BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/review/archive/2005/09-02-05.html

Большая порция исправлений от MS; Microsoft прикупит еще одну антивирусную компанию; И еще три ошибки в Firefox; Подделка URL в Mozilla/Firefox/Camino; Осужден соавтор Blaster'а.

#200, 09.02.2005

Большая порция исправлений от MS
dl // 09.02.05 01:17
На этот раз очередной выпуск включает 12 исправлений, 8 из которых критические. В списке:
- удаленное исполнение кода из-за уязимости в Hyperlink Object Library;
- кумулятивное обновление для IE;
- удаленное исполнение кода из-за уязвимости в DHTML Editing ActiveX Control;
- удаленное исполнение кода и увеличение привилегий пользователя из-за уязвимостей в реализации OLE и COM;
- опять-таки удаленное исполнение кода из-за проблем с Server Message Block;
- и еще одно удаленное исполнение кода в License Logging Service;
- переполнение буфера при обработке PNG-файлов;
- и последнее удаленное исполнение кода из-за уязвимости в Windows Shell;
- возможное раскрытие информации из-за проблем с именованными каналами (named pipes);
- возможные XSS-атаки на Windows SharePoint Services и SharePoint Team Services;
- переполнение буфера в Microsoft Office XP;
- уязвимость в ASP.NET, связанная с проверкой пути.
Источник: MS security bulletins


Microsoft прикупит еще одну антивирусную компанию
dl // 08.02.05 20:04
MS продолжает наращивать свое присутствие в области безопасностного софта, объявив сегодня о намерении купить Sybari Software, специализирующуюся на выпуске антивирусов для почтовых серверов. Детали и сроки пока не названы.
Источник: ZDNet


И еще три ошибки в Firefox
dl // 08.02.05 18:42
Первая связана с сохранением файлов изображений - проверяются они по заголовку Content-type, а сохраняются с использованием расширения, заданного в адресе, что дает возможность скрестить изображение с исполняемым кодом, забросив его таким образом в пользовательскую систему.

Вторая - отсутствие проверки адреса при перетаскивании URL с "javascript:" на другую закладку способно привести к исполнению произвольного скрипта в контексте произвольного сайта.

И, наконец, ошибка в реализации ограничений для плагинов, реализующих обработчики адресов, может привести к срабатыванию ссылок на некоторые запрещенные адреса (как, например, "about:config"), что может быть использовано в целях принуждения пользователя изменить какие-то критические настройки.
Источник: Secunia


Подделка URL в Mozilla/Firefox/Camino
dl // 08.02.05 18:31
Текущая реализация поддержки международных доменных имен (International Domain Name, IDN) способна привести к подделке url, выглядящих "как настоящие", но ведущих при этом совсем на другие сайты (за счет использования в адресе, например, кириллических символов, совпадающих по начертанию с латинскими).
Источник: Secunia


Осужден соавтор Blaster'а
dl // 29.01.05 11:23
19-летний Джеффри Ли Парсон, признавший себя виновным в модификации кода RPC-червя, едва не парализовавшего работу всей сети летом позапрошлого года, осужден на 18 месяцев содержания в тюрьме с последующими 10 месяцами общественных работ. Судья Марша Печман (Marsha Pechman) отметила, что приговаривает Парсона к минимально возожному наказанию, поскольку, хотя ему уже и исполнилось 18 лет на момент атаки, его сознание до этого уровня еще не дотягивало. Автор оригинального Blaster'а так и не пойман.
Источник: ZDNet




обсудить  |  все отзывы (0)  
[31625]


  Copyright © 2001-2020 Dmitry Leonov Design: Vadim Derkach