Баг в GMail дает доступ к чужим сообщениям; Порция критических исправлений от MS; McAfee автоматизировала Google hacking; Самое маленькое p2p-приложение; MS запустила бета-тестирование AntiSpyware.

#198, 13.01.2005

Баг в GMail дает доступ к чужим сообщениям
dl // 13.01.05 01:44
Началось все с того, что участник группы unix-разработчиков The HBX Networks в процессе отладки своего почтового скрипта забыл поставить закрывающую угловую скобку в адресе ("From:<hbxnetworks@gmail.com"). Это привело к появлению фрагмента чужого письма в поле адресата после нажатия на ссылку "Show options". Похоже, что скрипт gmail, не встретив закрывающую скобку, продолжает идти по памяти до тех пор, пока не встретит подходящий символ, или пока не закончится буфер. Впрочем, вряд ли этот баг можно использовать для целенаправленной атаки.
Источник: BetaNews

Порция критических исправлений от MS
dl // 11.01.05 23:45
Включает исправление уязвимости в HTML Help, опасность которой изрядно возросла после широкой публикации эксплоита в конце прошлого года, исправление в коде, отвечающем за работу с файлами анимированных курсоров и иконок, а также исправление в службе индексации. Все уязвимости могут привести к удаленному исполнению кода, первые две отмечены как критические (для последней более вероятен сценарий с DoS-атакой).
Источник: MS Security Bulletins

McAfee автоматизировала Google hacking
dl // 11.01.05 00:25
SiteDigger 2.0 использует ряд типовых запросов к Google, который, как известно, индексирует все подряд, и зачастую не только ту информацию, которую вебмастеры готовы выложить на всеобщее обозрение. Достаточно вспомнить недавнюю эпидемию Santy, использовавшего Google для поиска уязвимых форумов на движке phpBB.

Вице-президент McAfee, Крис Просис (Chris Prosise), признал, что программа может быть использована и для атаки на сайты, но уточнил, что для работы программы потребуется наличие лицензии для работы с Google web services API и, соответственно, регистрация в гуглевской программе для разработчиков. Количество автоматизированных запросов при этом, кстати, ограничено тысячей в день.

Комментариев от Google пока не последовало.
Источник: cnet

Самое маленькое p2p-приложение
dl // 07.01.05 04:11
Уместилось в 15 (!) строчек кода на Питоне, обеспечивает функциональность сервера либо клиента, для передачи данных использует стандартные протоколы HTTP и XML-RPC (и, соответственно, кучу стандартных библиотек, но все равно результат впечатляет). Написано в качестве демонстрации простоты создания p2p-приложений и, соответственно, бессмысленности их запрета.

Update (спасибо nikon_nlg): гулять так гулять, альтернативный пример на Perl - MoleSter 0.0.4, раза в два побивший TinyP2P, не используя при этом ничего кроме чистых сокетов. Он же в более читабельном виде.
Источник: Slashdot, LiveJournal

MS запустила бета-тестирование AntiSpyware
dl // 06.01.05 19:46
Как и обещалось, менее чем через месяц после покупки Giant Microsoft объявила о доступности бета-версии Microsoft Windows AntiSpyware, представляющей собой по сути перепакованный вариант Giant AntiSpyware. Бета-версия распространяется бесплатно и не требует регистрации (хотя при скачивании и проверяет систему на легальность). Столь быстрый выпуск довольно любопытен - после аналогичной покупки румынской антивирусной компании прошло уже полтора года, но сроки выпуска антивируса от MS пока остаются очень предположительными.

Первое впечатление от программы очень неплохое. Сканирование идет немного с перестраховкой, в качестве возможных угроз могут, к примеру, опознаваться p2p-клиенты и ftp-cерверы. Впрочем, при этом дается исчерпывающее описание возможной угрозы, предлагаемые по умолчанию действия вполне разумны, так что люди, установившие подозрительный с точки зрения сканера софт, должны быть в состоянии адекватно отреагировать на сообщения программы, к тому же при последующих сканированиях реакцию на них можно отключить. Порадовала очень подробная настройка системного мониторинга, позволяющего следить за полусотней с лишним событий, разбитых на три группы (Internet, System, Applications) - от модификаций списка программ, стартующих вместе с системой, до изменений параметров tcp/ip.
Источник: Microsoft