Число уязвимостей в броузерах растет; Еще один независимый патч IE; Уязвимость IE затронула и Outlook; В Microsoft ушел еще один ветеран McAfee; Russian Password Crackers - теперь и на русском.

#230, 25.09.2006

Число уязвимостей в броузерах растет
dl // 25.09.06 22:39
Согласно последнему отчету Symantec, первое полугодие 2006 было отмечено существенным ростом уязвимостей во всех популярных броузерах. Лидирует Firefox - 47 против 17 за предыдущие полгода, следом идет IE - 38 против 25, далее Safari - 12 против 6 и Opera - 7 против 9. Улучшилось среднее время реакции на обнаружение уязвимостей. Лидирует тут Firefox - 1 день, следом идет Opera (2 дня против 18 в прошлом году), Safari (5 дней). Антирекорд по-прежнему у IE - 9 дней против прошлогодних 25. Он же по-прежнему остается самой любимой целью для атак.
Источник: Ars Technica

Еще один независимый патч IE
dl // 23.09.06 11:54
Группа ZERT (Zeroday Emergency Response Team) создала патч для недавней уязвимости IE, которым пользователи могут воспользоваться в ожидании выхода официального патча от MS. Microsoft в своем заявлении не рекомендовала пользоваться сторонними патчами, да и сама ZERT признала, что у сторонних патчей есть недостаток в виде отсутствия всестороннего тестирования. На этот случай к патчу прилагается исходный код.

Лично я не вижу особого смысла в применении этого патча в условиях, когда известно надежное штатное средство блокировки уязвимого компонента. Побочный эффект в виде отсутствия поддержки VML представляется не слишком существенным - можете ли вы вспомнить, на каких сайтах его хоть когда-нибудь встречали?
Источник: ZDNet

Уязвимость IE затронула и Outlook
dl // 22.09.06 13:34
Недавняя уязвимость IE, связанная с обработкой изображений, записанных в VML (Vector Markup Language) затрагивает и пользователей Outlook 2003. Изначально считалось, что Outlook избежал угрозы из-за его автоматической блокировки скриптов, но исследователям из Sunbelt Software удалось заставить удаленную машину выполнить код и без использования скриптов. Это резко повышает опасность данной уязвимости - если в случае IE пользователя еще надо было заманить на страницу с вредоносным кодом, то тут достаточно отправить ему письмо.

В качестве временного решения предлагается блокировать уязвимый компонент:
regsvr32 -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll
Источник: InfoWorld

В Microsoft ушел еще один ветеран McAfee
dl // 20.09.06 09:47
Ранее работавший в McAfee Джимми Куо (Jimmy Kuo) займет в Microsoft место старшего иследователя по безопасности в Security Research & Response team. В прошлом месяце в Microsoft из McAfee перешел Винсент Гулотто (Vincent Gullotto), бывший глава Antivirus and Vulnerability Emergency Response Team. Похоже, в MS довольно серьезно отнеслись к крикам типа "да эти ребята понятия не имеют, что такое поддержка антивируса" и выбрали один из самых коротких путей решения проблемы, приступив к найму людей, чье имя имеет существенный вес в отрасли.
Источник: ZDNet

Russian Password Crackers - теперь и на русском
dl // 15.09.06 17:44
Павел Семьянов объявил о завершении тестирования русской версии своего популярного сайта Russian Password Crackers. На сайте представлена информация практически обо всех популярных взломщиках паролей к различным системам и программам, с тестами скорости и отзывами. Приветствуются пополнения - авторы новых программ имеют возможность зарегистрироваться и выложить информацию о своем продукте.
Источник: Russian Password Crackers