информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Spanning Tree Protocol: недокументированное применениеВсе любят медГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / обзор / архив / 2008
АРХИВ
главная
2024
2023
2022
2021
2020
2019
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
1998
1997






Подписка:
BuqTraq: Обзор
RSN
РВС
БСК




Яндекс-маркет - находка для фишера; MS будет информировать производителей о готовящихся патчах; DMCA не распространяется на ВВС США; Массовое исправление DNS-серверов; 800 уязвимостей в антивирусных продуктах.

#261, 05.08.2008

Яндекс-маркет - находка для фишера
dl // 05.08.08 22:41
Оказывается, ссылки "где купить" в Яндекс-маркете используют простой редирект по адресу, указанному в параметре "url". Т.е. можно подсунуть пользователю ссылку на любой сайт, в то время как он будет искренне считать, что идет куда-то на яндекс.
Источник: ru_root.livejournal.com


MS будет информировать производителей о готовящихся патчах
dl // 05.08.08 18:03
Microsoft планирует слегка модифицировать сложившуюся в последние годы схему распространения патчей по вторым вторникам каждого месяца. Сейчас после выхода очередной порции патчей начинается гонка между злобными хакерами и производителями защитного софта в целях выявления уязвимостей, которые они исправляют (серьезной проблемой может стать автоматизация подготовки атак на основе анализа патчей).

Для создания форы "хорошим парням" Microsoft подготовила стартующую в октябре Active Protection Program. В рамках этой программы MS будет информировать производителей защитного софта о готовящихся к выходу исправлениях. Будет предоставляться информация об условиях, необходимых для использования уязвимостей, и способах их идентификации. Кроме того, бюллетени безопасности будут включать таблицы с Exploitability Index для каждой уязвимости, который будет показывать, насколько легко она может быть использована.
Источник: eWeek


DMCA не распространяется на ВВС США
dl // 05.08.08 12:23
Апелляционный суд США подтвердил решение, существенно ограничивающее действие копирайтных законов на правительственные организации.

История началась несколько лет назад, когда сержант Марк Дейвенпорт (Mark Davenport) стал работать в группе, обслуживающей базу данных личного состава ВВС США. Обнаружив неэффективность существующей системы, Дейвенпорт потребовал дополнительного обучения программированию для ее усовершенствования, получив же отказ, занялся самообразованием и приступил к самостоятельной работе над системой.

Основная работа проводилась им дома, но в целях отладки он постепенно начал приносить на работу бета-версии с ограниченным сроком службы, и эти версии понемногу стали распространяться по его подразделению. Демонстрация начальству привела к рекомендации по повышению Дейвенпорта, за которой последовало требование передать код программы ВВС.

Дейвенпорт, однако, предпочел продать код компании Blueport, попытавшейся начать с ВВС переговоры о лицензировании, в ответ на что простые ребята из ВВС наняли стороннюю фирму, убравшую из оставшихся у них версий ограничения на срок действия. В итоге Blueport подала в суд на ВВС, ссылаясь на копирайтный закон и DMCA.

Суд выдал следующую формулировку: "The United States, as [a] sovereign, is immune from suit save as it consents to be sued..." - "Соединенные Штаты, будучи верховной властью, являются иммунными ко всем искам, за исключением тех, на которые они согласны" (принцип иммунитета власти, sovereign immunity). В случае с копирайтными законами США согласились отдать большую часть своего иммунитета, с некоторыми исключениями - в том числе, и подходящее к случаю Дейвенпорта ограничение на использование служебного положения для принуждения работы с копирайтными материалами. Что касается DMCA, то, по мнению суда, сам по себе этот закон не содержит упоминаний об ограничениях иммунитета власти, кроме того, существенная часть его ограничений направлена на отдельных граждан и не может быть применена к правительственным организациям.
Источник: Ars Technica


Массовое исправление DNS-серверов
dl // 09.07.08 13:30
Вчерашнее исправление DNS-службы в Windows оказалось первой ласточкой в координированном выпуске исправлений DNS от разных производителей. Аналогичные обновления уже вышли для Bind и продуктов Cisco и Sun.

Обновления исправляют уязвимости класса "отравление кэша" (cache poisoning), которые могут привести к подмене записей в DNS-серверах для последующей атаки на их клиентов.

Уязвимости были обнаружены несколько месяцев назад Дэном Камински, который предпочел сообщить о них производителям, что и сделало возможным совместный массовый выпуск исправлений. Для проверки, уязвим ли ваш DNS, можно воспользоваться этим сайтом. Детали уязвимости обещано обнародовать на августовской BlackHat-конференции.
Источник: ZDNet


800 уязвимостей в антивирусных продуктах
dl // 08.07.08 01:42
По словам специалистов из компании n.runs AG, насчитавших за последние месяцы около 800 уязвимостей в популярных антивирусных продуктах, это тот самый случай, когда охранник превращается в шпиона.

Согласно проведенным тестам, буквально каждый антивирус, представленный на рынке, подвержен нескольким критичным уязвимостям, позволяющим реализовать с их помощью как простые DoS-атаки, так и внедрение деструктивного кода в защищаемые системы. Усилия n.runs были сконцентрированы на процедурах разбора различных форматов, в которых было обнаружено множество ошибок, связанных с ложными допущениями (видимо, в основном из-за излишнего доверия к значениям, занесенным в критичные поля заголовков).
Источник: ZDNet




обсудить  |  все отзывы (0)
[34486]

анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd fsf github gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint programming pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



назад «     » вперед


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach