Октябрьская порция исправлений от MS; Google исправил XSS-дырку; PHP конференция 2006; Безопасность от Microsoft: что нас ждет; Серьезная уязвимость в антивирусах Касперского.

#212, 12.10.2005

Октябрьская порция исправлений от MS
dl // 11.10.05 23:47
Включает девять исправлений, три из которых критические и четыре важные.

Критические: кумулятивное обновление для IE, исправление уязвимости в MSDTC и COM+, исправление уязвимости в DirectShow (потенциальное удаленное исполнение кода во всех случаях).

Важные: исправляют удаленное исполнение кода в Windows Shell, опять-таки удаленное исполнение кода в Microsoft Collaboration Data Objects, уязвимость в Plug and Play, приводящую к очередному удаленному исполнению кода и повышению локальных привилегий, и еще одно удаленное исполнение кода в Client Service for NetWare.

Оставшиеся два исправляют DoS на Network Connection Manager и возможную подделку пути до закачиваемого файла при использовании Windows FTP-клиента, дающую возможность атакующему записать файл в произвольное место на пользовательской системе.
Источник: MS Security Bulletins

Google исправил XSS-дырку
dl // 11.10.05 00:28
Уязвимость, связанная с реализацией Google's AdWords, могла привести, например, к перехвату аккаунтов на гугле и прочим неприятностям, появляющимся вместе с возможностью подсунуть произвольный код на JavaScript другому пользователю. Дырка была обнаружена Finjan Software и исправлена Google в течение 30 часов, стороны остались взаимно довольны.
Источник: ZDNet

PHP конференция 2006
dl // 10.10.05 22:31
5-я международная конференция "Современные технологии эффективной разработки веб-приложений с использованием PHP" случится в мае 2006 года. Предполагаемые темы - применение PHP в веб-разработке, эффективное создание приложений, PHP и корпоративные информационные системы, будущее PHP. Совместно с конференцией пройдет серия мастер-классов (посвященных test driven development и разработке расширений PHP).

Тезисы докладов (из расчета 30-60 минут) принимаются до 1 февраля.
Источник: PHPClub

Безопасность от Microsoft: что нас ждет
dl // 06.10.05 19:28
Скотт Станцель (Scott Stanzel), старший менеджер безопасностного подразделения Microsoft, огласил в среду примерные планы компании по выпуску антивирусного софта. Уже сегодня на пресс-конференции в Мюнхене CEO Microsoft Стив Боллмер (Steve Ballmer) и вице-президент по безопасности Майк Нэш (Mike Nash) рассказали о стратегии Microsoft в области безопасности.

Выход первой беты Microsoft Client Protection запланирован на конец года. Продукт будет включать в себя антивирусную часть, основанную на купленном у GeCAD антивирусе, и то, что сейчас известно как Microsoft AntiSpyware (в девичестве Giant). За ним в следующем году последует бета антивируса для Exchange - Microsoft Antigen for Exchange (опять-таки прикупленный вместе с Sybari Software). Все эти продукты будут оптимизированы для использования с Active Directory и Windows Server Updates Services в целях упрощения развертывания и обновления.

Также анонсировано создание нового консорциума SecureIT Alliance, объединяющего ведущих производителей безопасностных решений для платформ Microsoft (Computer Associates, McAfee, Panda Software, RSA Security, Symantec, Trend Micro, VeriSign и т.п., всего 30 штук).
Источник: PC Advisor, пресс-релиз MS

Серьезная уязвимость в антивирусах Касперского
dl // 04.10.05 01:56
Переполнение буфера в библиотеке обработки CAB-файлов способно привести к исполнению произвольного кода на машине с установленным антивирусом, например, при обработке почтовых сообщений. Уязвимости подвержены как минимум все продукты, использующие библиотеку cab.ppl версии 5.0.20.0, включая Kaspersky Anti-Virus 4.x, 5.x, Kaspersky SMTP-Gateway 5.x. Информации об исправлении пока нет.
Источник: FrSIRT Advisories