 |  |
https://bugtraq.ru/review/archive/2004/21-12-04.html |
|
|||
|
|
|
||
| https://bugtraq.ru/review/archive/2004/21-12-04.html |
||||
| ||||
Утечка информации через Google desktop search; Множественные уязвимости в PHP 4 и 5; MS прикупила Giant; Критическое обновление для XP SP2; Очередная порция исправлений от MS.
#196, 21.12.2004
Утечка информации через Google desktop search
dl // 21.12.04 01:49
Давешние опасения о том, что Google desktop search может превратиться в "слабое звено" пользовательской системы, обрели под собой некоторую почву. Уязвимость в бета-версии системы позволяет посторонним лицам получить доступ к результатам поиска пользователей. Для успешной атаки пользователю достаточно было подсунуть страницу с Java-апплетом, который обманывал поисковик, заставляя включить результаты локального поиска в результаты поиска на вебе (функция, всегда вызывавшая наибольшие опасения), после чего передать их на сервер атакующего. С учетом того, что эти результаты содержат фрагменты найденных файлов, риск утечки критичной информации достаточно высок.
Исправленное обновление уже доступно.
Источник: InfoWorld
Множественные уязвимости в PHP 4 и 5
dl // 17.12.04 02:55
Hardened-PHP Project опубликовал информацию о семи уязвимостях в PHP4 <= 4.3.9 и PHP5 <= 5.0.2, дающих возможность атакующему исполнить на сервере произвольный код. Исправленные версии доступны, обновление крайне желательно.
Источник: Hardened-PHP Project
MS прикупила Giant
dl // 17.12.04 02:49
Microsoft объявила о покупке GIANT Company Software Inc., одного из производителей софта, борющегося с spyware. В течение месяца обещается выход бета-версии "родной" программы, основанной на GIANT AntiSpyware. Пока неясно, будет ли она входить в состав операционных систем, или будет распространяться отдельно.
Источник: пресс-релиз
Критическое обновление для XP SP2
dl // 15.12.04 14:05
Получила продолжение сентябрьская история с ошибочной трактовкой настройки "Only for own network (Subnet)" файрволлом из XP SP2 при включенном Internet Connection Sharing. Спустя всего-то три месяца появился патч, исправляющий эту критическую уязвимость. Любопытно, но этот патч не упомянут в последней толпе security bulletins.
Источник: Microsoft KB
Очередная порция исправлений от MS
dl // 14.12.04 23:36
В ассортименте: потенциальное удаленное исполнение кода в WINS, увеличение пользовательских привилегий из-за уязвимостей в ядре и LSASS, исполнение кода в HyperTerminal, удаленное исполнение кода и DoS в DHCP, и на сладкое - удаленное исполнение кода в WordPad. У всех бюллетеней статус Important.
Источник: MS Security Bulletines
| обсудить | все отзывы (0) | [34630] |
|
|
|