Apple наконец-то пропатчила Java; Удаленные атаки на iPhone: первый шаг; Твитпокалипсис; Обновления FireFox и Chrome; В школы ушел битый Linux.

#276, 17.06.2009

Apple наконец-то пропатчила Java
dl // 16.06.09 22:55
Не прошло и месяца с обнародования кода, использующего давно исправленную на прочих платформах уязвимость в маковской яве, как Apple выпустила исправление.
Источник: The Register

Удаленные атаки на iPhone: первый шаг
dl // 16.06.09 17:19
Чарльз Миллер (Charles Miller), аналитик из Independent Security Evaluators, и Винченцо Йоццо (Vincenzo Iozzo), студент миланского университета, пообещали продемонстрировать на Black Hat-конференции, что случится в следующем месяце в Лас-Вегасе, способ запуска на iPhone неподписанного кода.

C выпуском iPhone OS 2.0 Apple сильно закрутила гайки, резко ограничив возможности по запуску неподписанного кода. Естественно, остался вариант с jailbreak, но но тут уж пользователь сам принимает на себя всю ответственность. Все это резко сократило число желающих заниматься атаками на iPhone - несмотря на то, что в нем уже было обнаружено приличное количество уязвимостей (например, более десятка было закрыто в ноябрьском патче), толком воспользоваться ими на невзломанном аппарате просто бы не удалось.

Однако Миллер обнаружил несколько ситуаций, в которых системе не удается помешать превращению произвольных данных в исполняемый код, что открывает новые возможности в атаке фабричных айфонов. Хотя заголовки об удаленном взломе iPhone явно преждевременны, пока мы имеем лишь предпосылки для подобного успешного взлома. Кроме того, пока неизвестно, будет ли работать все это в анонсированной третьей версии iPhone OS.
Источник: Slashdot

Твитпокалипсис
dl // 13.06.09 16:14
В популярной службе обмена быстрыми сообщениями Twitter идентификаторы сообщений на днях превысили значение, помещающееся в 32-битном signed int. Это фатально отразилось на массе сторонних клиентов, во множестве расплодившихся вокруг твиттера - некоторые просто сошли с ума, некоторые выстояли, но стали создавать сообщения с отрицательными идентификаторами. Такая вот репетиция проблемы 2038 года в миниатюре.
Источник: Twitpocalypse, via Алена C++

Обновления FireFox и Chrome
dl // 12.06.09 17:54
Google и Mozilla продолжили волну обновлений этой недели, выпустив обновления Chrome (исправления двух уязвимостей в движке WebKit подхватятся при автоматическом обновлении браузера) и FireFox (исправления 11 критических уязвимостей в версии 3.0.11).
Источник: ZDNet

В школы ушел битый Linux
dl // 12.06.09 12:22
В рамках проекта СБППО ("Первая Помощь") по российским школам в этом году был разослан комплект ПСПО-2008 (соответствующие веселые аббревиатуры расшифровываются как "Стандартный базовый пакет программного обеспечения" и "Пакет свободного программного обеспечения").

Помимо не слишком удивительных косяков вроде рассылки комплекта без объявления конкурса на поддержку, исполнитель работ (предположительно IBS) в целях экономии разместил на двух дисках дополнительные каталоги с методматериалами и документацией, не обратив при этом внимания на то, что до проведения этой процедуры диски были загрузочными, и не затруднив себя проверкой работоспособности. В итоге ключевые компоненты комплекта рассылаются по тысячам школ в непригодном для использования виде.
Источник: LJ Алексея Новодворского