagpapatakbo ng Access mismo mismo.

Ang kahinaan ay nagdudulot ng isang espesyal na panganib dahil ang kontrol ng ActiveX ay naka-sign digital sa pamamagitan ng Microsoft, na nangangahulugan na ang mga taong may Internet Explorer ay naka-configure upang magtiwala sa mga kontrol ng ActiveX sa desi na iyon Ang gnation ay awtomatikong patakbuhin ito kung nakatagpo sa isang pahina ng Web.

Ang ilan sa mga pahina ng Web na na-hack na sa pag-atake ng automated SQL injection mas maaga sa taong ito ay nagho-host din ng pag-atake ng Microsoft Acess, ayon sa Symantec's Sean Hittel.

"Tulad ng karamihan sa mga pag-atake ng ActiveX, ang mga ito ay pinaglilingkuran ng mga tradisyonal na Web site na nabigo sa mga automated na pag-atake ng SQL injection," sumulat si Hittel sa isang Symantec forum. "Noong nakaraan, nakita namin ang mga site ng gobyerno, komersyo, at libangan na biktima sa mga pag-atake ng iniksiyon ng SQL at pagkatapos ay nagsisimulang maghatid ng mga pagsasamantala sa bawat isa sa kanilang mga bisita."

Sinasamahan ng problemadong manonood ang lahat ng sinusuportahang bersyon ng Microsoft Office Access maliban sa Microsoft Access 2007, Nag-alok ang Microsoft ng mga suhestiyon sa isang advisory ng seguridad upang maiwasan ang pag-atake hanggang ang isang patch ay magagamit.

Ginamit ni Christopher Fowler, isang estudyante sa Georgia Highlands College, ang mga kredensyal sa pag-login ng isang ng mga guro ng paaralan upang ma-access ang computer network ng paaralan, sinasabi ng mga awtoridad. Pinag-uusapan din niya ang sistema ng telepono ng VoIP (voice over Internet protocol) ng paaralan. "Nakuha niya ang isang password mula sa isang propesor sa matematika na may keystroke logger. Iyan ay nagbigay sa kanya ng access sa maraming mga administrative machine,"

Ginamit ni Christopher Fowler, isang estudyante sa Georgia Highlands College, ang mga kredensyal sa pag-login ng isang ng mga guro ng paaralan upang ma-access ang computer network ng paaralan, sinasabi ng mga awtoridad. Pinag-uusapan din niya ang sistema ng telepono ng VoIP (voice over Internet protocol) ng paaralan. "Nakuha niya ang isang password mula sa isang propesor sa matematika na may keystroke logger. Iyan ay nagbigay sa kanya ng access sa maraming mga administrative machine,"

Si Fowler, isang mahilig sa computer, ay nag-hang sa IT department ng paaralan at kilala sa mga tauhan doon, sinabi ni Davis. Hindi malinaw na gumawa siya ng anumang masama sa impormasyon na nakolekta niya mula sa kanyang pag-hack, idinagdag niya. "Ito ay isang trahedya, ang batang ito ay nagkaroon ng kanyang buong buhay sa unahan niya, at ito ang kanyang pinili."

Sa halip ng pagpasok ng mga linya ng code, pinapayagan ka ng App Inventor bumuo ng isang buong application sa pamamagitan ng pag-drag at pag-drop ng mga item tulad ng mga pindutan, mga kahon ng entry ng teksto, at mga larawan papunta sa tagabuo ng application. Ang Inventor ng App ay nagbibigay din sa iyo ng access sa iba't ibang mga tampok ng telepono na maaari mong isama sa iyong app tulad ng GPS, accelerometers, at pagsasama sa mga serbisyo na batay sa Web tulad ng Twitter.

Sa halip ng pagpasok ng mga linya ng code, pinapayagan ka ng App Inventor bumuo ng isang buong application sa pamamagitan ng pag-drag at pag-drop ng mga item tulad ng mga pindutan, mga kahon ng entry ng teksto, at mga larawan papunta sa tagabuo ng application. Ang Inventor ng App ay nagbibigay din sa iyo ng access sa iba't ibang mga tampok ng telepono na maaari mong isama sa iyong app tulad ng GPS, accelerometers, at pagsasama sa mga serbisyo na batay sa Web tulad ng Twitter.

[Karagdagang pagbabasa: Ang pinakamahusay na mga teleponong Android para sa bawat badyet. ]

Madaling pag-access add-on: Mag-load ng Anumang Programa mula sa Status Bar ng Firefox < sa Firefox para sa pagkuha ng madaling pag-access sa iyong mga paboritong mga utos at programa ng system mula sa status bar ng iyong browser.

Madaling pag-access add-on: Mag-load ng Anumang Programa mula sa Status Bar ng Firefox < sa Firefox para sa pagkuha ng madaling pag-access sa iyong mga paboritong mga utos at programa ng system mula sa status bar ng iyong browser.

May ilang mga program sa Windows na nangangailangan ka ng mabilis na access sa habang nagtatrabaho. Ang gawain ng paglulunsad ng mga programang ito kaagad ay gayunpaman nakakapagod. Halimbawa, kung nais mong i-edit ang isang imahe gamit ang Microsoft Paint, kailangan mong pumunta sa opsyon sa paghahanap ng `Charms-bar`, i-type ang Paint at pagkatapos ay mag-click sa nararapat na opsyon upang ilunsad ito.