информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Атака на InternetSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
 Tailscale окончательно забанила... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / обзор / архив / 2007
АРХИВ
главная
2024
2023
2022
2021
2020
2019
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
1998
1997






Подписка:
BuqTraq: Обзор
RSN
РВС
БСК




В Visual Studio 2008 войдет библиотека питерских разработчиков; Серьезная уязвимость в Oracle; Утечка личной информации на Одноклассники.ru; Леопардовые грабли; The Pirate Bay обзавелся доменом антипиратской организации.

#248, 16.11.2007

В Visual Studio 2008 войдет библиотека питерских разработчиков
dl // 15.11.07 20:27
Случилось чудо - остававшаяся практически неизменной в части построения интерфейсов в течение последнего десятка лет MFC к следующей своей верии (точнее, к обещанному обновлению Visual Studio 2008, выходящая в конце ноября версия все эти вкусности еще не включает) обретет ряд новых компонентов, включающих (не верю своим глазам) полноценный grid, docking windows в стиле самой VS, ribbon в стиле последнего офиса.

Что еще более удивительно, Microsoft предпочла использовать при этом не свою реализацию соответствующих интерфейсных элементов, а лицензировать ее у зарегистрированной в Санкт-Петербурге компании BCGSoft - что, несомненно, является большим успехом последней, с чем я и поздравляю. Забавно, но оказалось, что проще купить готовое решение, имитирующее разработки соседних отделов, чем заставить эти самые соседние отделы довести свою работу до состояния, пригодного для независимого использования.

C учетом того, что по крайней мере первая реализация новых компонентов будет целиком включена в mfc90.dll (или как там ее назовут), которая при этом подрастет с 1.2Mb до 3.8, это не слишком хорошая новость для использующих решения других производителей. С другой стороны, включение подобных средств в стандартную поставку ставит под вопрос само существование других производителей, поднявшихся на затыкании дырок в функциональности MFC - заинтересованная в них аудитория явно прилично сократится.
Источник: Visual C++ Team Blog


Серьезная уязвимость в Oracle
dl // 09.11.07 17:50
Переполнение буфера позволяет аутентифицированному удаленному пользователю выполнить произвольный код на системе с правами аккаунта, под которым запущен сервер базы данных. Производитель извещен в феврале (!), в ноябре опубликован демонстрационный код. Как минимум, уязвимости подвержена версия Oracle Database 10g Release 2 со всеми обновлениями по состоянию на февраль 2007, не исключаются и другие версии.

Предположительно, Oracle уже подготовила исправление, но не планирует ради его публикации нарушать свой квартальный цикл выпуска патчей. Так что ближайшее обновление ожидается не ранее 15 января.
Источник: iDefense Labs


Утечка личной информации на Одноклассники.ru
dl // 31.10.07 22:18
Довольно забавная ошибка, хотя потенциально применимая для целенаправленного использования. Проявилась в тот момент, когда Антон Носик опубликовал в своем журнале ссылку на одноклассническую страницу организатора беспорядков, случившихся на вчерашних политических дебатах. В ссылку был включен идентификатор сессии, что привело к весьма своеобразным последствиям.

Во-первых, страница стала доступна и незарегистрированным пользователям (возможно, идентификатор сессии и был включен ради этого, а не просто по неосторожности). Во-вторых, после ее открытия переход по ссылкам верхнего меню ("Моя страница", "Мои сообщения") приводит к отображению соответствующих страниц случайных (или не очень) пользователей сервиса, дает просматривать личные сообщения, фотографии, редактировать профиль и т.п.

По одной из версий, таким образом засвечивается страница пользователя, перед этим прошедшего по ссылке с идентификатором сессии. Если это предположение правильно, то существует возможность целенаправленной атаки путем заманивания на соответствующую ссылку. Звучит вполне правдоподобно, впрочем, однозначно подтвердить эту версию, попеременно заходя с нескольких аккаунтов, лично мне не удалось - то ли поток желающих пройтись по ссылке стал слишком велик, то ли источник проблемы все-таки в чем-то другом.

Похоже, что ошибки вокруг запоминания логина становятся настоящим бичом онлайновых сервисов.

Update. Дырку довольно оперативно закрыли, но, судя по интенсивно меняющимся в последние минуты ее существования фотографиям и именам, желающих покуражиться над чужими аккаунтами оказалось не так уж мало (а что было бы, попади эти 3.5 часа на пик рабочего времени, и представить страшно). Так что пользователям из "группы риска", сходившим по носиковской ссылке, как минимум стоит наведаться на свою страницу.
Источник: dolboeb lj


Леопардовые грабли
dl // 30.10.07 23:46
Добрую традицию по выпуску неработоспособных решений в красивой упаковке Apple продолжила с выпуском OS X Leopard. Первые дни после выхода принесли не слишком много косяков - ну да, в очередной раз выкинута поддержка старых приложений (интересно, сколько бы собак повесили на Microsoft, вздумай она отказаться от обратной совместимости ОС с приложениями 5-летней давности), за считанные часы разломали привязку системы к макам (хотя кому от этого легче, поддерживается все равно довольно ограниченный набор устройств), но это все мелочи.

А вот сегодняшнее известие более любопытно. Команда журнала Heize взглянула поближе на файрволл, идущий в поставке новой ОС, и обнаружила еще несколько забавных мелочей. Мало того, что в стартовой конфигурации файрволл идет фактически отключенным, но даже после его включения и явного прописывания запрета на доступ извне к системным службами, они по-прежнему оказывались доступными. При том, что в поставку системы входят некоторые службы не самых последних версий (например, ntpd и samba, более поздние версии которых включают исправления ряда уязвимостей), жизнь мак-пользователей обещает стать более интересной.

Согласно предположениям читателей Slashdot, собака порылась в том, что файрволл пропускает соединения не только с явно указанными службами, но и с теми, которые обзавелись доверенным сертификатом - что, видимо, справедливо для всех стандартных служб и на практике приводит к полной невозможности для пользователя ограничить к ним доступ.
Источник: slashdot


The Pirate Bay обзавелся доменом антипиратской организации
dl // 16.10.07 10:54
International Federation of the Phonographic Industry (IFPI) умудрилась прощелкать домен ifpi.com, который был немедленно занят известным торрентом The Pirate Bay. Теперь аббревиатура IFPI раскрывается там как International Federation of Pirates Interests.
Источник: The Register




обсудить  |  все отзывы (0)
[35152]

анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd fsf github gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint programming pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssh ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



назад «     » вперед


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach