BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/review/archive/2008/05-08-08.html

Яндекс-маркет - находка для фишера; MS будет информировать производителей о готовящихся патчах; DMCA не распространяется на ВВС США; Массовое исправление DNS-серверов; 800 уязвимостей в антивирусных продуктах.

#261, 05.08.2008

Яндекс-маркет - находка для фишера
dl // 05.08.08 22:41
Оказывается, ссылки "где купить" в Яндекс-маркете используют простой редирект по адресу, указанному в параметре "url". Т.е. можно подсунуть пользователю ссылку на любой сайт, в то время как он будет искренне считать, что идет куда-то на яндекс.
Источник: ru_root.livejournal.com


MS будет информировать производителей о готовящихся патчах
dl // 05.08.08 18:03
Microsoft планирует слегка модифицировать сложившуюся в последние годы схему распространения патчей по вторым вторникам каждого месяца. Сейчас после выхода очередной порции патчей начинается гонка между злобными хакерами и производителями защитного софта в целях выявления уязвимостей, которые они исправляют (серьезной проблемой может стать автоматизация подготовки атак на основе анализа патчей).

Для создания форы "хорошим парням" Microsoft подготовила стартующую в октябре Active Protection Program. В рамках этой программы MS будет информировать производителей защитного софта о готовящихся к выходу исправлениях. Будет предоставляться информация об условиях, необходимых для использования уязвимостей, и способах их идентификации. Кроме того, бюллетени безопасности будут включать таблицы с Exploitability Index для каждой уязвимости, который будет показывать, насколько легко она может быть использована.
Источник: eWeek


DMCA не распространяется на ВВС США
dl // 05.08.08 12:23
Апелляционный суд США подтвердил решение, существенно ограничивающее действие копирайтных законов на правительственные организации.

История началась несколько лет назад, когда сержант Марк Дейвенпорт (Mark Davenport) стал работать в группе, обслуживающей базу данных личного состава ВВС США. Обнаружив неэффективность существующей системы, Дейвенпорт потребовал дополнительного обучения программированию для ее усовершенствования, получив же отказ, занялся самообразованием и приступил к самостоятельной работе над системой.

Основная работа проводилась им дома, но в целях отладки он постепенно начал приносить на работу бета-версии с ограниченным сроком службы, и эти версии понемногу стали распространяться по его подразделению. Демонстрация начальству привела к рекомендации по повышению Дейвенпорта, за которой последовало требование передать код программы ВВС.

Дейвенпорт, однако, предпочел продать код компании Blueport, попытавшейся начать с ВВС переговоры о лицензировании, в ответ на что простые ребята из ВВС наняли стороннюю фирму, убравшую из оставшихся у них версий ограничения на срок действия. В итоге Blueport подала в суд на ВВС, ссылаясь на копирайтный закон и DMCA.

Суд выдал следующую формулировку: "The United States, as [a] sovereign, is immune from suit save as it consents to be sued..." - "Соединенные Штаты, будучи верховной властью, являются иммунными ко всем искам, за исключением тех, на которые они согласны" (принцип иммунитета власти, sovereign immunity). В случае с копирайтными законами США согласились отдать большую часть своего иммунитета, с некоторыми исключениями - в том числе, и подходящее к случаю Дейвенпорта ограничение на использование служебного положения для принуждения работы с копирайтными материалами. Что касается DMCA, то, по мнению суда, сам по себе этот закон не содержит упоминаний об ограничениях иммунитета власти, кроме того, существенная часть его ограничений направлена на отдельных граждан и не может быть применена к правительственным организациям.
Источник: Ars Technica


Массовое исправление DNS-серверов
dl // 09.07.08 13:30
Вчерашнее исправление DNS-службы в Windows оказалось первой ласточкой в координированном выпуске исправлений DNS от разных производителей. Аналогичные обновления уже вышли для Bind и продуктов Cisco и Sun.

Обновления исправляют уязвимости класса "отравление кэша" (cache poisoning), которые могут привести к подмене записей в DNS-серверах для последующей атаки на их клиентов.

Уязвимости были обнаружены несколько месяцев назад Дэном Камински, который предпочел сообщить о них производителям, что и сделало возможным совместный массовый выпуск исправлений. Для проверки, уязвим ли ваш DNS, можно воспользоваться этим сайтом. Детали уязвимости обещано обнародовать на августовской BlackHat-конференции.
Источник: ZDNet


800 уязвимостей в антивирусных продуктах
dl // 08.07.08 01:42
По словам специалистов из компании n.runs AG, насчитавших за последние месяцы около 800 уязвимостей в популярных антивирусных продуктах, это тот самый случай, когда охранник превращается в шпиона.

Согласно проведенным тестам, буквально каждый антивирус, представленный на рынке, подвержен нескольким критичным уязвимостям, позволяющим реализовать с их помощью как простые DoS-атаки, так и внедрение деструктивного кода в защищаемые системы. Усилия n.runs были сконцентрированы на процедурах разбора различных форматов, в которых было обнаружено множество ошибок, связанных с ложными допущениями (видимо, в основном из-за излишнего доверия к значениям, занесенным в критичные поля заголовков).
Источник: ZDNet




обсудить  |  все отзывы (0)
[34635]




  Copyright © 2001-2024 Dmitry Leonov Design: Vadim Derkach