C наступающим; MS подтвердила существование уязвимости в подcистеме csrss; MS обнародовала проект API для доступа к ядру Висты; Критические обновления для продуктов Mozilla.

#236, 31.12.2006

C наступающим
dl // 31.12.06 23:59
И опять с очередным перебросом циферок всех читателей.

Что касается вопроса, который, думаю, волнует участников конкурса статей - оглашение результатов конкурса, видимо, придется перенести на после выходных, поскольку не все члены жюри, к сожалению, успели отметиться. В качестве небольшой компенсации за затянувшееся ожидание я решил увеличить число книжных призов.

MS подтвердила существование уязвимости в подcистеме csrss
dl // 23.12.06 00:08
В блоге Microsoft Security Response Center появилось подтверждение существования ошибки в Client Server Run-Time Subsystem, которая может привести к повышению локальных привилегий. Код, запарывающий память csrss, что в большинстве случаев выкидывает систему (от win2k до висты) на синий экран, использует штатную функцию WinAPI MessageBox.

Пока в Microsoft сохраняют спокойствие, продолжая считать Висту самой безопасной современной платформой и отслеживая ситуацию, связанную с этой уязвимостью.
Источник: security.nnov.ru, анализ исходного кода

MS обнародовала проект API для доступа к ядру Висты
dl // 21.12.06 03:46
Предполагается, что новый набор интерфейсов позволит программистам расширять функциональность ядра 64-битной системы, не ослабляя систему защиты, обеспечиваемую технологией kernel patch protection, по поводу которой не так давно было столько споров. Охвачены четыре основные категории: управление созданием и доступом к процессам и потокам, защита от внедрения в процессы, занимающиеся задачами безопасности, управление доступом к памяти, управление загрузкой бинарных образов.

Представитель Symantec заявил, что компания получила данные материалы и занимается их оценкой. Представитель McAfee высказался более прямо, отметив удовлетворение новым API и тем, что при их подготовке были учтены и высказанные рекомендации. Впрочем, вряд ли стоит рассчитывать на их реализацию ранее 2008 года, когда ожидается выпуск первого сервис пака для Vista.
Источник: ZDNet

Критические обновления для продуктов Mozilla
dl // 21.12.06 02:18
Вышли обновления для всех основных продуктов - Firefox 2.0.0.1, Firefox 1.5.0.9, Thunderbird 1.5.0.9, SeaMonkey 1.0.7. Исправлены уязвимости, потенциально приводящие к XSS-атакам, удаленному исполнению кода и утечке критичной информации.
Источник: ZDNet