информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100За кого нас держат?Атака на Internet
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 Foreshadow продолжает дело Meltdown... 
 Попасть под лошадь 
 Последний спокойный день для сайтов... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / обзор / архив / 2010
АРХИВ
главная
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
1998
1997






Подписка:
BuqTraq: Обзор
RSN
РВС
БСК




Visual Studio 2010; FireFox избавится от потенциальной уязвимости десятилетней давности; Атака через PDF, не требующая особых уязвимостей; Изъяты серверы еще одной веб-компании; Тривиальная ошибка в iPhone-приложении привела к утечке массы личных фотографий.

#287, 14.04.2010

Visual Studio 2010
dl // 13.04.10 11:49
Выпущена очередная версия флагманского средства разработки от Microsoft. Полная версия уже доступна в MSDN, все желающие могут получить ознакомительные версии, доступны и бесплатные express-версии.

Традиционно основные изменения коснулись managed языков. В стандартную поставку добавился F#, в комплект вошла четвертая весия .Net. Счастливые владельцы версии Ultimate могут воспользоваться IntelliTrace, позволяющим в процессе отладки откатиться на любую предшествующую точку исполнения программы.

На долю С++ выпало чуть меньше вкусностей, но и тут есть на что посмотреть. Очень прилично улучшилась поддержка C++0x, реализованы все основные вкусности - rvalue references, лямбды и т.п. Естественно, добавлена поддержка разработки под Windows 7. В комплект теперь входит Concurrency Runtime, включающий Parallel Patterns Library, Asynchronous Agents Library и другие средства, направленные на поддержку параллельного программирования.

На тот случай, если вы не готовы переносить свои проекты целиком под новый компилятор, предусмотрена возможность выставить в настройках Platform Toolset, позволяющий использовать компилятор и библиотеки от 2008-й студии, продолжая при этом наслаждаться обновленной IDE со множеством новых приятных мелочей и улучшенной поддержкой Intellisense.

Любопытно, что из новой библиотеки убрали все файлы *assem.h, позволяющие определить версии сборок (assemblies) стандартных библиотек. Любопытен не столько сам факт, сколько его причина - новый рантайм теперь поставляется в виде простых dll, не требующих для загрузки игр с манифестами, такое вот возвращение к истокам.
Источник: Visual C++ Team Blog


FireFox избавится от потенциальной уязвимости десятилетней давности
dl // 06.04.10 01:21
Разработчики FireFox планируют прикрыть потенциальную уязвимость, которой подвержены все основные браузеры по крайней мере в течение десятка лет, и которая дает возможность получить доступ к глобальному списку посещенных сайтов. Mozilla классифицировала это как баг по крайней мере с 2002 года.

Проблема затрагивает обработку CSS-стиля :visited, отвечающего за работу с посещенными ссылками, и настолько тесно связана с механизмом отображения страниц, что программисты просто не представляли, как с ней справиться, не поломав ключевую функциональность.

Теперь же обещано устранение проблемы путем, не приносящим в жертву юзабилити. Некоторые сайты, возможно, будут выглядеть немного по-другому, но посещенные ссылки все-таки будут другого цвета. Могут пострадать сайты, пытающиеся выделять посещенные ссылки не только цветом.

Впрочем, некоторые эксперты считают, что данное решение не полностью устранит проблему, а лишь усложнит ее использование, хотя и называют это шагом в правильном направлении.
Источник: The Register


Атака через PDF, не требующая особых уязвимостей
dl // 01.04.10 12:34
Дидье Стивенс (Didier Stevens) продемонстрировал возможность частичного управления сообщением, которое выдает Adobe Reader при запуске включенного в pdf исполняемого файла (в принципе, Reader не дает запускать включенные exe-файлы, но нашелся способ обойти и это). Предупреждение выводится в текстовое поле высотой всего в три строки, и у создателя pdf-файла есть возможность добавить к тексту сообщения достаточно строк, чтобы пользователь увидел лишь их, ну а дальше за дело принимается старая добрая социальная инженерия. Все, что используется при подобной атаке - вполне штатные средства PDF, запрет JavaScript никак на нее не влияет. По словам Стивенса, у Foxit Reader дела еще хуже - он вообще не выдает предупреждений о запуске, хотя данный конкретный пример на нем пока и не удалось завести.
Источник: The Register, Didier Stevens blog


Изъяты серверы еще одной веб-компании
dl // 31.03.10 10:47
На этот раз под раздачу попало ООО "Овермобайл", занимающееся разработкой онлайн-игр. На ее сервере Glammy.ru неустановленное лицо разместило порнографические материалы (необычная штука для сервера знакомств, да). Как и в случае с Агавой, несмотря на предоставление полной информации о тех самых неустановленных лицах, сотрудники новосибирского УВД предпочли изъять все серверы компании, включая и совершенно не относящиеся к делу. Например, на одном была размещена популярная (ну, наверное) онлайн-игра "Варвары". Кроме того, были изъяты офисные и личные компьютеры компании, что выглядит совсем уж беспредельно.
Источник: Habrababr


Тривиальная ошибка в iPhone-приложении привела к утечке массы личных фотографий
dl // 31.03.10 00:16
Популярное приложение Quip позволяет пользователям iPhone бесплатно обмениваться фотографиями, не тратясь на дорогие MMS. Однако у халявы оказалась обратная сторона - реализован обмен был в отличном стиле, при каждой подобной операции фотография выкладывалась на веб-сервер, получая имя из всего лишь пяти случайных букв и цифр. Мало того, что эти адреса было элементарно подобрать, они еще и не были закрыты от поисковиков, так что их часть просто попала в гуглевский индекс.

Собственно говоря, факт того, что фотографии передаются совершенно открыто, был известен уже несколько месяцев. Но никто на это не обращал особого внимания, пока пару дней назад эту информацию не опубликовали в очередной раз на reddit.com, снабдив на этот раз разжеванной инструкцией по вытаскиванию фото. Ну а дальше все пошло по нарастающей - разумеется, уже появился сайт с аккуратной подборкой обнаруженных фото, включая, мягко говоря, очень личные.

Пока авторы программы срочно отрубили свои серверы, пообещав вернуться после исправления проблемы. Даже интересно, какая волна исков от разгневанных пользователей накроет их после этого.
Источник: ZDNet, Quip Text pictures leaked




обсудить  |  все отзывы (0)  
[15492]

анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



назад «     » вперед


  Copyright © 2001-2018 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach