Уязвимость в модуле загрузки угрожает MySpace; Google не так уж хорошо защищает от перехвата пользовательских данных; Сбой в RU-CENTER парализовал работу множества сайтов; Vista SP1 ушел к партнерам. И уплыл в Internet. Первая атака на маршрутизаторы с использованием XSS.

#253, 02.02.2008

Уязвимость в модуле загрузки угрожает MySpace
dl // 01.02.08 16:37
Переполнение буфера в ActiveX-модуле, использующемся для загрузки изображений в популярную социальную сеть MySpace через IE, может подставить под удар пользовательские системы. Производитель подтвердил уязвимость версии 4.5.70, заявив, что более поздние версии безопасны. Этот же компонент используется и в Facebook, хотя пока и неясно, какой версии.
Источник: The Register

Google не так уж хорошо защищает от перехвата пользовательских данных
dl // 01.02.08 16:31
В течение долгого времени сервисы Google оставались одними из немногих бесплатных служб, при работе с которыми через публичные точки доступа (халявный WiFi и т.п.) пользователи могли чувствовать себя в относительной безопасности - за счет шифрования идентификатора сессии при работе через SSL. Однако выяснилось, что если сайт посчитает, что с соединением произошли какие-то проблемы, он с готовностью переключится с https на простой http, что открывает перед зловредным владельцем точки доступа уже более интересные перспективы. С другой стороны, гуглевская защита по прежнему превосходит все, что могут предложить другие бесплатные службы.
Источник: The Register

Сбой в RU-CENTER парализовал работу множества сайтов
dl // 31.01.08 11:05
Некий сбой в базе ведущего российского регистратора доменов привел к разделегированию (и, соответственно, потенциальной недоступности для пользователей) массы доменов, зарегистрированных у него. Причем для части сайтов "REGISTERED, NOT DELEGATED" отдает только WHOIS.NIC.RU (для ezhe.ru, rambler.ru, yandex.ru и т.п.), для других (1c.ru, anekdot.ru) это отдает уже и WHOIS.RIPN.NET - возможно, дело в месте расположения DNS-серверов, держащих зоны (у всех частично живых доменов, которые пришли в голову, этим занимаются серверы, не связанные с nic.ru). Хотя есть и версия, что "все начало рушиться по алфавиту".

Пока конечных пользователей как-то спасают кэши провайдерских/корпоративных DNS, но по мере их обновления катастрофа будет распространяться. И даже после исправления ошибки до полной реанимации зоны ru с учетом сильной инерционности всего механизма DNS пройдет еще в лучшем случае несколько часов.

Update: по сообщению самого RU-CENTER, делегирование было снято у 6078 доменов примерно в 2 ночи. В 10 утра делегирование всех доменов было восстановлено по состоянию на 19 часов 30.01.08. Восстановление информации в системе регистрации и в реестре доменов ожидается к 14 часам.

Update 2 (16:18): Похоже, 14:00 было несколько оптимистичной оценкой...
Источник: RU-CENTER

Vista SP1 ушел к партнерам. И уплыл в Internet.
dl // 28.01.08 11:04
Согласно информации, полученной популярным сайтом WZor.Net, предположительно финальным билдом Vista SP1 станет 6001.18000.080118-1840. Официальный выход запланирован на середину февраля, однако финальная RTM-версия уже отправлена на золото, а доверенным партнёрам и производителям железа ушли версии Vista с интегрированным SP1. На торрентах уже доступны файлы Windows6.0-KB936330-X64.exe и Windows6.0-KB936330-X86.exe, на подходе и интегрированные версии. Стадии RTM также достиг и Windows Server 2008.
Источник: WZor.Net

Первая атака на маршрутизаторы с использованием XSS
dl // 24.01.08 21:24
Symantec сообщила о первом случае реализации атаки на маршрутизаторы производства 2Wire, возможность которой была обнаружена еще в прошлом августе. В роли жертвы выступили пользователи неназванного мексиканского банка, получившие спам с приглашением забрать электронную открытку с популярного сайта gusanto.com. Письмо также включало html-теги img, приводящие к отправке get-запроса к маршрутизатору, что в свою очередь приводило к смене настроек DNS (это стало возможным благодаря XSS-уязвимости в веб-интерфейсе маршрутизатора). В результате атаки последующие обращения к шести доменам, связанным с банком, проходящие через этот маршрутизатор, перенаправлялись на совсем другой IP-адрес, который опять-таки не называется.

Вывод - следует крайне осторожно относиться к дешевым устройствам all-in-one, особенно к их настройкам по умолчанию.
Источник: cnet