информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Портрет посетителяВсе любят медАтака на Internet
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 Foreshadow продолжает дело Meltdown... 
 Попасть под лошадь 
 Последний спокойный день для сайтов... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / обзор / архив / 2008
АРХИВ
главная
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
1998
1997




The Bat!

Подписка:
BuqTraq: Обзор
RSN
РВС
БСК



The Bat!

Уязвимость в модуле загрузки угрожает MySpace; Google не так уж хорошо защищает от перехвата пользовательских данных; Сбой в RU-CENTER парализовал работу множества сайтов; Vista SP1 ушел к партнерам. И уплыл в Internet. Первая атака на маршрутизаторы с использованием XSS.

#253, 02.02.2008

Уязвимость в модуле загрузки угрожает MySpace
dl // 01.02.08 16:37
Переполнение буфера в ActiveX-модуле, использующемся для загрузки изображений в популярную социальную сеть MySpace через IE, может подставить под удар пользовательские системы. Производитель подтвердил уязвимость версии 4.5.70, заявив, что более поздние версии безопасны. Этот же компонент используется и в Facebook, хотя пока и неясно, какой версии.
Источник: The Register


Google не так уж хорошо защищает от перехвата пользовательских данных
dl // 01.02.08 16:31
В течение долгого времени сервисы Google оставались одними из немногих бесплатных служб, при работе с которыми через публичные точки доступа (халявный WiFi и т.п.) пользователи могли чувствовать себя в относительной безопасности - за счет шифрования идентификатора сессии при работе через SSL. Однако выяснилось, что если сайт посчитает, что с соединением произошли какие-то проблемы, он с готовностью переключится с https на простой http, что открывает перед зловредным владельцем точки доступа уже более интересные перспективы. С другой стороны, гуглевская защита по прежнему превосходит все, что могут предложить другие бесплатные службы.
Источник: The Register


Сбой в RU-CENTER парализовал работу множества сайтов
dl // 31.01.08 11:05
Некий сбой в базе ведущего российского регистратора доменов привел к разделегированию (и, соответственно, потенциальной недоступности для пользователей) массы доменов, зарегистрированных у него. Причем для части сайтов "REGISTERED, NOT DELEGATED" отдает только WHOIS.NIC.RU (для ezhe.ru, rambler.ru, yandex.ru и т.п.), для других (1c.ru, anekdot.ru) это отдает уже и WHOIS.RIPN.NET - возможно, дело в месте расположения DNS-серверов, держащих зоны (у всех частично живых доменов, которые пришли в голову, этим занимаются серверы, не связанные с nic.ru). Хотя есть и версия, что "все начало рушиться по алфавиту".

Пока конечных пользователей как-то спасают кэши провайдерских/корпоративных DNS, но по мере их обновления катастрофа будет распространяться. И даже после исправления ошибки до полной реанимации зоны ru с учетом сильной инерционности всего механизма DNS пройдет еще в лучшем случае несколько часов.

Update: по сообщению самого RU-CENTER, делегирование было снято у 6078 доменов примерно в 2 ночи. В 10 утра делегирование всех доменов было восстановлено по состоянию на 19 часов 30.01.08. Восстановление информации в системе регистрации и в реестре доменов ожидается к 14 часам.

Update 2 (16:18): Похоже, 14:00 было несколько оптимистичной оценкой...
Источник: RU-CENTER


Vista SP1 ушел к партнерам. И уплыл в Internet.
dl // 28.01.08 11:04
Согласно информации, полученной популярным сайтом WZor.Net, предположительно финальным билдом Vista SP1 станет 6001.18000.080118-1840. Официальный выход запланирован на середину февраля, однако финальная RTM-версия уже отправлена на золото, а доверенным партнёрам и производителям железа ушли версии Vista с интегрированным SP1. На торрентах уже доступны файлы Windows6.0-KB936330-X64.exe и Windows6.0-KB936330-X86.exe, на подходе и интегрированные версии. Стадии RTM также достиг и Windows Server 2008.
Источник: WZor.Net


Первая атака на маршрутизаторы с использованием XSS
dl // 24.01.08 21:24
Symantec сообщила о первом случае реализации атаки на маршрутизаторы производства 2Wire, возможность которой была обнаружена еще в прошлом августе. В роли жертвы выступили пользователи неназванного мексиканского банка, получившие спам с приглашением забрать электронную открытку с популярного сайта gusanto.com. Письмо также включало html-теги img, приводящие к отправке get-запроса к маршрутизатору, что в свою очередь приводило к смене настроек DNS (это стало возможным благодаря XSS-уязвимости в веб-интерфейсе маршрутизатора). В результате атаки последующие обращения к шести доменам, связанным с банком, проходящие через этот маршрутизатор, перенаправлялись на совсем другой IP-адрес, который опять-таки не называется.

Вывод - следует крайне осторожно относиться к дешевым устройствам all-in-one, особенно к их настройкам по умолчанию.
Источник: cnet




обсудить  |  все отзывы (0)  
[15614]

анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



назад «     » вперед


  Copyright © 2001-2018 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach