Критическая уязвимость в FireFox; Отключение защиты антивируса Касперского; Захват iPhone; Второй Всероссийский Слет Сисадминов; iPhone: первые дырки.

#243, 26.07.2007

Критическая уязвимость в FireFox
dl // 26.07.07 04:05
Недостаточная проверка параметров URI-обработчиков приводит к возможности выполнения удаленного кода на атакуемой системе. Чуть ранее Mozilla уже выпустила один патч, связанный с URI, полученными из IE (хотя и заявив перед этим, что заботиться о корректности параметров должен IE).

Последняя уязвимость особенно серьезна, поскольку может быть легко использована в сочетании с фишингом, XSS на форумах и т.п. Пока полноценное исправление отсутствует, конечных пользователей может устроить установка расширения NoScript.
Источник: The Register

Отключение защиты антивируса Касперского
dl // 24.07.07 23:00
Стремление защитить свои продукты от наивного продления лицензии путем откручивания системной даты привело к тому, что вся защита KAV легко и непринужденно отключается простым переводом даты на год назад (неплохой подарок для атакующих): c:\> date 24.07.2006

Производитель поставлен в известность более года назад.

Vendor contact timeline:
2006-06-15: vendor notified via Russian forum
2006-06-15: vendor replied via forum (private message)
2007-07-09: vendor asked via forum and VIP-Support
2007-07-09: vendor replied "Issue - 26328"
Источник: Kaspersky Lab Forum via BORODA(C)

Захват iPhone
dl // 23.07.07 19:54
Исследователи из Independent Security Evaluators продемонстрировали полный захват iPhone, использующий уязвимости в Safari. Итог - исполнение произвольного кода с администраторскими привилегиями, кража пользовательской информации и т.п. Возможные сценарии атаки включают направление пользователя на страницы, содержащие атакующий код, с помощью контролируемых WiFi-точек доступа, ссылок в почте, сообщений в форумах и т.п.

Детали уязвимости будут представлены на BlackHat-конференции 2 августа.
Источник: Exploiting the iPhone

Второй Всероссийский Слет Сисадминов
dl // 05.07.07 22:48
27-29 июля 2007 года состоится Второй Всероссийский Слет Сисадминов, приуроченный ко Дню системного администратора, отмечаемому в последнюю пятницу июля. На первом слете, случившемся в прошлом году, присутствовало около 350 участников, в этом году организаторы ожидают на берегу реки Вырки, что под Калугой, до тысячи человек.

На портале "Сисадмин – тоже человек" запущен специальный раздел, посвященный Слету, на котором опубликована программа мероприятия, информация о проезде, ведется обсуждение. Объявлен конкурс кулинарных рецептов "Сисадминская самобранка", победители которого не только получат призы, но и смогут представить свои кулинарные шедевры прямо на Слете.
Источник: информация о слете, регистрация

iPhone: первые дырки
dl // 03.07.07 12:30
Не прошло и трех дней с начала ажиотажной распродажи красивой цацки с убогой функциональностью для фанатов Apple, как пошла информация о первых обнаруженных дырках - благо iPhone занялись очень плотно, уже поднята тематическая wiki для обмена информацией по взлому. Основные цели - обход процедуры активации, устранение блокировки, возможность запуска полноценных сторонних приложений.

Первая и самая серьезная найденная ошибка находится во внутренностях безопаснейшего Safari (который, на минуточку, пока является единственным официальным средством для запуска сторонних как-бы-приложений). Старое доброе переполнение буфера дает возможность захватить управление телефоном и, например, подправить баланс владельца звонками на платные номера. Еще одна ошибка в реализации Bluetooth позволяет достаточно предсказуемо заблокировать телефон.
Источник: The Register