информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Все любят медСтрашный баг в WindowsПортрет посетителя
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 Закопать Flash 
 Октябрьские патчи от MS и перевыпуск... 
 Microsoft отозвала октябрьское... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / обзор / архив / 2007
АРХИВ
главная
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
1998
1997






Подписка:
BuqTraq: Обзор
RSN
РВС
БСК



The Bat!

Elcomsoft раскопала черный ход в Quicken; Первые полгода Vista: безопаснее, чем Linux, Mac OS X, XP; Гугль пообещал исправить 40 с лишним дырок в YouTube; Apple выпустила бету Safari, полную ошибок; Две пары уязвимостей в IE и FireFox.

#242, 24.06.2007

Elcomsoft раскопала черный ход в Quicken
dl // 23.06.07 16:00
Согласно заявлению Elcomsoft, начиная с 2003 года компания Intuit, производитель популярной финансовой программы Quicken, стала использовать стойкое шифрование при защите запароленных файлов данных, делая практически бесполезными попытки подбора пароля. Однако это стойкое шифрование сопровождалось черным ходом в виде 512-битного RSA-ключа, известного одной лишь Intuit, позволявшего предоставлять забывчивым пользователям программы дополнительные услуги по восстановлению паролей.

Intuit пообещала сменить механизм работы с паролями, ну а тем временем Elcomsoft выпустила Advanced Intuit Password Recovery, снимающую защиту с файлов Quicken без всяких переборов паролей.
Источник: The Register


Первые полгода Vista: безопаснее, чем Linux, Mac OS X, XP
dl // 22.06.07 09:54
Директор по стратегии безопасности Microsoft's Trustworthy Computing Group Джефф Джонс (Jeff Jones) подвел итоги первого полугодия MS Vista с точки зрения безопасности. За это время MS выпустила 4 исправления, закрывающие 12 уязвимостей, связанных с вистой, при этом на конец периода осталось 15 незакрытых уязвимостей, опасность одной из которых оценивается как высокая. Для сравнения, за тот же период жизненного цикла XP было закрыто 36 уязвимостей, еще три оставались без патча, две оценивались как опасные.

В стане конкурентов дела обстоят сильно хуже. Поскольку дистритубивы Linux напичканы дополнительным софтом, подсчет уязвимостей которого позволяет манипулировать цифрами как угодно, во избежание обвинений в предвзятости Джонс исключил из рассмотрения все компоненты, не входящие в стандартные конфигурации, а заодно и офисные пакеты (OpenOffice), средства разработки (gcc), работы с графикой (Gimp) и т.п.

Рекордсменом тут стал Red Hat Enterprise Linux 4 WS - 214 уязвимостей, включая 62 серьезных, патчи для 59 не были доступны на момент шестимесячной отсечки, 12 из них серьезных. Аналогичные значения для Ubuntu 6.06 LTS - 145, 47, 20, 2; SUSE Linux Enterprise Desktop 10 - 123, 44, 20, 5; Mac OS X v10.4 - 60, 18, 16, 3.
Источник: eWeek


Гугль пообещал исправить 40 с лишним дырок в YouTube
dl // 21.06.07 00:49
Не прошло и года, как Гугль сподобился дать ответ Кристиану Мэтьюсу (Christian Matthies), обнаружившему более 40 уязвимостей в YouTube. Большая их часть приводила к XSS, некоторые позволяли внедрить в пользовательский профиль быстро распространяющего червя.

В течение нескольких месяцев команда Гугля никак не реагировала на сообщения Мэтьюса, после чего он просто не выдержал и опубликовал ультиматум, обещая обнародовать все найденные уязвимости, если с ним не свяжутся в течение двух недель. Через несколько дней Гугль отозвался, пообещав в ближайшее время заняться этими вопросами.
Источник: The Register


Apple выпустила бету Safari, полную ошибок
dl // 12.06.07 21:50
Apple явно поторопилась с выпуском сырой беты "самого быстрого броузера на планете" под Win, гордо заявив на его странице, что "Apple engineers designed Safari to be secure from day one" - в считанные часы после анонса уже обнаружено по крайней мере четыре ситуации, приводящие к его вылету, три - к потенциальному удаленному исполнению кода (причем одна из ошибок, найденных в Windows-версии, оказалась воспроизводима и под OSX). Отдельные проблемы возникли у пользователей локализованной Windows.
Источник: The Register


Две пары уязвимостей в IE и FireFox
dl // 05.06.07 11:22
Польский исследователь Михал Залевски (Michal Zalewski), регулярно обнаруживающий уязвимости в популярных броузерах, отчитался еще о четырех, по две в каждом.

Самая опасная досталась IE - в краткий момент перехода от одной страницы к другой атакующий может выполнить скрипт со старой страницы в контексте новой. Что открывает ряд интересных возможностей, включая кражу кук, внедрение кода и т.п. Вторая уязвимость IE относится к шестой версии и дает возможность атакующей странице прикинуться другим сайтом.

Первая уязвимость FF связана с обработкой встроенных фреймов и позволяет сторонним сайтам подменять их содержимое. Вторая связана с задержками, используемыми при выводе некоторых диалогов с подтверждением. При помощи цепочки операций потери и установки фокуса атакующий может принудить жертву загрузить и исполнить произвольный код.
Источник: The Register




обсудить  |  все отзывы (0)  
[22117]

анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



назад «     » вперед


  Copyright © 2001-2018 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach