информационная безопасность без паники и всерьез подробно о проекте |
||||||||||||||||||||||
|
||||||||||||||||||||||
|
В Visual Studio 2008 войдет библиотека питерских разработчиков; Серьезная уязвимость в Oracle; Утечка личной информации на Одноклассники.ru; Леопардовые грабли; The Pirate Bay обзавелся доменом антипиратской организации. #248, 16.11.2007 В Visual Studio 2008 войдет библиотека питерских разработчиков
Что еще более удивительно, Microsoft предпочла использовать при этом не свою реализацию соответствующих интерфейсных элементов, а лицензировать ее у зарегистрированной в Санкт-Петербурге компании BCGSoft - что, несомненно, является большим успехом последней, с чем я и поздравляю. Забавно, но оказалось, что проще купить готовое решение, имитирующее разработки соседних отделов, чем заставить эти самые соседние отделы довести свою работу до состояния, пригодного для независимого использования. C учетом того, что по крайней мере первая реализация новых компонентов будет целиком включена в mfc90.dll (или как там ее назовут), которая при этом подрастет с 1.2Mb до 3.8, это не слишком хорошая новость для использующих решения других производителей. С другой стороны, включение подобных средств в стандартную поставку ставит под вопрос само существование других производителей, поднявшихся на затыкании дырок в функциональности MFC - заинтересованная в них аудитория явно прилично сократится.
Серьезная уязвимость в Oracle
Предположительно, Oracle уже подготовила исправление, но не планирует ради его публикации нарушать свой квартальный цикл выпуска патчей. Так что ближайшее обновление ожидается не ранее 15 января.
Утечка личной информации на Одноклассники.ru
Во-первых, страница стала доступна и незарегистрированным пользователям (возможно, идентификатор сессии и был включен ради этого, а не просто по неосторожности). Во-вторых, после ее открытия переход по ссылкам верхнего меню ("Моя страница", "Мои сообщения") приводит к отображению соответствующих страниц случайных (или не очень) пользователей сервиса, дает просматривать личные сообщения, фотографии, редактировать профиль и т.п. По одной из версий, таким образом засвечивается страница пользователя, перед этим прошедшего по ссылке с идентификатором сессии. Если это предположение правильно, то существует возможность целенаправленной атаки путем заманивания на соответствующую ссылку. Звучит вполне правдоподобно, впрочем, однозначно подтвердить эту версию, попеременно заходя с нескольких аккаунтов, лично мне не удалось - то ли поток желающих пройтись по ссылке стал слишком велик, то ли источник проблемы все-таки в чем-то другом. Похоже, что ошибки вокруг запоминания логина становятся настоящим бичом онлайновых сервисов. Update. Дырку довольно оперативно закрыли, но, судя по интенсивно меняющимся в последние минуты ее существования фотографиям и именам, желающих покуражиться над чужими аккаунтами оказалось не так уж мало (а что было бы, попади эти 3.5 часа на пик рабочего времени, и представить страшно). Так что пользователям из "группы риска", сходившим по носиковской ссылке, как минимум стоит наведаться на свою страницу.
Леопардовые грабли
А вот сегодняшнее известие более любопытно. Команда журнала Heize взглянула поближе на файрволл, идущий в поставке новой ОС, и обнаружила еще несколько забавных мелочей. Мало того, что в стартовой конфигурации файрволл идет фактически отключенным, но даже после его включения и явного прописывания запрета на доступ извне к системным службами, они по-прежнему оказывались доступными. При том, что в поставку системы входят некоторые службы не самых последних версий (например, ntpd и samba, более поздние версии которых включают исправления ряда уязвимостей), жизнь мак-пользователей обещает стать более интересной. Согласно предположениям читателей Slashdot, собака порылась в том, что файрволл пропускает соединения не только с явно указанными службами, но и с теми, которые обзавелись доверенным сертификатом - что, видимо, справедливо для всех стандартных служб и на практике приводит к полной невозможности для пользователя ограничить к ним доступ.
The Pirate Bay обзавелся доменом антипиратской организации
|
анонимность
клоуны
конференции
спам
уязвимости
.net
acrobat
activex
adobe
android
apple
beta
bgp
bitcoin
blaster
borland
botnet
chrome
cisco
crypto
ctf
ddos
dmca
dnet
dns
dos
dropbox
eclipse
ecurrency
eeye
elcomsoft
excel
facebook
firefox
flash
freebsd
fsf
github
gnome
google
gpl
hp
https
ibm
icq
ie
intel
ios
iphone
java
javascript
l0pht
leak
linux
livejournal
mac
mcafee
meltdown
microsoft
mozilla
mysql
netware
nginx
novell
ny
open source
opera
oracle
os/2
outlook
password
patch
php
powerpoint
programming
pwn2own
quicktime
rc5
redhat
retro
rip
router
rsa
safari
sco
secunia
server
service pack
shopping
skype
smb
solaris
sony
spyware
sql injection
ssh
ssl
stuff
sun
symantec
torrents
unix
virus
vista
vmware
vpn
wikipedia
windows
word
xp
xss
yahoo
yandex
youtube
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
|
|