https://bugtraq.ru/review/archive/2008/17-01-08.html

MS предупреждает об атаках на Excel; Sun собралась прикупить MySQL; MS улучшила защиту Vista Sidebar; Январские обновления от MS; Боинг 787 может оказаться уязвимым к хакерским атакам.

#252, 17.01.2008

MS предупреждает об атаках на Excel
dl // 16.01.08 21:42
Microsoft выпустила предупреждение об атаках, использующих свежую уязвимость в Excel для удаленного исполнения кода и захвата пользовательской системы. Затронутые версии: Microsoft Office Excel 2003 Service Pack 2, Microsoft Office Excel Viewer 2003, Microsoft Office Excel 2002, Microsoft Office Excel 2000, Microsoft Excel 2004 for Mac. По существующей информации, Microsoft Office Excel 2007, Microsoft Excel 2008 for Mac, Microsoft Office Excel 2003 Service Pack 3 чисты.

Пользователям пока предлагается не открывать xls-файлы, полученные из не внушающих доверия источников (что всегда является не самой плохой идеей).
Источник: Microsoft Security Advisory

Sun собралась прикупить MySQL
dl // 16.01.08 19:37
Sun объявила о планах покупки MySQL AB. Предполагается, что 800 миллионнов долларов будут заплачены наличными и еще 200 в виде опционов. Как минимум, MySQL получит с этого новый уровень техподдержки, что предположительно сделает его более привлекательным для корпоративных пользователей. Ну а Sun подтверждает свою приверженность open source и собирает под свое крыло полный набор решений для построения internet/intranet-систем, от ОС до средств разработки.
Источник: Jonathan Schwartz's Blog

MS улучшила защиту Vista Sidebar
dl // 10.01.08 13:29
Во вторник обновления для Висты пополнились и важным обновлением, улучшающим безопасность Vista Sidebar. Гаджеты боковой панели по сути являются мини-программами, представляющими собой комбинацию html и различных скриптов. Поскольку они выполняются в локальном контексте, соответствующим образом подготовленный и подсунутый пользователю гаджет вполне может стать средством атаки на пользовательскую систему, как и любое локально устанавливаемое приложение.

Начиная с минувшего вторника, MS планирует вести список потенциально опасных гаджетов и раз в месяц рассылать обновления, включающие для них на пользовательских системах так называемый "kill bit". После чего при попытке загрузки такого гаджета он будет блокирован, а его иконка заменится на надпись "Bad Gadget". Вторничное обновление пока ничего не блокировало, а лишь сгенерировало уникальные идентификаторы для каждого гаджета.

Пока это обновление необязательно к установке (зависит от настроек Windows Update), но будет включено в готовящийся к выпуску Vista SP1. Утверждается, что в настоящее время не существует вредоносных или уязвимых гаджетов. Но свежие идеи в умах это известие, похоже, заронит.
Источник: InfoWorld, Microsoft Security Advisory

Январские обновления от MS
dl // 08.01.08 22:33
Одно критическое обновление, исправляющее две уязвимости в реализации TCP/IP, и одно важное, исправляющее возможное локальное повышение привилегий в LSASS.
Источник: Microsoft Security Bulletin Summary

Боинг 787 может оказаться уязвимым к хакерским атакам
dl // 06.01.08 02:10
Согласно отчету Федерального управления авиацией США (Federal Aviation Administration, FAA), новый Boeing 787 Dreamliner может оказаться уязвимым к атакам со стороны пассажиров, поскольку сеть пассажирского салона, предназначенная для предоставления доступа к Интернет, физически не отделена от сети, отвечающей за управление самим самолетом.

Судя по всему, речь не идет о реально обнаруженных уязвимостях, просто сам факт того, что критическая сеть физически не отделена от сети общего доступа, вызывает у любого вменяемого специалиста нервную дрожь.

По словам представительницы Боинг Лори Гюнтер (Lori Gunter), FAA преувеличивает опасность, а существующее решение включает комбинацию частичного физического разделения сетей с программными межсетевыми экранами, а также ряд технологий, детали которых она предпочитает не обсуждать публично.

Однако фраза "есть места, где сети соприкасаются, а есть места, где нет" звучит по меньшей мере забавно.
Источник: Wired